Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag

Nr. 6
NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 3 juli 2025

Met belangstelling heb ik kennisgenomen van de vragen en opmerkingen van de leden
van de fracties van de PVV, GroenLinks-PvdA, NSC en D66. Graag beantwoord ik, mede
namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, de vragen
die door deze ledenzijn gesteld. In deze nota zijn de vragen en opmerkingen uit het
verslag integraal opgenomen in cursieve tekst en de beantwoording daarvan in niet-cursieve
tekst. De vragen zijn genummerd, waarbij in voorkomende gevallen naar andere antwoorden
is verwezen. Gelijkluidende of in elkaars verlengde liggende vragen zijn gezamenlijk
beantwoord. In de beantwoording wordt naar de met dit wetsvoorstel uit te voeren Verordening
(EU) 2023/2854 van het Europees Parlement en de Raad van 13 december 2023 betreffende
geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data en
tot wijziging van Verordening (EU) 2017/2394 en Richtlijn (EU) 2020/1828 (Dataverordening)
verwezen als «de verordening».

I ALGEMEEN DEEL

1. Inleiding

De leden van de PVV-fractie hebben kennisgenomen van de Uitvoeringswet dataverordening.
Naar aanleiding hiervan hebben deze leden nog enkele vragen.

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van het wetsvoorstel.
Deze leden verwelkomen de Nederlandse uitvoeringswet en kunnen in grote lijnen het
voorstel steunen. Zij hebben een aantal vragen en opmerkingen.

De leden van de NSC-fractie hebben met belangstelling kennisgenomen van de Uitvoeringswet
dataverordening, onderschrijven het belang van dit wetsvoorstel en waarderen dat het
Europese databeleid hiermee in Nederland wordt geïmplementeerd. Naar aanleiding hiervan
hebben deze leden enkele vragen en opmerkingen.

De leden van de D66-fractie hebben met interesse kennisgenomen van de Uitvoeringswet
dataverordening. Deze leden zijn voorstander van gebruikers meer rechten geven over
hun data en het bevorderen van concurrentie en keuzevrijheid in datagedreven diensten.
Zij hebben slechts enkele vragen.

2. Beleidscontext

(1) De leden van de GroenLinks-PvdA-fractie vragen de regering om de drie uitgangspunten
voor beleidsontwikkeling gericht op datadeling verder toe te lichten. Hoe zijn deze
tot stand gekomen en wegen ze alle drie even zwaar in de afwegingen bij nieuw beleid?
Vooral het uitgangspunt dat burgers en bedrijven grip krijgen op hun eigen data heeft
de interesse van deze leden. Wanneer is er volgens de regering sprake van «grip» op
data en wat is er, naast de invoering van de dataverordening, nodig om dit te bereiken?

De drie uitgangspunten komen voort uit de Kabinetsvisie op datadeling tussen bedrijven
(2019).1 Op basis van intern onderzoek en gesprekken met stakeholders (o.a. wetenschap, bedrijfsleven,
toezichthouders en (lokale) overheidsorganisaties) is deze Kabinetsvisie opgesteld.
Hiermee gaf het toenmalige kabinet opvolging aan de ambitie geuit in de Nederlandse
Digitaliseringsstrategie (2018).2 De drie uitgangspunten zijn complementair aan elkaar. Vervolgens kwam in 2020 de
Europese Commissie met de Europese datastrategie3. De Europese datastrategie hangt nauw samen met de Kabinetsvisie en bood het kader
waarbinnen nieuw Europees databeleid tot stand zou komen.

Of er sprake is van «grip» op data en de mate en vorm waarin die er is, kan van situatie
tot situatie verschillen; dat hangt af van het type data, het type gebruik, het type
partijen, de gemaakte contractuele afspraken en de getroffen technische en organisatorische
voorzieningen. Er kan dus niet worden vastgesteld dat er vanaf een bepaald moment
in het algemeen grip is op data. Er kan daarom het beste worden gesproken van een
uitganspunt en beleidsdoelstelling en niet bijvoorbeeld van een meetbaar criterium.
Er kan wel gesteld worden dat de verordening regelt dat gebruikers meer controle krijgen
over het gebruik van hun data. Naast juridisch, moet het ook praktisch mogelijk gemaakt
worden om controle over data te krijgen. Nieuwe innovaties kunnen hier een rol in
spelen, denk aan trust frameworks, databemiddelingsdiensten, federated learning of
andere privacy-enhancing technologies, en persoonlijke of business wallets. Het Ministerie
van Economische Zaken ondersteunt de ontwikkelingen op dit gebied, onder andere via
het Centre of Excellence for Data Sharing & Cloud.

(2) Deze leden vragen of de verwijzing naar de Werkagenda Waardengedreven Digitaliseren
(2022) nog actueel is. Is dit beleidsstuk nog leidend bij de ontwikkeling van nieuw
beleid, nu de destijdse bewindspersoon is vertrokken evenals de opvolger, en het kabinet
nu in demissionaire status verkeert? Daarnaast moedigen deze leden het standaardiseren
van data aan met oog op portabiliteit en het gelijktrekken van de scheve marktmacht
van grote niet-Europese cloudleveranciers. Zij vragen om nader in te gaan op het belang
van de dataverordening voor het bevorderen van de digitale soevereiniteit.

Dit beleidsstuk is nu niet meer leidend. De Werkagenda Waardegedreven Digitaliseren
was ten tijde van de totstandkoming van de verordening actueel en heeft daarmee de
Nederlandse onderhandelingsinzet mede bepaald. Daarom is ervoor gekozen om de verwijzing
naar dit beleidsstuk op te nemen in de memorie van toelichting. Op de relatie tussen
de verordening en het bevorderen van digitale soevereiniteit wordt nader ingegaan
in het antwoord op vraag 27.

(3) De leden van de GroenLinks-PvdA-fractie zijn benieuwd naar de gehanteerde definitie
van «dataruimten.»

In de Europese datastrategie (2020)4 werd de oprichting van domeinspecifieke gemeenschappelijke Europese dataruimten voor
het delen en bundelen van gegevens voorgesteld. Het betreft een interne gegevensmarkt
waarin gegevens kunnen worden gebruikt ongeacht de plaats in de Unie waar ze zijn
opgeslagen in overeenstemming met het toepasselijke recht. Dataruimten bieden een
interoperabele, betrouwbare IT-omgeving voor gegevensverwerking en een reeks regels
van wettelijke, administratieve en contractuele aard die de rechten op toegang tot
en gebruik van de gegevens bepalen. Een formele definitie wordt momenteel ontwikkeld
via internationale normontwikkeling.5

(4) Deze leden kunnen zich vinden in de analyse over hoe data nu vrijwel alleen door
een handjevol grote bedrijven wordt vergaard, verwerkt en (door)verkocht. Hiermee
hebben enkele bedrijven een oneerlijke grote macht over digitale markten en te veel
ruimte om oneigenlijk om te gaan met data. Echter, zo stellen deze leden, vrijwel
élke gebruiker van een digitale dienst «co-genereert,» data omdat verreweg de meeste
applicaties gebruikersinformatie verzamelen. Hoe stelt de regering zich voor dat gebruikers,
wier data wordt verzameld ten goede van de leverancier, toegang krijgen tot hun data
en meeprofiteren van de winsten? Kan een voorbeeld worden gegeven van wat er in de
praktijk verandert met de komst van de dataverordening op dit gebied?

Verzamelde data kunnen vaak voor meerdere doelen gebruikt worden, zowel door leveranciers
als door gebruikers. De data zijn nu meestal alleen toegankelijk voor de fabrikanten
van de apparaten die de data genereren. Dankzij de verordening krijg je als gebruiker
makkelijk, veilig en kosteloos toegang tot de data van jouw apparaat. Bijvoorbeeld
via de display van het product of via een app.

Hiermee kunnen gebruikers de data zelf gebruiken of door een ander laten gebruiken
op een manier die voor hen waardevol is. Het gaat bijvoorbeeld om het delen van je
autogegevens met een (onafhankelijke) garage voor een reparatie of onderhoud of om
een boer die meer informatie verkrijgt over zijn grond en gewassen door inzicht in
de (sensor)data uit zijn tractor en sproei-installaties.

3. Dataverordening

(5) De leden van de GroenLinks-PvdA-fractie vragen de regering of er in de context van
de Dataverordening een wezenlijk verschil zit in de definitie van «gegevens» en «data.»
Zijn de termen inwisselbaar?

De definitie van «data» zoals gehanteerd in de Engelstalige versie van de verordening
is in de Nederlandse versie van de verordening vertaald naar «gegevens». In de Nederlandse
versie wordt daarnaast op verscheidene plekken ook de term data gebruikt als het onderdeel
is van een samenstelling, zoals Dataverordening en dataverwerkingsdienst. In die zin
zijn de termen dus inwisselbaar.

(6) Ook vragen deze leden hoe de regering kijkt naar de keuze van de Europese Commissie
om af te zien van een minimale interventie (in dit geval zelfregulering) en van verdergaande
maatregelen (technische eisen stellen).

Het kabinet heeft in het BNC-fiche Dataverordening6 aangegeven overwegend positief te zijn over het initiële voorstel van de verordening.
Het kabinet steunt dat de Europese Commissie verder is gegaan dan zelfregulering.
Het kabinet steunt de creatie van gebruiks- en toegangsrechten voor gebruikers van
verbonden apparaten en gerelateerde diensten en de verplichtingen (inclusief technische
eisen) die de verordening oplegt aan aanbieders van dataverwerkingsdiensten.

Het zelfregulerende kader SWIPO7 heeft onvoldoende gezorgd voor het verlagen van overstapdrempels tussen dataverwerkingsdiensten
van verschillende aanbieders. Zelfregulering heeft in de ogen van het kabinet dus
onvoldoende effect. Het nemen van verdergaande maatregelen, bijvoorbeeld door technische
(API) eisen, zou substantieel hogere kosten voor datahouders opleveren en investeringen
in verbonden producten negatief beïnvloeden. Omdat het wel van belang is dat de Europese
digitale economie zich verder ontwikkelt streeft het kabinet ernaar om regeldruk te
beperken.

(7) Is er wat de regering betreft sprake van een goede verdeling tussen afdwingbaarheid
en uitvoering in de uiteindelijke dataverordening? Had de regering graag meer of minder
ambitie gezien, en wat zij om aanvullende wensen van Nederland alsnog te realiseren?

Zoals uiteengezet in de Kamerbrief Voortgang onderhandelingen Dataverordening8 is het kabinet positief over het onderhandelingsresultaat en daarmee ook tevreden
met het ambitieniveau van de verordening. Het kabinet heeft tijdens de onderhandelingen
gepleit voor ambitieuze maatregelen om het overstappen tussen aanbieders van dataverwerkingsdiensten
mogelijk te maken en mede door de Nederlandse inzet zijn deze maatregelen ook uitgebreid.
Het kabinet ziet geen punten uit de onderhandelingsinzet waarvan het nodig wordt geacht
om te proberen die nu anderszins te realiseren. Het belangrijkste is nu dat de verordening
effect gaat sorteren. De belangrijkste beoogde effecten van de verordening zijn dat
gebruikers van verbonden apparaten in de praktijk gegevens uit die apparaten kunnen
gebruiken en delen, dat de belangen van alle betrokken partijen hierbij zijn geborgd
en dat gebruikers van dataverwerkingsdiensten makkelijk kunnen overstappen en gelijktijdig
diensten van verschillende aanbieders kunnen gebruiken.

3.1. Delen van gegevens tussen bedrijven en consumenten en tussen bedrijven onderling

(8) De leden van de PVV-fractie merken op dat ondernemingen die onder de Digitalemarktenverordening
(DMA) als poortwachter zijn aangewezen onder dit onderdeel van de verordening niet
als derde partij gegevens mogen ontvangen
9
. In het verslag van het schriftelijk overleg over de dataverordening en het bijbehorende
BNC-fiche van 18 mei 2022
10
antwoordde de toenmalig Minister van Economische Zaken op vragen van de leden deze
fractie hieromtrent dat poortwachters «grote platforms met een machtige positie waar
gebruikers (consumenten en bedrijven) niet omheen kunnen» zijn en dat de verordening
verschillende waarborgen bevat om te voorkomen dat gebruikers toegang geven aan derde
partijen waar zij nadeel van ondervinden. Deze leden vrezen dat dit vertaald zal worden
naar een verbod voor bijvoorbeeld een applicatie waar het boodschappenlijstje van
een smart koelkast van een specifiek merk via bijvoorbeeld WhatsApp wordt gedeeld,
immers is WhatsApp een onderdeel van Meta (een poortwachter). Dergelijke vernuftige
innovaties worden daarmee een halt toegeroepen. Deelt de regering deze zorg en wat
gaat zij doen om te voorkomen dat innovatie door middel van deze verordening stagneert?

Het feit dat poortwachters onder dit onderdeel van de verordening niet als derde partij
gegevens mogen ontvangen beperkt gebruikers niet om boodschappenlijstjes te delen
via berichtendiensten. Vanwege de controle over hun platforms en hun economische macht,
bestaat er een gevaar dat bepaalde poortwachters oneigenlijk gebruik zouden kunnen
maken van gegevens waarover zij al beschikken in combinatie met gegevens die als derde
partij in het kader van hoofdstuk II van de Dataverordening worden verkregen. De uitsluiting
van poortwachters als derde partij voorkomt dat poortwachters in staat worden gesteld
om oneerlijke voordelen te behalen ten opzichte van andere marktdeelnemers. Dit zou
strijdig zijn met het doel van de Digitalemarktenverordening (DMA) om de machtspositie
van poortwachterplatforms te verkleinen. Overweging 40 van de verordening licht dit
nader toe. De beperking voor poortwachters heeft alleen betrekking op de systematiek
van datadeling die door hoofdstuk II van de verordening wordt gecreëerd. De verordening
belet poortwachters niet gegevens via andere wettelijk toegestane middelen te verkrijgen,
zoals via vrijwillige overeenkomsten met gegevenshouders.

Het kabinet verwacht dat de verordening innovatie juist zal stimuleren. De verordening
heeft het bevorderen van innovatie ook als doel en geeft meer bedrijven de mogelijkheid
op basis van gegevens uit verbonden apparaten nieuwe innovatieve diensten te ontwikkelen.

(9) De leden van de GroenLinks-PvdA-fractie vragen waarom is gekozen om het midden- en
kleinbedrijf (mkb) te ontzien van de dataverordening en middelgrote ondernemingen
meer tijd te geven om zich voor te bereiden. Hoewel deze leden het van harte steunen
dat het mkb en middelgrote bedrijven worden ontzien van onnodige lasten met oog op
een eerlijke concurrentie, is de dataverordening deels een doorvertaling van de Algemene
Verordening Gegevensbescherming (AVG). De AVG betreft essentiële beschermingen van
het privacyrecht voor Europese burgers. Kennen gebruikers van diensten geleverd door
het mkb en middelgrote bedrijven straks een lagere mate van gegevensbescherming dan
gebruikers van diensten geleverd door grote bedrijven? Verslechtert het ontzien van
het mkb niet juist de kans om mee te dingen, omdat (data)portabiliteit en interoperabiliteit
geen vereisten worden voor hun diensten, en de overstap van een grote leverancier
naar een kleine leverancier daardoor wordt bemoeilijkt?

De uitzonderingen voor het midden- en kleinbedrijf (hierna: mkb)11 doen niets af aan de gegevensbescherming van gebruikers op grond van de AVG. De AVG
blijft onverminderd van kracht. Het mkb wordt ook niet uitgezonderd van de gehele
verordening. De uitzonderingen voor het mkb gelden voor specifieke onderdelen van
de verordening, namelijk: (1) de verplichtingen voor aanbieders uit hoofdstuk II van
de verordening over gegevens uit verbonden apparaten, (2) gegevensverzoeken op grond
van hoofdstuk V van de verordening die niet noodzakelijk zijn om te reageren op noodsituaties
en (3) verschillende bepalingen over vergoedingen voor het delen van gegevens. Deze
uitzonderingen zijn opgenomen om de kosten en administratieve lasten voor het midden-
en kleinbedrijf te beperken. Het kan inderdaad zijn dat mkb-bedrijven die verbonden
apparaten aanbieden beter kunnen concurreren als zij aan (delen van) hoofdstuk II
van de verordening voldoen. De verordening belet bedrijven daar niet in.

Het is niet zo dat de uitzonderingen uit de verordening het overstappen van grote
aanbieders naar kleine aanbieders bemoeilijken. Hiervoor is vooral belangrijk dat
grote aanbieders (data)portabiliteit mogelijk maken. Hierbij vindt het kabinet het
belangrijk te benadrukken dat het mkb niet wordt uitgezonderd van de verplichtingen
met betrekking tot portabiliteit en interoperabiliteit van clouddiensten.

(10) Deze leden benadrukken dat het essentieel is om het mkb in positie te brengen in
de data-economie en verwachten juist dat het voldoen aan de dataverordening hen hierbij
helpt. Daarom vragen zij u om toe te lichten hoe het mkb alsnog wordt geholpen om
de doelen van de dataverordening te behalen, zonder onnodig de administratieve lasten
te verhogen.

Ik deel de opvatting van deze leden dat het belangrijk is om de positie van het mkb12 in de data-economie te versterken. Het mkb zal in het algemeen vaker gebruiker van
verbonden apparaten of dataverwerkingsdiensten zijn dan aanbieder van zulke apparaten
en diensten. De verordening verstevigt de positie van gebruikers van verbonden apparaten
en dataverwerkingsdiensten door ze meer mogelijkheden te geven om over te stappen,
diensten te combineren en data te (laten) gebruiken. Om de doelen van de verordening
te bereiken is het belangrijk dat het mkb deze mogelijkheden benut.

Het Ministerie van EZ benadrukt in haar communicatie over de verordening daarom ook
de nieuwe mogelijkheden die de verordening biedt aan gebruikers van verbonden apparaten
en dataverwerkingsdiensten. Dit geldt eveneens voor de communicatie door de Autoriteit
Consument & Markt (hierna: ACM). De ACM zal uitleg geven over de gevolgen van niet-naleving
van de verplichtingen in de verordening, maar vooral focussen op de diverse kansen
die de verordening creëert voor consumenten en bedrijven, in het bijzonder het mkb.
Daarnaast is het goed om te noemen dat voor micro- en kleine ondernemingen een aantal
belangrijke uitzonderingen worden gemaakt op diverse verplichtingen uit de verordening.
Bij de evaluatie van de verordening zal bovendien het effect van de verordening op
het innovatievermogen van micro- en kleinbedrijf worden meegenomen.

(11) De leden van de GroenLinks-PvdA-fractie vragen de regering om nader uit te leggen
waarom gegevens gegenereerd door het gebruik van een tekstverwerkapplicatie, internetbrowser
en een videostreamingdienst niet valt onder hoofdstuk II van het wetsvoorstel. Hier
is toch immers ook sprake van co-generatie van data door de input van gebruikers?

De verordening richt zich in hoofdstuk II op gegevens die worden gegenereerd door
het gebruik van fysieke apparaten, zoals auto’s, fabrieksapparatuur en landbouwvoertuigen.
Het gaat daarbij om gegevens die worden gegenereerd op basis van het gebruik en over
het gebruik of de omgeving, zoals welke pH-waarde of temperatuur een sensor meet of
hoe vaak een bepaald onderdeel ronddraait of een bepaalde functie wordt gebruikt.
Gerelateerde diensten, zoals besturingssoftware, vallen binnen de reikwijdte van dit
onderdeel van de verordening omdat deze nodig zijn om (een functie van) het apparaat
te gebruiken en in die zin onlosmakelijk met het functioneren van het apparaat zijn
verbonden.

Gegevens uit andere diensten, zoals een tekstverwerkapplicatie, internetbrowser en
een videostreamingdienst, vallen niet onder dit hoofdstuk omdat zij niet direct gerelateerd
zijn aan het fysieke apparaat zelf en het gebruik ervan. Deze algemene (internet)diensten
kunnen op allerlei apparaten worden gebruikt en worden niet per se door de aanbieder
van het apparaat aangeboden. Het zou een onredelijke last zijn de aanbieder van een
apparaat te verplichten om te zorgen dat ook de gegevens uit deze diensten eenvoudig
beschikbaar zijn voor de gebruiker. De omgang met gegevens uit deze diensten is een
ander vraagstuk dan of mensen en bedrijven gegevens over het gebruik van hun apparaten
mogen inzien en delen. Gegevens uit deze diensten worden door andere wetgeving gereguleerd,
waaronder het intellectueel eigendomsrecht en de AVG.

(12) De leden van de GroenLinks-PvdA-fractie beamen de noodzaak om gebruikers direct toegang
te geven tot de gegevens die zij hebben gegenereerd. Dit dient goed gefaciliteerd
te worden door bedrijven in hun digitale diensten. Deze leden vragen de regering om
duidelijk te maken hoe aan deze eis voldaan moet worden en hoe de functie voor iedereen
toegankelijk gemaakt gaat worden. Vaak wordt het (moedwillig) ingewikkeld gemaakt
om de eigen gegevens op een digitale dienst in te zien. Welke eisen zijn er voor het
eenvoudig kunnen inzien van de eigen gegevens? Deelt de regering de mening van deze
leden dat niet alleen de gegenereerde gegevens, maar ook de doeleinden waarvoor zij
gebruikt worden makkelijk inzichtelijk dienen te zijn?

Ik ben het met deze leden eens dat de gecreëerde gebruiks- en toegangsrechten ook
in de praktijk moeten werken. Dit was ook één van de prioriteiten van het kabinet
bij de onderhandelingen.13 Gezien de grote diversiteit aan apparaten en gegevens die onder dit onderdeel van
de verordening vallen is er niet één standaardmanier waarmee voor alle apparaten toegang
tot gegevens zal worden gefaciliteerd. Wel stelt de verordening verschillende eisen
aan de manier waarop dit gebeurt.14 Gebruikers moeten gemakkelijk, veilig, kosteloos en in een gestructureerd, algemeen
gebruikt en machineleesbaar format beschikking kunnen krijgen over de gegevens. De
gegevens moeten altijd in dezelfde kwaliteit als voor de gegevenshouder en inclusief
relevante metagegevens beschikbaar worden gesteld. Indien relevant en technisch haalbaar
moeten de gegevens rechtstreeks of continu en in real time toegankelijk zijn voor
de gebruiker. Hoe dit er precies per apparaat uit zal zien zal per geval verschillen.
Ik ben het met deze leden eens dat gebruikers de doeleinden waarvoor gegenereerde
gegevens worden gebruikt inzichtelijk moeten zijn voor gebruikers. De verordening
verplicht aanbieders van verbonden apparaten en gerelateerde diensten voor het aangaan
van een overeenkomst de gebruiker duidelijk en begrijpelijk te informeren over de
beoogde doeleinden waarvoor de gegevenshouder gegevens zal gebruiken.15

(13) De leden van de GroenLinks-PvdA-fractie steunen het voornemen om gebruikers meer zeggenschap
te geven over de derden die hun (co-)gegenereerde gegevens ontvangen. Dit is wat deze
leden betreft een essentieel onderdeel van de keuzevrijheid voor burgers. Kan de regering
meer uitleggen over hoe dit in de praktijk er uit zal komen te zien? Krijgen gebruikers
het recht om datadeling vanuit een dienst met specifieke bedrijven of organisaties
te ontzeggen? Of kunnen zij aangeven dat hun gegevens voor bepaalde doelen níet gedeeld
en/of verwerkt mogen worden? Deze leden geven aan dat doelbinding hierin geborgd kan
worden, als gebruikers meer inspraak krijgen over het soort doelen waar zij hun gegevens
voor beschikbaar wensen te stellen. Is dit nu voldoende geborgd met de komst van de
dataverordening en zo ja, wanneer worden digitale diensten geacht deze mogelijkheid
te faciliteren?

Het kabinet benadrukt dat ook voor het delen van gegevens met derden geldt dat er
niet één standaardmanier is waarmee voor alle apparaten en gegevens de toegang door
derden zal worden gefaciliteerd. De verordening stelt verschillende eisen aan hoe
de toegang door derden moet worden gefaciliteerd16 en legt verplichtingen op aan derden over hoe zij moeten omgaan met de toegang tot
gegevens.17 Sowieso gebeurt gegevensdeling met derden onder de verordening alleen op verzoek
van de gebruiker. Daarbij mogen derden de verkregen gegevens alleen verwerken voor
de doeleinden en onder de voorwaarden die met de gebruiker zijn afgesproken. Ook mogen
derden gebruikers niet misleiden of manipuleren en mogen ze ontvangen gegevens alleen
aan een andere derde beschikbaar stellen als dit overeen is gekomen met de gebruiker.
Bovendien moet het stopzetten van toegang door een derde voor de gebruiker even makkelijk
zijn als het verlenen van toestemming. Daarmee borgt de verordening dat derden gegevens
alleen gebruiken voor de doelen die met de gebruiker zijn afgesproken en gegevens
alleen verder delen als dat met de gebruiker is afgesproken. Dit onderdeel van de
verordening reguleert niet alle digitale diensten: alleen zogeheten gerelateerde diensten
en diensten van derden die toegang krijgen tot gegevens uit verbonden apparaten. Andere
digitale diensten zoals tekstverwerkapplicaties, internetbrowsers en videostreamingdiensten
vallen niet onder dit onderdeel van de verordening.

(14) De leden van de GroenLinks-PvdA-fractie vernemen graag een nadere onderbouwing van
het begrip «ernstige economische schade». Deze leden willen weten hoe wordt vastgesteld
dat hier sprake van is, en vragen de regering om uit te leggen hoe de potentiële economische
schade voor een bedrijf wordt afgewogen tegen het recht van een burger of organisatie
om regie over de eigen data te hebben.

Overweging 31 van de verordening geeft nadere duiding over wat onder «ernstige economische
schade» wordt verstaan. Het gaat hier om uitzonderlijke omstandigheden waarbij sprake
moet zijn van ernstig en onherstelbaar economisch verlies. Als een gegevenshouder
van mening is dat gegevensdeling zeer waarschijnlijk voor hem zal leiden tot ernstige
economische schade door de openbaarmaking van zijn bedrijfsgeheim, dan kan hij schriftelijk
op basis van objectieve elementen motiveren dat dit een concreet risico is dat niet
kan worden ondervangen met technische of organisatorische maatregelen en dat hij daarom
in dit concrete geval geen toegang tot deze gegevens geeft.18. De gegevenshouder deelt het gemotiveerde besluit om geen toegang tot de gegevens
te verlenen vanwege zeer waarschijnlijke ernstige economische schade met de gebruiker
of derde en informeert de toezichthouder over het besluit. De toetsing of er inderdaad
sprake is van zeer waarschijnlijke ernstige economische schade is aan de ACM als toezichthouder
en bij geschillen aan een gecertificeerd geschillenbeslechtingsorgaan of uiteindelijk
aan de rechter. Omdat het gaat om uitzonderlijke omstandigheden, is de verwachting
niet dat dit de controle over gegevens van mensen of organisaties vaak zal beïnvloeden.

(15) Wat verstaat de regering onder «bedrijfsgeheimen» en tot op welke hoogte kan toegang
tot de eigen gegevens van gebruikers worden geborgd, zonder inbreuk te maken op bedrijfsgeheimen
(mogelijk bestaande uit geaggregeerde gegevens van vele gebruikers)? Ook vragen zij
welke diensten redelijkerwijs vereisen dat toegang tot, het gebruik of het verder
delen van data contractueel wordt beperkt of verboden. Hoe wordt bepaald of beveiligingsvereisten
mogelijk worden verbroken of dat de gezondheid of veiligheid van personen in gevaar
komt?

Wat wordt verstaan onder bedrijfsgeheimen is vastgelegd in het Wet bescherming bedrijfsgeheimen.19 Een bedrijfsgeheim is informatie die aan de volgende voorwaarden voldoet: (a) zij
is geheim in die zin dat zij, in haar geheel dan wel in de juiste samenstelling en
ordening van haar bestanddelen, niet algemeen bekend is bij of gemakkelijk toegankelijk
is voor degenen binnen de kringen die zich gewoonlijk bezighouden met dergelijke informatie;
(b) zij bezit handelswaarde omdat zij geheim is, en (c) zij is door degene die daar
rechtmatig over beschikt, onderworpen aan redelijke maatregelen, gezien de omstandigheden,
om deze geheim te houden.

De bescherming van bedrijfsgeheimen blijft gewaarborgd onder de verordening. In veel
gevallen zal die bescherming geen beperking zijn voor de toegang tot gegevens voor
gebruikers. De gegevens die onder de verordening vallen zullen lang niet altijd bedrijfsgeheimen
bevatten, mede omdat het gaat om een afgebakende groep gegevens uit individuele apparaten.
Redelijkerwijs valt te verwachten dat beperking van toegang op grond van bescherming
van bedrijfsgeheimen vaker nodig zal zijn bij hoogtechnologische, unieke apparaten,
zoals op maat gemaakte, technisch hoogwaardige machines.

Als gegevens waar een gebruiker toegang toe wil mogelijk bedrijfsgeheimen omvatten
is het bovendien niet zo dat deze toegang per definitie niet tot stand komt. Onder
de voorwaarde dat de gebruiker en de gegevenshouder maatregelen overeenkomen om de
vertrouwelijkheid van bedrijfsgeheimen te borgen worden de gegevens alsnog gedeeld.
Wanneer gegevenshouders weigeren gegevens te delen dan moeten zij altijd de toezichthouder
hierover informeren. Deze kan dan beoordelen of de weigering gegrond is. De toetsing
van deze bepalingen uit de verordening is aan de ACM als toezichthouder en in het
geval van een geschil aan een gecertificeerd geschillenbeslechtingsorgaan of uiteindelijk
aan de rechter.

(16) De leden van de GroenLinks-PvdA-fractie steunen van harte het uitgangspunt dat er
geen sprake mag zijn van (impliciete) manipulatie om gebruikers alsnog hun gegevens
te laten delen. Dit soort perverse prikkels van bedrijven die hun verdienmodellen
bouwen op het massaal (door)verkopen van gebruikersinformatie dienen bestreden te
worden. Hoe wordt toegezien dat er geen sprake is van manipulatieve ontwerpkeuzes
of handelingen die de vrije keuze voor gebruikers om wel of niet informatie te delen
beïnvloeden? Deze leden benadrukken dat dit per casus kan verschillen en dat grote
bedrijven tot het uiterste zullen gaan om gebruikers te misleiden op dit gebied. Zij
vinden het van het grootste belang dat dit goed wordt afgedekt in de uitwerking en
uitvoering van de dataverordening. In hoeverre wordt hier nationaal op toegezien?
Is de definitie van manipulatie binnen artikel 6 volgens betrokkenen voldoende duidelijk?

Het toezicht op de verordening is per lidstaat belegd en bedrijven vallen onder het
toezicht van de lidstaat waar zij hun hoofdvestiging hebben. De toetsing van deze
bepalingen voor in Nederland gevestigde bedrijven is dus aan de ACM en bij geschillen
uiteindelijk aan de rechter. Voor zover het gaat om dark patterns om persoonsgegevens
te delen vallen deze ook onder het bereik van het toezicht van de AP. De bewoording
van «dark patterns» in artikel 6, tweede lid, onderdeel a, van de verordening waar
uw fractie naar verwijst is vergelijkbaar met de bewoording in andere verordeningen
zoals de Digitale dienstenverordening en de AI-verordening. De bewoordingen beschrijven
hetzelfde type gedragingen, maar verschillen omdat de verschillende verordeningen
verschillende diensten reguleren. Ik heb geen signalen ontvangen dat de definitie
van manipulatie uit artikel 6 van de verordening onvoldoende duidelijk is.

(17) De leden van de GroenLinks-PvdA-fractie willen dat gebruikers zich goed kunnen beroepen
op hun rechten. Daarom is het van belang om de mogelijkheid tot het nemen van juridische
stappen, als de dataverordening niet wordt nageleefd, goed vast te leggen. Hoe worden
de nationale toezichthouders in staat gesteld om deze mogelijkheid goed in te richten?
Welke stappen neemt de regering om klachtmeldingen en de toegang tot het recht zo
laagdrempelig mogelijk te maken? Hierin geven de leden van deze fractie aan dat de
zienswijze en benodigde capaciteit van de toezichthouders leidend moet zijn.

Het goed inrichten van het toezicht en met name de mogelijkheid tot klachtmeldingen
is inderdaad van groot belang. De ACM heeft in haar uitvoerings- en handhaafbaarheidstoets
aangegeven hoeveel middelen zij nodig heeft voor de uitvoering van de verordening.
Deze middelen zijn structureel toegekend.

Ik ben het met de leden van de fractie van GroenLinks-PvdA eens dat de zienswijze
van de toezichthouder leidend moet zijn. Hoe de ACM als onafhankelijke toezichthouder
haar taken uit de verordening, inclusief het behandelen van klachten over mogelijke
overtredingen van de verordening, inricht is daarom in eerste instantie aan de ACM
zelf. Het is hierbij van belang om te vermelden dat nationaalrechtelijk aan een klacht
invulling gegeven zal worden zoals beschreven in paragraaf 4.2 van de memorie van
toelichting. «Een klacht» in de zin van de verordening wordt geïnterpreteerd als een
melding of handhavingsverzoek, niet als een klacht in de zin van de Algemene wet bestuursrecht.
Wanneer het gaat om de verwerking van persoonsgegevens en de toepassing van de AVG
kan een klacht worden ingediend bij de Autoriteit Persoonsgegevens (hierna: AP).

3.2 Verplichtingen voor gegevenshouders die krachtens het Unierecht verplicht zijn
gegevens beschikbaar te stellen aan ondernemingen

(18) De leden van de GroenLinks-PvdA-fractie vinden het van groot belang dat de voorwaarden
waaronder gegevens beschikbaar worden gesteld zoveel mogelijk bindend worden. Deze
leden twijfelen over de mogelijkheid om voorwaarden als niet-bindend uit te zonderen,
omdat dit kan leiden tot voorwaarden die onduidelijk zijn, slechts half worden nageleefd,
of waarbij de doorzettingsmacht voor overheden of autoriteiten om alsnog naleving
af te dwingen ontbreekt. Kan nader worden uitgelegd hoe deze uitzonderingen op de
bindende voorwaarden worden bepaald? Sluit het stellen van niet-bindende voorwaarden
aan op de drie uitgangspunten die de regering hanteert? Hoe voorkomt de regering dat
een aandeel van de voorwaarden in de praktijk niet-bindend zou zijn?

Bepaalde contractvoorwaarden zijn onder de verordening niet-bindend om gebruikers
en bedrijven met een minder sterke onderhandelingspositie te beschermen. Dat deze
contractvoorwaarden niet-bindend zijn is in lijn met de doelen van de verordening
en draagt bij aan de effectiviteit ervan. Ook draagt het eraan bij dat datadeling
vrijwillig tot stand komt en burgers en bedrijven grip op gegevens houden. Dit onderdeel
sluit daarom goed aan bij de uitgangspunten uit de Nederlandse Kabinetsvisie op datadeling
tussen bedrijven (2019).20

Contractvoorwaarden zijn onder de verordening niet-bindend om twee redenen: 1) de
voorwaarde sluit ten nadele van een partij (meestal de gebruiker) de toepassing van
onderdelen van de verordening uit, wijkt daarvan of wijzigt de rechten van de gebruiker21 of 2) de voorwaarde is eenzijdig opgelegd aan een onderneming en wordt oneerlijk
geacht op basis van artikel 13 van de verordening. De eerste groep niet-bindende voorwaarden
beschermt partijen, en vooral gebruikers, ertegen dat hun rechten uit de verordening
in hun nadeel worden gewijzigd. Dit voorkomt bijvoorbeeld dat gebruikers met het aangaan
van een contract de controle over gegevens uit een apparaat afstaan. De tweede groep
niet-bindende voorwaarden beschermt bedrijven met een minder sterke onderhandelingspositie
tegen bepaalde oneerlijke praktijken met betrekking tot toegang tot gegevens. Het
moeten naleven van eenzijdig opgelegde oneerlijke contractvoorwaarden kan ertoe leiden
dat bedrijven krijgen opgelegd of en hoe ze data delen.

(19) De leden van de GroenLinks-PvdA-fractie zijn enthousiast over de mogelijkheid voor
gegevenshouders om beveiligingsmaatregelen te treffen. Dit zal leiden tot een noodknop
voor gegevenshouders om hun gegevens te beschermen. Echter is deze mogelijkheid ook
interessant voor individuele gebruikers, die bij vermoedens van onveiligheid zich
wellicht ook willen beroepen op dergelijke beschermingsmaatregelen. Is het mogelijk
voor gebruikers om dezelfde maatregelen, zoals encryptie, te treffen in het dataverkeer
tussen hen en de gegevenshouder, of (via gegevenshouders) naar ontvangers en/of derden?
Deze leden vragen vervolgens om uit te leggen wanneer er sprake is van «misleidende
of dwangmiddelen» en waarom slechts als dat wordt vastgesteld, een beroep kan worden
gedaan op beschermende maatregelen. Is het mogelijk om uit voorzorg zulke maatregelen
te nemen, nog voordat misleiding of manipulatie is vastgesteld? Hoe wordt voorkomen
dat er kostbare tijd verloren gaat voordat een beschermingsmaatregel kan worden genomen?

Artikel 11 van de verordening waar deze leden naar verwijzen gaat over gevallen waarin
gegevenshouders door Europese wetgeving zoals de Dataverordening worden verplicht
gegevens beschikbaar te stellen. Het artikel maakt duidelijk op welke manier zij in
zulke gevallen beschermingsmaatregelen mogen treffen om hun legitieme belangen te
beschermen. Hiervoor hoeft niet eerst te zijn vastgesteld dat er sprake is van «misleidende
of dwangmiddelen». Er is dus geen sprake van verloren tijd voordat beschermingsmaatregelen
kunnen worden genomen.

De positie en de belangen van gebruikers verschillen van die van gegevenshouders in
de situaties waar artikel 11 van de verordening betrekking op heeft. Gebruikers hoeven
in deze situaties niet verplicht gegevens beschikbaar te stellen. De bescherming van
gebruikers is daarom anders geregeld. De verordening zelf beschermt gebruikers op
verschillende manieren.22 Wanneer gegevenshouders onder de verordening gegevens beschikbaar stellen aan gebruikers
of derden moet dit altijd veilig gebeuren. Ook mogen gegevenshouders gegevens uit
een verbonden apparaat niet overal voor gebruiken. Gegevenshouder mogen bijvoorbeeld
de gegevens niet gebruiken om inzicht te verkrijgen in de economische situatie van
een gebruiker. Een groot deel van de bescherming van gebruikers- en apparaatgegevens
is bovendien geregeld in gegevensbeschermingsregelging, waaronder de AVG en de ePrivacy-richtlijn.
Deze wetgeving blijft onverminderd van kracht. Op basis van diverse bepalingen uit
de verordening zelf en op basis van de gegevensbeschermingsregelgeving kunnen gebruikers
dus beroep doen op beschermende maatregelen of bezwaar maken tegen het handelen van
gegevenshouders of derden.

(20) Zij vragen u daarnaast om meer duidelijkheid te geven over de (verwachte) hoogte van
de vergoeding voor gegevenshouders. Hoe wordt vastgesteld wat een redelijke en niet-discriminerende
vergoeding is voor het beschikbaar maken en stellen van gegevens?

Artikel 9 en overweging 47 van de verordening verduidelijken wat een redelijke vergoeding
kan omvatten. De vergoeding kan bestaan uit een vergoeding voor de kosten voor het
beschikbaar stellen van de gegevens plus eventueel een redelijke marge die kan variëren
op basis van onder andere het volume of de aard van de gegevens of de investeringen
die gemaakt zijn om de gegevens in de eerste plaats te verzamelen. Wanneer mkb-bedrijven23 of onderzoeksorganisaties zonder winstoogmerk gegevens op basis van dit onderdeel
van de verordening een vergoeding moeten betalen mag dit alleen bestaan uit een vergoeding
voor de kosten voor het beschikbaar stellen van de gegevens. Voorbeelden van kosten
voor het beschikbaar stellen van gegevens zijn kosten voor het ontwikkelen van een
interface om gegevens beschikbaar te stellen of kosten voor het opslaan en verwerken
van gegevens. De Europese Commissie komt met richtsnoeren voor de berekening van een
redelijke vergoeding.

De toetsing van deze bepalingen is aan de ACM als toezichthouder en in het geval van
een geschil aan een geschillenbeslechtingsorgaan of uiteindelijk aan de rechter.

3.3. Oneerlijke contractuele bedingen met betrekking tot de toegang tot en het gebruik
van gegevens tussen ondernemingen

(21) De leden van de GroenLinks-PvdA-fractie kijken met interesse naar de bepalingen die
de machtspositie van kleinere bedrijven proberen gelijk te trekken. Deze leden vragen
of de eisen die eenzijdig worden opgelegd aan kleine ondernemingen, die onder de dataverordening
niet-bindend worden, ook betrekking hebben op reeds gesloten contracten. Betekent
dit dat, vanaf de inwerkingtreding van de dataverordening, kleinere bedrijven meteen
meer vrijheid hebben binnen bestaande contracten met grotere bedrijven?

De bepalingen uit dit onderdeel van de verordening hebben op de datum van inwerkingtreding
geen betrekking op bestaande contracten. De bepalingen zijn van toepassing op overeenkomsten
die na de datum van inwerkingtreding, 12 september 2025, zijn afgesloten. Vanaf 12 september
2027 is dit onderdeel wel van toepassing op overeenkomsten die op of vóór 12 september
2025 zijn gesloten als deze van onbepaalde duur zijn, of ten minste 10 jaar na 11 januari
2024 aflopen.

(22) De leden van de NSC-fractie merken op dat de dataverordening in hoofdstuk VI bepalingen
bevat die gericht zijn op het bevorderen van dataportabiliteit, met als doel overstappen
tussen aanbieders van dataverwerkingsdiensten, zoals cloudproviders, eenvoudiger,
transparanter en kostenefficiënter te maken. Dit moet bijdragen aan het doorbreken
van «vendor lock-in» en het versterken van de positie van gebruikers. Deze leden vragen
de regering in hoeverre zij verwacht dat deze bepalingen in de praktijk daadwerkelijk
bijdragen aan het beperken van de marktmacht van grote cloudproviders. Welke instrumenten
acht de regering nodig of wenselijk om de effectiviteit van deze regels te waarborgen?

Het kabinet is tevreden met de maatregelen zoals ze in de hoofdstukken VI en VIII
van de verordening zijn opgenomen. In lijn met de Nederlandse inzet zijn ambitieuze
maatregelen opgenomen die zowel het overstappen tussen dataverwerkingsdiensten als
het gelijktijdig gebruik van clouddiensten van verschillende aanbieders mogelijk maken.
Met deze bepalingen kunnen aanbieders van dataverwerkingsdiensten in ieder geval geen
belemmeringen meer opwerpen voor gebruikers om over te stappen of diensten met die
van andere aanbieders te combineren.

De verordening is daarmee een belangrijke pijler in het beter functioneren van de
cloudmarkt en het beperken van de marktmacht van sommige spelers daarin. Voor de effectiviteit
van de regels zelf is vooral goed toezicht belangrijk. De ACM is aangewezen met het
toezicht op deze bepalingen.

De verordening zal niet van de ene op de andere dag grote veranderingen in de markt
bewerkstelligen, maar levert door het wegnemen van anti-competitief gedrag op termijn
wel een belangrijke bijdrage aan verbetering van het functioneren van de markt. Om
daadwerkelijk een goed functionerende cloudmarkt tot stand te brengen zet het kabinet
in Europees verband ook in op maatregelen om innovatie te stimuleren, zoals het Important Project of Common European Interest on Cloud Infrastructure and Services.
24 Ook onderzoekt het kabinet andere mogelijkheden om de sector te ondersteunen, bijvoorbeeld
middels herziening van de Europese aanbestedingsrichtlijn en samenwerkingsinitiatieven.

3.4. Gegevens beschikbaar stellen aan overheidsinstanties en EU-instellingen op grond
van uitzonderlijke behoefte

(23) De leden van de GroenLinks-PvdA-fractie lezen hoofdstuk V met voorzichtigheid. Deze
leden zijn van mening dat overheden uiterst terughoudend moeten zijn met het vergaren
van grote hoeveelheden gegevens en dat hier altijd volledige verantwoording over dient
te worden afgelegd. Anderzijds beseffen zij dat in een noodsituatie de zorgvuldigheid
vaak (noodzakelijkerwijs) ontbreekt. Zij vragen de regering om een scenario te schetsen
waarin van deze bepaling gebruik wordt gemaakt. Op welke momenten komen welke belanghebbenden
aan bod om van deze bevoegdheden gebruik te maken? Welke bewijslast moeten overheden
aanleveren om aan te tonen dat er sprake is van een noodsituatie, dat er geen andere
mogelijkheden waren, en dat het ontvangen van (gepseudonimiseerde) gegevens nodig
was om haar taken uit te voeren?

De regering deelt de opvatting dat terughoudendheid en zorgvuldigheid zijn geboden
bij het vergaren van grote hoeveelheden gegevens. Ook in noodsituaties moet de overheid
die terughoudendheid en zorgvuldigheid in acht nemen, voor zover de situatie dat toelaat.
Het proces omtrent gegevensverzoeken op grond van hoofdstuk V van de verordening is
daarom met veel waarborgen omkleed.

Van de bevoegdheid in hoofdstuk V van de verordening om gegevens op te vragen in geval
van een algemene noodsituatie25, kan alleen gebruik worden gemaakt in een uitzonderlijke situatie die wordt vastgesteld
of officieel wordt afgekondigd volgens de relevante Unie- of nationaalrechtelijke
procedures. Artikel 15, eerste lid, onderdeel a, van de verordening, stelt daarbij
als aanvullende vereiste dat de overheidsinstantie niet in staat is dergelijke gegevens
tijdig en doeltreffend op een andere manier en in gelijkwaardige omstandigheden te
verkrijgen. In de Nederlandse context wordt aan de vereiste van het vaststellen of
officieel afkondigen invulling gegeven door aan te sluiten bij situaties waarin het
staatsnoodrecht wordt ingezet. In dergelijke situaties wordt voldaan aan het voor
het staatsnoodrecht geldende criterium van buitengewone omstandigheden. Inzet van
staatsnoodrecht vergt bovendien een koninklijk besluit, om a) een beperkte of algemene
noodtoestand af te kondigen waarbinnen staatsnoodrechtbevoegdheden kunnen worden ingezet,
of b) buiten de noodtoestand bevoegdheden uit sectorale staatsnoodwetten separaat
in werking te stellen. Hiermee is het feit dat naar het oordeel van de regering sprake
is van een buitengewone situatie dus ook formeel vastgesteld. In beide gevallen vereist
dit een proportionaliteits- en subsidiariteitstoets.

De inzet van staatsnoodrecht is aan het oordeel van de regering om snel handelen mogelijk
te maken, maar in het vervolgproces voorziet het staatsnoodrecht in parlementaire
betrokkenheid. Zo kan een noodtoestand op grond van artikel 3 van de Coördinatiewet
uitzonderingstoestanden worden opgeheven door de Staten-Generaal. Een separate inwerkingstelling
van noodbevoegdheden vereist dat onverwijld een wetsvoorstel aan de Tweede Kamer wordt
gestuurd omtrent het voortduren van deze noodbevoegdheden. Verwerping van dat wetsvoorstel
leidt ook tot buitenwerkingstelling van die noodbevoegdheden.

In het koninklijk besluit waarmee de noodbevoegdheden worden ingesteld, wordt bepaald
welke overheidsinstantie welke noodbevoegdheden mag gebruiken, binnen de grenzen van
de desbetreffende wetgeving. Het verschilt per noodbepaling welke overheidsinstantie
bevoegd is. Het kan bijvoorbeeld gaan om bewindspersonen, burgemeesters of het militair
gezag. Nadat een overheidsinstantie beschikt over een noodbevoegdheid, ontstaat de
mogelijkheid om een beroep te doen op de bevoegdheid in de verordening om gegevenshouders
te verzoeken gegevens beschikbaar te stellen.

De verordening bevat verschillende vereisten met betrekking tot zo een verzoek. Zo
moet worden aangetoond dat wordt voldaan aan de noodzakelijke voorwaarden voor het
bestaan van een uitzonderlijke noodzaak26 op grond waarvan om de gegevens wordt verzocht.27 Ook moet een toelichting worden gegeven op het doel van het verzoek, het beoogde
gebruik van de gevraagde gegevens, de duur van dat gebruik en, in voorkomend geval,
de wijze waarop de verwerking van persoonsgegevens tegemoetkomt aan de uitzonderlijke
noodzaak.28

De overheidsinstantie moet daarnaast vermelden op grond van welke wettelijke bepaling
hij beschikt over een specifieke taak van algemeen belang waarvoor de gegevens worden
opgevraagd.29 In het Nederlandse stelsel zal de overheidsinstantie dan moeten verwijzen naar het
koninklijk besluit op grond waarvan de noodbevoegdheden worden ingesteld en de wettelijke
grondslag waarin de noodbevoegdheden zijn omschreven. Daarin zit ook een aanknopingspunt
voor het aantonen dat de overheidsinstantie geen andere mogelijkheden heeft om de
noodzakelijke gegevens te ontvangen. Alleen als de wettelijke grondslag waarin de
noodbevoegdheden zijn omschreven geen bevoegdheid bevat die het mogelijk maakt om
de noodzakelijke gegevens tijdig, doeltreffend en in gelijkwaardige omstandigheden
te verkrijgen, kan de overheidsinstantie mogelijk een beroep doen op artikel 14 van
de verordening. Indien de wettelijke grondslag wel zo’n bevoegdheid bevat en die bevoegdheid
ook in werking is gesteld, is de overheidsinstantie gehouden om van die bevoegdheid
gebruik te maken, in plaats van de bevoegdheid uit de verordening. Als de wettelijke
grondslag zo’n bevoegdheid bevat, maar die niet in werking is gesteld, dient eerst
de regering te worden verzocht om die bevoegdheid in werking te stellen. Als de regering
dit weigert, noopt dat tot de conclusie dat niet aan het noodzakelijkheidsvereiste
wordt voldaan en dat daarmee ook onvoldoende grondslag aanwezig is voor een gegevensverzoek
onder de verordening.

Indien de gegevenshouder van mening is dat het verzoek niet aan deze voorwaarden voldoet,
kan deze het gegevensverzoek weigeren of verzoeken om aanpassing.30 Als de overheidsinstantie niet akkoord gaat met die weigering of aanpassing, wordt
het verzoek voorgelegd aan de AP die is aangewezen als bevoegde autoriteit op dit
onderdeel. Tegen het besluit van de AP is vervolgens beroep bij de rechter mogelijk.

(24) Deze leden vragen voorts of de regering bereid is samen met andere landen hier een
protocol voor op te stellen, zodat vooraf gecontroleerd kan worden hoe de bepalingen
uit hoofdstuk V worden geïnterpreteerd en worden ingezet, en welke instanties een
rol spelen. Zulke verstrekkende bevoegdheden dienen volgens deze leden goed gecontroleerd
te worden door het parlement.

De samenwerking tussen de toezichthouders van de lidstaten is door de Europese Commissie
vormgegeven in het Europees Comité voor Gegevensinnovatie. In dit Comité vindt de
discussie plaats over hoe bepalingen uit de verordening, dus ook van hoofdstuk V,
dienen te worden geïnterpreteerd door de toezichthouders. Het kabinet is van mening
dat het aan dit Comité is om te bepalen of een dergelijk protocol noodzakelijk is
en indien dit het geval is een dergelijk protocol op te stellen.

(25) De leden van de NSC-fractie constateren dat de verordening voorziet in verplichtingen
tot het delen van gegevens met overheden en derden. Deze leden willen de regering
vragen hoe wordt voorkomen dat deze verplichtingen leiden tot onbedoelde inbreuken
op de privacy van burgers. Wordt in dergelijke gevallen standaard ingezet op privacyverhogende
maatregelen zoals pseudonimisering, dataminimalisatie of andere technische en organisatorische
waarborgen? Hoe wordt gecontroleerd of deze ook daadwerkelijk worden toegepast?

Het kabinet deelt de opvatting dat voorkomen moet worden dat onbedoelde inbreuken
worden gepleegd op de privacy van burgers. Hoofdstuk V van de verordening bevat daartoe
diverse maatregelen. Dit hoofdstuk is alleen van toepassing op uitzonderlijke situaties.
Indien overheidsinstanties op een andere manier aan de gegevens kunnen komen die zij
nodig hebben, dan is die (andere) route voorgeschreven en is gebruikmaking van hoofdstuk
V van de verordening geen optie (zie in dit verband ook het antwoord op vraag 23).
Slechts als de desbetreffende overheidsinstantie niet in staat is dergelijke gegevens
tijdig en doeltreffend op een andere manier en in gelijkwaardige omstandigheden te
verkrijgen, is een beroep op hoofdstuk V van de verordening eventueel mogelijk. Vervolgens
vereist de verordening dat in beginsel enkel niet-persoonsgebonden gegevens worden
opgevraagd. Voor niet-noodsituaties behoort het opvragen van persoonsgegevens op grond
van artikel 15, eerste lid, onderdeel b, van de verordening überhaupt niet tot de
mogelijkheden. Voor noodsituaties bestaat die mogelijkheid wel, maar alleen als de
overheidsinstantie aantoont dat het gebruik van persoonsgegevens daarvoor noodzakelijk
is en anonimisering geen optie is. In dat geval is pseudonimisering verplicht.31 De overheidsorganisatie specificeert vervolgens hoe de persoonsgegevens zullen worden
gebruikt, welke technische en organisatorische maatregelen zullen worden genomen om
de gegevens te beschermen en stelt de AP op de hoogte van dit verzoek. Op die manier
wordt bij iedere stap van het proces ingezet op de meest privacyrespecterende methode.
De AP heeft als toezichthouder de bevoegdheid om de opgevraagde gegevens in te zien
en daarmee te controleren of de waarborgen goed zijn toegepast.

(26) De leden van de PVV-fractie merken op dat in het verslag van het schriftelijk overleg
over de dataverordening en het bijbehorende BNC-fiche van 18 mei 2022
32
aangekondigde inspanning, naar aanleiding van de door de regering gedeelde zorgen
dat de gedeelde bevoegdheid om in gevallen van uitzonderlijke noodzaak data op te
vragen bij datahouders mogelijk te verstrekkend is en drukt op de rechtsbescherming,
onvoldoende navolging heeft gekregen. Deze leden zouden gaarne vernemen hoe deze potentieel
onwenselijke en verstrekkende gevolgen voorkomen gaan worden en hoe de systematiek
voor het opvragen van gegevens dusdanig ingericht gaat worden dat voorkomen wordt
dat deze de rechtsbescherming aantast.

Het kabinet heeft zich bij de onderhandelingen over de verordening inderdaad ingezet
op aanpassing van hoofdstuk V van de verordening om deze zorgen weg te nemen. Dat
heeft geleid tot diverse verbeteringen op het gebied van rechtsbescherming. Zo is
in de uiteindelijk aangenomen versie van de verordening het gebruik van persoonsgegevens
uitgesloten in andere gevallen dan noodsituaties, is nader uitgewerkt onder wat voor
omstandigheden sprake is van een uitzonderlijke noodzaak, kan alleen een beroep worden
gedaan op deze bepalingen indien alternatieven niet mogelijk zijn gebleken, en zijn
de verplichtingen ten aanzien van bescherming en beveiliging van persoonsgegevens
uitgebreid en aangescherpt. Bovendien moet de bevoegde autoriteit (AP) altijd worden
geïnformeerd indien een verzoek om persoonsgegevens wordt gedaan. Daarmee is het niveau
van rechtsbescherming voldoende verbeterd.

De verordening heeft een systeem van rechtsbescherming waarin de gegevenshouder zich
kan verzetten tegen het verzoek, een overheidsinstantie de weigering kan aanvechten
via de toezichthouder, de toezichthouder ook op eigen initiatief de verzoeken kan
beoordelen en daarnaast de gang via de rechter niet wordt geblokkeerd. Het is dus
hoe dan ook mogelijk voor de datahouder om zijn rechtsbescherming te gelde te maken.

3.5. Het vergemakkelijken van overstappen tussen dataverwerkingsdiensten

(27) De leden van de GroenLinks-PvdA-fractie steunen van harte de bepalingen die de dataportabiliteit
en interoperabiliteit tussen diensten aanjagen. Het is van het grootste belang dat
de marktmacht van niet-Europese grote bedrijven in de digitale sector wordt verbroken.
Kan worden toegelicht hoe de dataverordening gaat helpen om de digitale soevereiniteit
van Nederland beter te borgen?

De verordening heeft het bevorderen van digitale soevereiniteit niet als expliciet
doel. Als gebruikers van clouddiensten hun afhankelijkheid van een aanbieder willen
verminderen door over te stappen of door diensten van verschillende aanbieders te
combineren, maakt de verordening dat wel makkelijker.

De bepalingen uit de verordening gericht op dataverwerkingsdiensten, in de praktijk
ook wel cloud- of edgediensten genoemd, moeten in beginsel gezien worden als marktregulering
met als doel het bevorderen van concurrentie op de markt voor cloud- of edgediensten.
Deze bepalingen gelden voor alle in de Europese Unie actieve partijen die cloud- of
edgediensten leveren, ongeacht de herkomst van deze partijen.

(28) Wordt het door de dataverordening makkelijker om de afhankelijkheid van grote bedrijven
als Microsoft, Google en Amazon in de publieke sector te verkleinen?

Ja. De verordening maakt het makkelijker voor gebruikers van clouddiensten, ook in
de publieke sector, om over te stappen naar een andere aanbieder of om diensten van
verschillende aanbieders te combineren. Daarmee wordt het makkelijker voor organisaties
in de publieke sector die dat willen om (een deel van hun) clouddiensten onder te
brengen bij andere aanbieders.

(29) Graag vernemen deze leden meer over de rol die de dataverordening speelt in het (herziene)
cloudbeleid en de ambities van het demissionaire kabinet. Zij herinneren de regering
eraan dat de Kamer meermaals in meerderheid heeft uitgesproken de digitale soevereiniteit
te bevorderen. Wanneer verwacht u dat de eisen op het gebied van portabiliteit en
interoperabiliteit naar behoren functioneren en daadwerkelijk leiden tot een eerlijke
concurrentie in onder andere de cloudmarkt?

De verordening beoogt de totstandkoming van een beter werkende markt voor cloud- en
edgediensten, zoals ook aangegeven in de kabinetsreactie op de Initiatiefnota van
de leden Six Dijkstra en Kathmann over «Wolken aan de horizon».33 De bepalingen uit de verordening op gebied van clouddiensten zijn goeddeels gericht
op aanbieders van dataverwerkingsdiensten en verplichten deze partijen om belemmeringen
voor overstappen en het combineren van clouddiensten van verschillende aanbieders
weg te nemen. Dit sorteert al effect, aangezien verschillende aanbieders, waaronder
Microsoft en Google, geen overstapkosten meer in rekening brengen.34 Zodra de verordening en de uitvoeringswet in werking treden kunnen toezichthouders
de naleving van de verordening ook handhaven.

De verordening zal niet van de ene op de andere dag grote veranderingen in de markt
bewerkstelligen, maar levert door het wegnemen van anti-competitief gedrag op termijn
wel een belangrijke bijdrage aan verbetering van het functioneren van de markt. Om
daadwerkelijk een goed functionerende cloudmarkt tot stand te brengen zet het kabinet
in Europees verband ook in op maatregelen om innovatie te stimuleren, zoals het Important Project of Common European Interest on Cloud Infrastructure and Services.
35 Ook onderzoekt het kabinet andere mogelijkheden om de sector te ondersteunen middels
bijvoorbeeld herziening van de Europese aanbestedingsrichtlijn en samenwerkingsinitiatieven.

(30) De leden van de GroenLinks-PvdA-fractie vragen waarom pas in 12 januari 2027 de bepaling
geldt dat er geen overstapkosten mogen worden verrekend. Tot die tijd «mogen» aanbieders
verlaagde overstapkosten in rekening brengen. Bedoelt de regering hier dat zij daartoe
verplicht zijn?

Het is gebruikelijk om bij regelgeving met verstrekkende effecten op verdienmodellen
van het bedrijfsleven een bepaalde overgangsperiode in het leven te roepen. Sommige
aanbieders van clouddiensten zullen hun diensten en bedrijfsvoering moeten aanpassen
om op een kostenefficiënte wijze aan de verplichtingen uit de verordening te voldoen.
Tot 12 januari 2027 mogen aanbieders alleen kosten in rekening brengen die rechtstreeks
verband houden met het betrokken overstapproces. Aanbieders mogen er ook voor kiezen
om minder of geen kosten in rekening te brengen.

(31) De leden van de GroenLinks-PvdA-fractie vragen om nader in te gaan op de toegang van
landen buiten de EU tot EU-gegevens. Vooral in de cloudsector zien deze leden grote
risico’s met de Amerikaanse wet- en regelgeving waar de grootste cloudleveranciers
onder vallen. Acht de regering het publiceren van informatie hierover op de website
voldoende? Deelt u de mening dat het wenselijk is dat deze informatie onafhankelijk
en toegankelijk wordt gecommuniceerd? Zij vragen om nader in te gaan op mogelijkheden
om de informatie over wetgeving, zoals de CLOUD Act, proactief, onafhankelijk en toegankelijk
aan te bieden aan gebruikers. Tevens is het van belang dat onafhankelijk wordt vastgesteld
of de grootste aanbieders daadwerkelijk effectieve maatregelen hebben genomen om risico’s
af te dekken, zo stellen deze leden.

Het kabinet onderschrijft dat het niet wenselijk is dat data onrechtmatig worden verwerkt
door partijen buiten de EU. Voor zover het clouddiensten betreft is dit standpunt
verder uitgewerkt in de kabinetsreactie op de Initiatiefnota van de leden Six Dijkstra
en Kathmann over «Wolken aan de horizon» die op 17 januari 2025 aan uw Kamer toegezonden
is.36

Artikel 28 van de verordening regelt welke informatie aanbieders van dataverwerkingsdiensten,
zoals clouddiensten, op hun website beschikbaar en actueel moeten houden. Het kabinet
vindt de verplichting om informatie te publiceren over de jurisdictie waar de dienstverlener
onder valt nuttig. De verordening gaat echter verder dan alleen informatieverplichtingen.
Hoofdstuk VII van de verordening verplicht clouddienstverleners om adequate technische,
organisatorische en contractuele maatregelen te nemen om internationale overheidstoegang
tot of de doorgifte van niet-persoonsgebonden gegevens die in de Unie zijn opgeslagen,
te voorkomen indien een dergelijke toegang of doorgifte in strijd zou zijn met het
Unie- of nationale recht van de betrokken lidstaat. Op deze verplichtingen zal ook
door de ACM toezicht worden gehouden.

In het kader van de aankomende Europese Data Unie Strategie zal het kabinet inzetten
op verduidelijking van het internationaal databeleid van de EU, met daarin aandacht
voor de bescherming van niet-persoonlijke data en de verplichtingen uit hoofdstuk
VII van de verordening.

3.6. Internationale overheidstoegang en overdracht van niet-persoonsgebonden gegevens

(32) De leden van de GroenLinks-PvdA-fractie vragen de regering om terughoudend te zijn
met doorgifte van EU-gegevens aan landen buiten de EU. De bescherming van fundamentele
Europese rechten en de commerciële belangen van het Europese bedrijfsleven wegen voor
deze leden zwaar. Deze leden vragen de regering om te zijner tijd de Europese richtsnoeren,
die worden opgesteld om internationale gegevensdeling mogelijk te maken, aan de Kamer
te versturen en te voorzien van een zienswijze. Kunnen lidstaten bezwaar maken tegen
dergelijke afspraken die de Europese Commissie maakt met landen buiten de EU?

Onder de verordening stelt de Commissie de richtsnoeren op met advies van het Europees
Comité voor Gegevensinnovatie. De ACM neemt namens Nederland deel aan het Europees
Comité voor Gegevensinnovatie. De Commissie kan richtsnoeren opstellen voor de beoordeling
van de vraag of aan de voorwaarden uit de verordening voor internationale overheidstoegang-
en overdracht wordt voldaan (artikel 32, derde lid, van de verordening). Het gaat
niet om afspraken die de Europese Commissie maakt met landen buiten de EU om gegevensdeling
mogelijk te maken. Richtsnoeren zijn niet-bindende besluiten die de grote lijnen van
een onderwerp uitzetten, in dit geval hoe aanbieders van clouddiensten aan de bepalingen
uit hoofdstuk VII van de verordening kunnen voldoen. De Commissie bespreekt het concept-richtsnoer
met de lidstaten, die dan hun zienswijze kenbaar kunnen maken. Het kabinet is bereid
om de richtsnoeren die het Europees Comité voor Gegevensinnovatie ontwikkelt voor
hoofdstuk VII van de verordening te delen met de Kamer.

3.7. Interoperabiliteit

(33) De leden van de GroenLinks-PvdA-fractie steunen het bevorderen van interoperabiliteit
van harte. Deze leden dringen er op aan om snel te komen tot breed gedragen standaarden.
Welke rol wil Nederland spelen in het bepalen van deze standaarden? Welke expertise
hebben we hiervoor beschikbaar en hoe gaat de regering die optimaal benutten?

Om interoperabiliteit mogelijk te maken zijn breed gedragen normen en standaarden
van groot belang.37 Daarom heeft de overheid een duidelijke voorkeur voor het gebruik van het Europese
normalisatiesysteem en geharmoniseerde normen ten opzichte van het voorschrijven van
interoperabiliteitseisen door de overheid. Nederland speelt een rol in deze trajecten
via het door de overheid aangewezen Nederlandse Normalisatieinstituut (NEN).

Door deelname aan de nationale normcommissie en Europese werkgroepen kunnen alle partijen
uit het Nederlandse veld met expertise en een belang hun inbreng leveren. Dit garandeert
een goede aansluiting bij de technologische ontwikkelingen en een breed draagvlak
bij de toepassing. Het kabinet stimuleert brede deelname vanuit het Nederlandse veld
van belanghebbenden, ook vanuit het mkb. Het Ministerie van Economische Zaken financiert
daarom de NEN-normcommissie data en cloud.38

De Interoperable Europe Act39 speelt ook een rol in het creëren van draagvlak voor standaarden. Deze verordening
legt de Europese Commissie een aantal verplichtingen op wanneer zij eisen stelt inzake
de interoperabiliteit. Zo zal er een impactassessment moeten worden uitgevoerd waarbij
stakeholders moeten worden betrokken en waar reeds vastgestelde standaarden in overweging
moeten worden genomen uitgelijnd met het European Interoperability Framework.

4. Inhoud Uitvoeringswet

(34) De leden van de GroenLinks-PvdA-fractie vragen om nader te onderbouwen waarom de taken
rondom de dataverordening belegd zijn bij de Minister van Economische Zaken en niet
een andere bewindspersoon. Zijn er andere EU-lidstaten die deze taken anders beleggen?

Het grootste deel van de verordening betreft regulering van de interne markt. Daar
het, met uitzondering van Hoofdstuk V, om inherent economische wetgeving gaat is ervoor
gekozen de algemene beleidsverantwoordelijkheid bij de Minister van Economische Zaken
neer te leggen. De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
is verantwoordelijk voor de uitvoering van het beschikbaar stellen van gegevens aan
overheidsinstanties in gevallen van uitzonderlijke noodzaak (hoofdstuk V en verwante
artikelen), aangezien dit aansluit bij de beleidsverantwoordelijkheid van deze bewindspersoon.
De Staatssecretaris voor Rechtsbescherming is verantwoordelijk voor databankregelgeving
en daarom voor hoofdstuk X van de verordening, die het sui-generis-recht zoals bedoeld
in artikel 7 van de Databankenrichtlijn in bepaalde situaties niet van toepassing
verklaart. In verschillende andere lidstaten is de algemene uitvoering van de verordening
ook bij de ministeries van economische zaken of vergelijkbare instanties belegd. Afhankelijk
van de nationale politieke omstandigheden maken lidstaten hier keuzes in.

4.1. Aanwijzen bevoegde autoriteiten

(35) De leden van de GroenLinks-PvdA-fractie begrijpen de keuze voor zowel de Autoriteit
Consument en Markt (ACM) als de Autoriteit Persoonsgegevens (AP) als nationale toezichthouders.
Wel vragen zij om toe te lichten of de regering een andere verdeling van taken over
de hoofdstukken en bepalingen uit de dataverordening heeft overwogen. Kunt worden
aangegeven aangeven op welke punten zowel de ACM als de AP de juiste expertise in
huis hebben? Hoe heeft de regering de afweging gemaakt om de taken bij de ene of de
andere toezichthouder te beleggen? Wegens de grote overlap tussen prioriteiten en
taken willen de leden nauwkeurig beoordelen hoe de rollen zijn verdeeld. Zij vragen
om samenwerking en het delen van expertise tussen de instanties zo goed mogelijk te
faciliteren.

Het kabinet heeft verschillende manieren om het toezicht te organiseren overwogen
gedurende de totstandkoming van de uitvoeringswet, maar is uiteindelijk van mening
dat de voorgestelde toezichtsystematiek de meest efficiënte en effectieve wijze is
om het toezicht op deze verordening in Nederland te organiseren. De huidige toezichtsystematiek
is uiteindelijk in overleg met de toezichthouders en andere belanghebbenden ontstaan
en wordt door alle betrokken partijen, waaronder de ACM en de AP, gezien als de beste
manier om effectieve uitvoering van de verordening mogelijk te maken. In paragraaf
4.1 van de memorie van toelichting wordt uitgebreid ingegaan op de verdeling van toezicht
tussen de ACM en de AP.

Al gedurende de onderhandelingen van de verordening zijn de ACM en AP betrokken bij
dit wetgevingsdossier en in de periode vanaf 2022 is er regelmatig en intensief ambtelijk
contact geweest tussen de betrokken departementen en toezichthouders om de organisatie
van het toezicht op deze verordening op te zetten. Op basis van verschillende criteria,
zoals ervaring en expertise van de toezichthouders, aansluiting bij het bestaande
doelstellingen en absorptievermogen, zijn de taken toebedeeld aan de ACM en de AP.
De ACM en de AP hebben ook beide een uitvoerings- en handhaafbaarheidstoets gedaan
en achten de uitvoeringswet in de huidige vorm uitvoerbaar.

Hierbij is volop aandacht geweest voor de context, namelijk de veelheid aan digitale
regelgeving die de laatste jaren in Europees verband is ontstaan waarvoor de ACM en
de AP in Nederland ook als (beoogd) toezichthouder opereren. Ook is er sprake geweest
van verschillende andere afwegingen, zoals de wens om versnippering van het toezicht
te voorkomen.

De ACM en de AP zijn verschillende organisaties. De verordening is gericht op marktordening
en daarom is het voor markttoezichthouder ACM het meest werkbaar om dat toezicht te
organiseren. Ook heeft de ACM ervaring met consumentenbescherming, telecommunicatie
en andere digitale wetgeving als de Digitalemarktenverordening, de Digitaledienstenverordening
en de Datagovernanceverordening. Daarom is ACM hier ook coördinerend toezichthouder.
Bij vraagstukken over datadelen is er een mogelijkheid dat deze betrekking hebben
op de verwerking van persoonsgegevens. De verordening maakt duidelijk dat de AVG van
toepassing blijft en de AVG-toezichthouder bevoegd is voor het toezicht op de toepassing
van de verordening voor zover het bescherming van persoonsgegevens betreft. Toezichthouders
zien dat voor de juiste werking van de verordening, goede samenwerking essentieel
is.

Samenwerking tussen de toezichthouders wordt georganiseerd middels een samenwerkingsprotocol.
De uitvoeringswet draagt de toezichthouders op om een samenwerkingsprotocol op te
stellen. Deze werkwijze biedt de toezichthouders voldoende flexibiliteit en onafhankelijkheid
en is in lijn met het advies van de Afdeling advisering van de Raad van State over
de Uitvoeringswet datagovernanceverordening.40 In dit advies gaf de Afdeling aan dat samenwerking tussen de ACM en de AP bij voorkeur
via een samenwerkingsprotocol georganiseerd wordt in plaats van via wettelijke bepalingen.

(36) De leden van de D66-fractie nemen kennis van de keuze om de AP slechts bevoegd te
verklaren voor persoonsgegevensverwerking en uitzonderlijke overheidstoegang, en niet
voor andere onderdelen van de dataverordening waarbij mogelijk gemengde datasets worden
verwerkt. De AP heeft kritiek op deze beperkte aanwijzing. Waarom is deze kritiek
niet nader gewogen? Deelt de regering de opvatting dat bij gemengde datasets het risico
op conflicterende oordelen van de AP en de ACM reëel is?

De AP acht het, zoals aangegeven in haar wetgevingstoets en haar uitvoerings- en handhavingstoets,
noodzakelijk om te worden aangewezen als bevoegd toezichthouder op zowel artikel 6,
eerste lid, van de verordening voor zover er sprake is van de verwerking van persoonsgegevens,
als op artikel 6, tweede lid, onder b, van de verordening. Dit voorstel is door het
kabinet overgenomen in de artikelen 3 en 5 van de Uitvoeringswet, zoals toegelicht
in paragraaf 4.1 van het algemeen deel van de memorie van toelichting.

Als een dataset «gemengd» is en dus persoonsgegevens bevat, valt de verwerking van
deze dataset onder de AVG. De AP is verantwoordelijk voor het toezicht op de verordening
wat de bescherming van persoonsgegevens betreft41 en blijft bevoegd voor het toezicht op de AVG. De verordening geeft de ACM geen bevoegdheid
te oordelen over de toepassing van gegevensbeschermingswetgeving zoals de AVG. In
de beantwoording van vraag 44 ga ik in op de samenwerking tussen de ACM en de AP voor
de uitvoering van deze verordening.

4.2. Taken en bevoegdheden bevoegde autoriteiten

(37) De leden van de GroenLinks-PvdA-fractie benadrukken dat het goed behandelen van klachten
een nationale aangelegenheid is. Het is aan de overheid om te zorgen dat gebruikers
zich kunnen beroepen op hun recht. Hoe stelt u de toezichthouders in staat om tijdig
te reageren op klachten? Wat zijn de consequenties als niet tijdig wordt gereageerd
op een klacht? Gaat de regering regelmatig in gesprek met de toezichthouders om te
bezien of zij voldoende zijn uitgerust voor hun taken?

In de Uitvoerings- en handhaafbaarheidstoetsen (UHT’s) die door de ACM en de AP zijn
gedaan is aangegeven welke middelen de toezichthouders naar eigen inschatting nodig
hebben om effectief toezicht te houden op de verordening. Onder effectief toezicht
wordt in dat geval ook het tijdig reageren op klachten42 verstaan. Er zijn op incidentele basis in 2024 en 2025 middelen verstrekt aan de
ACM en de AP om het toezicht effectief in te richten. Vanaf 2026 worden er op structurele
basis middelen verstrekt aan de ACM en de AP, in lijn met de UHT's.

Wanneer toezichthouders niet tijdig reageren op een klacht kan dit leiden tot een
situatie waarin het toezicht op de verordening minder effectief dan wenselijk wordt
geacht door belanghebbenden. Indien een toezichthouder te laat of niet op een klacht
reageert, dan heeft de klager recht op een doeltreffende voorziening in rechte of
op toetsing door een onpartijdige instantie met de nodige expertise (artikel 39, tweede
lid, van de verordening).

Aangezien de ACM en de AP onafhankelijke toezichthouders zijn zal niet naar aanleiding
van individuele klachten contact plaatsvinden tussen het kabinet en de toezichthouders.
Het kabinet heeft regelmatig contact met de toezichthouders. Daarin zal ook worden
gesproken over de effectiviteit van het toezicht en de mate waarin de ACM en de AP
voor hun taak zijn toegerust.

(38) De leden van de GroenLinks-PvdA-fractie vragen om vooraf duidelijkheid te bieden over
de wijze waarop nationale toezichthouders sancties opleggen. Welk regime van sanctionering,
berisping en bevelen gaat Nederland hanteren? Kunt u de toezichthouders vragen of
zij bereid zijn dit te publiceren, zodat er zekerheid is van de gevolgen als een organisatie
de dataverordening niet naleeft?

In de paragraaf 4.2 van de memorie van toelichting gaat het kabinet nader in op het
sanctieregime van het wetsvoorstel. Om handhaving van de verordening effectief te
maken verplicht de verordening dat lidstaten financiële sancties vaststellen, waaronder
dwangsommen, voor inbreuken op de verordening. De sancties moeten doeltreffend, evenredig
en afschrikkend zijn en rekening houden met de aanbevelingen van het Europees Comité
voor gegevensinnovatie en de criteria uit artikel 40, derde lid, van de verordening.
De sanctiebepaling in het wetsvoorstel geeft hier invulling aan.

De ACM wijkt in beginsel niet af van haar Beleidsregel Prioritering van handhavingsonderzoeken
uit 2023.43De ACM publiceert voorts elk jaar een document waarin zij de focus van haar werkzaamheden
uitlegt. In 2025 is daar ook een specificatie voor uitgebracht met betrekking op de
digitale economie.44 Hierin staan ook elementen die raken aan toezicht op de verordening. In 2025 wordt
door de ACM een toezichtvisie op de verordening opgesteld. Wanneer in 2026 weer een
document wordt gepubliceerd met daarin een toezichtfocus, dan zal de toezichtvisie
op de verordening daar ook in worden meegenomen.

De AP heeft bij brief van 3 maart 202545 gereageerd op een bredere evaluatie door een externe commissie. In deze brief is
vermeld dat de conclusie van de commissie dat er een nadrukkelijke verduidelijking
nodig is van het AP-beleid over normen en handhaving, ter harte wordt genomen. In
navolging van deze conclusie is de AP op dit moment bezig met het opstellen van handhavingsbeleid.

De AP houdt toezicht op verschillende regelingen waaronder de Algemene verordening
gegevensbescherming, de Wet politiegegevens, de Wet justitiële en strafvorderlijke
gegevens en op basis van dit wetsvoorstel ook de verordening. Het handhavingsbeleid
van de AP gaat niet in op elk van de specifieke regelingen in, maar biedt inzicht
in het totaalpakket van handhavingsinstrumenten waarover de AP beschikt en hun onderlinge
verhouding. Daarbij moet een balans worden gevonden tussen enerzijds rechtszekerheid
voor organisaties en burgers, en anderzijds het toezichtbelang van het voorkomen van
anticiperend (berekenend) gedrag. Naar verwachting wordt het handhavingsbeleid eind
2025 door de AP gepubliceerd.

(39) De leden van de D66-fractie constateren dat de voorgestelde regeling geen verplichting
bevat tot voorafgaande afstemming tussen de AP en de ACM, maar slechts uitgaat van
samenwerking via protocollen. De AP acht dit onvoldoende om onrechtmatige verwerking
van persoonsgegevens te voorkomen. Waarom is niet gekozen voor een verplichting om
de AP te informeren bij voornemens tot gegevensdeling die mogelijk persoonsgegevens
raken?

De opzet van samenwerking tussen de ACM en de AP middels samenwerkingsprotocollen
is in nauwe samenwerking met zowel de ACM als de AP tot stand gekomen en wordt nader
toegelicht in de beantwoording van vraag 35 en vraag 44. Deze werkwijze biedt de toezichthouders
voldoende flexibiliteit en onafhankelijkheid en is in lijn met het advies van de Afdeling
advisering van de Raad van State over de Uitvoeringswet datagovernanceverordening.46 In dit advies gaf de Afdeling aan dat samenwerking tussen de ACM en de AP bij voorkeur
via een samenwerkingsprotocol georganiseerd wordt in plaats van via wettelijke bepalingen.47 Het kabinet herkent niet het beeld dat de AP de beoogde uitvoeringswet onvoldoende
zou vinden om onwettige verwerking van persoonsgegevens te voorkomen. De AP heeft
naar aanleiding van het verslag van uw Kamer aangegeven geen bezwaren te hebben tegen
het wetsvoorstel zoals dat nu voorligt in uw Kamer en ziet haar toezichttaak als uitvoerbaar.

4.3. Certificering geschillenbeslechtingsorgaan

(40) De leden van de GroenLinks-PvdA-fractie vragen om toe te lichten hoe Nederland de
geschillenbeslechting gaat inrichten. Wanneer verwacht u dat dit orgaan is ingericht
en functioneert?

Overweging 52 van de verordening verheldert dat lidstaten niet verplicht zijn om een
gecertificeerd geschillenbeslechtingsorgaan te hebben. In Nederland gevestigde partijen
die zich willen laten certificeren als geschillenbeslechtingsorgaan kunnen nadat de
Uitvoeringswet Dataverordening in werking treedt de ACM verzoeken tot certificatie.
Vooralsnog heb ik geen signalen van in Nederland gevestigde partijen dat zij dit van
plan zijn. Gebruikers, gegevenshouders en gegevensontvangers kunnen meldingen of handhavingsverzoeken
bij de toezichthouders indienen, bij een geschillenbeslechtingsorgaan dat in een andere
lidstaat is gecertificeerd terecht en hun recht halen via de rechter.

4.4. Advisering bij internationale overheidstoegang en overdracht van niet-persoonsgebonden
gegevens en reageren op gemeenschappelijke specificaties

(41) De leden van de GroenLinks-PvdA-fractie vragen om scherper te formuleren wanneer
u een advies opstelt samen met de autoriteiten. Is dit alleen op verzoek, of gaat
u ook ongevraagd advies aanleveren waar u dat nodig acht? De leden vragen om adviezen,
zover als mogelijk, openbaar te maken en aan de Kamer te doen toekomen.

Het Ministerie van Economische Zaken zal in het kader van Hoofdstuk VII van de verordening
alleen reageren op verzoeken van in Nederland gevestigde partijen. De werkwijze wordt
in overleg met de ACM nader uitgewerkt. De ACM blijft als toezichthouder op dit onderdeel
van de verordening verantwoordelijk voor de uitleg van de bepalingen en het toezicht
op de naleving ervan. De taken van het Ministerie van Economische Zaken in het kader
van Hoofdstuk VII van de verordening zien op algemene informatievoorziening aan individuele
bedrijven over hoe zij aan de verplichtingen uit de verordening kunnen voldoen. Het
kabinet is niet voornemens deze informatie die voor specifieke bedrijven is bedoeld
te delen met uw Kamer. Wanneer informatie die wordt verstrekt van algemeen belang
is zal het kabinet in overleg met de ACM bezien hoe deze informatie openbaar kan worden
gemaakt en met de Kamer worden gedeeld.

4.5. Rechtsbescherming

(42) De leden van de GroenLinks-PvdA-fractie vinden het van groot belang dat gebruikers
zich kunnen beroepen op hun digitale rechten. Deze leden vragen om oog te houden voor
de toegankelijkheid van deze mogelijkheid en om de ervaringen van gebruikers die hier
gebruik van maken regelmatig op te halen zodat verbeteringen kunnen worden doorgevoerd.
Zo kunnen drempels worden gevonden en weggenomen.

Eén van de prioriteiten van het kabinet tijdens de onderhandelingen was dat de gebruiks-
en toegangsrechten voor gebruikers van internet-of-things(IoT)-producten in de praktijk
werken.48 Het kabinet zal regelmatig met de ACM en de AP in gesprek gaan over de toepassing
van de verordening en zal daarbij zeker aandacht hebben voor signalen die zij van
gebruikers ontvangen. Bij de evaluatie van de verordening zal de Europese Commissie
het effect van de verordening op het gebruik van gegevens in de economie en de toegankelijkheid
en het gebruik van verschillende categorieën en soorten gegevens beoordelen.

5. Verhouding tot ander recht

5.1. Algemene verordening gegevensbescherming en ePrivacy-richtlijn

(43) De leden van de GroenLinks-PvdA-fractie hechten grote waarde aan de bescherming van
privacy. Deze leden vragen om in dit kader in te gaan op de status van geaggregeerde
gegevens. Wanneer heel veel (gepseudonimiseerde) gegevens samen worden gevoegd, kan
er dan sprake zijn van gegevens die op zichzelf niet gevoelig zijn maar na aggregatie
wél onder de AVG vallen? Zij vragen de regering om goed te onderbouwen wanneer er
sprake is van persoonsgegevens, welke mate van pseudonimisering u voldoende acht,
en hoe deze gegevens – los van elkaar én samengevoegd – mogen worden gebruikt en gedeeld.
Onzekerheid over deze definities kan leiden tot handelingsverlegenheid bij organisaties
en bedrijven. Dit achten de leden in strijd met de doelen van de dataverordening.

Verwerking van persoonsgegevens is gereguleerd in de AVG en valt onder het toezicht
van de AP. Ik deel de opvatting van deze leden dat het belangrijk is dat er duidelijkheid
is over begrippen uit de AVG zoals pseudonimisering en anonimisering. Het is echter
niet aan het kabinet om definities uit de AVG verder in te vullen. De Europese Raad
voor Gegevensbescherming (EDPB) ziet erop toe dat de AVG consequent wordt toegepast
en bevordert de samenwerking tussen de gegevensbeschermingsautoriteiten van de EU.
De EDPB heeft recent richtsnoeren uitgebracht over pseudonimisering49 en heeft in haar werkprogramma 2024–2025 opgenomen om richtsnoeren over anonimisering
te ontwikkelen.50 De verordening laat de AVG onverlet. De verordening verandert dus niets aan de status
van geaggregeerde gegevens.

(44) De leden van de D66-fractie vragen of het klopt dat er een situatie kan voordoen waarin
de ACM verplicht tot gegevensdeling, terwijl de AP dit op grond van de AVG onrechtmatig
acht. Indien dit juist is, moet dan niet worden voorzien in een coördinatiemechanisme
of escalatiemodel in zulke gevallen?

Het klopt dat de ACM en de AP vanuit hun taken en bevoegdheden op basis van de verordening
en de AVG soms allebei zullen moeten oordelen over een bepaalde gegevensverwerking.
Juridisch is de verhouding tussen de verordening en de AVG dat de AVG onverlet van
toepassing blijft. Een verwerking van persoonsgegevens kan niet rechtmatig zijn als
niet aan de AVG wordt voldaan.

Om dit ook goed in de praktijk te brengen zullen de ACM en de AP samenwerken. Zoals
in de memorie van toelichting is uiteengezet acht het kabinet het niet wenselijk om
deze nieuwe vorm van samenwerking op voorhand al te formaliseren.51 De voorgestelde werkwijze is in lijn met het advies van de Afdeling advisering van
de Raad van State over de Uitvoeringswet datagovernanceverordening.52 In dit advies stelde de Afdeling dat samenwerking tussen de ACM en de AP bij voorkeur
via een samenwerkingsprotocol georganiseerd wordt in plaats van via wettelijke bepalingen.
Het is belangrijk de ACM en de AP de ruimte hebben zelf invulling te geven aan deze
samenwerking. De ACM en de AP werken momenteel aan een vernieuwd samenwerkingsprotocol.
Het kabinet zal bij de evaluatie van de verordening ook het toezicht door de ACM en
de AP evalueren, en daarbij ook de samenwerking betrekken.

5.2. Datagovernanceverordening, digitalemarktenverordening, digitaledienstenverordening,
verordening artificiële intelligentie en «Platform-to-Business» verordening

(45) De leden van de GroenLinks-PvdA-fractie vragen de regering om te reflecteren op de
dataverordening in het licht van de aangekondigde Omnibus-wetgeving. Deze leden vrezen
dat de samenhang van het totale pakket aan datawetgeving, waaronder ook de AI Act
en de AVG, dreigt te verdwijnen door het herzien van Europese wet- en regelgeving.
Zij menen dat de feitelijke bescherming van het privacyrecht in Europa niet mag worden
aangetast door deregulering. Kan de regering ingaan op de zorgen van deze leden? Verandert
de scope of ambitie van de dataverordening als de Europese Commissie wetgeving samenvoegt
in één Omnibus-pakket?

Het kabinet volgt met interesse de ontwikkelingen rondom de mogelijke herziening van
digitaliseringswetgeving. Een uitgangspunt bij het herzien van Europese wetgeving
moet wat het kabinet betreft zijn dat dit de samenhang ten goede komt. Daarnaast moeten
ook ervaringen van toezichthouders en ondertoezichtgestelden een uitgangspunt vormen
voor de herziening.

Op dit moment is nog niet duidelijk op welke wetgeving een herziening betrekking zou
hebben. Op het gebied van data-wetgeving is er een viertal wetten met duidelijke samenhang,
namelijk de Dataverordening, Datagovernanceverordening, de Verordening voor het vrije
verkeer van niet-persoonsgebonden gegevens53 en de Open Data Richtlijn54. Het stroomlijnen van deze regelgeving, bijvoorbeeld door toe te werken naar eenduidige
begrippen, zou niet hoeven afdoen aan het ambitieniveau van deze regelgeving, en kan
juist de effectiviteit van deze regelgeving bestendigen.

Naast de genoemde regelgeving is de afgelopen jaren meer wetgeving met betrekking
tot het digitale domein tot stand gekomen. Behalve de AI verordening en de AVG gaat
het ook om regelgeving op het gebied van cyberveiligheid zoals de NIS-2 richtlijn55 en Cyberbeveiligingsverordening56 en wetgeving als de Digitalemarktenverordening en de Digitaledienstenverordening.
Het kabinet ziet vooralsnog geen aanleiding om al deze regelgeving samen te voegen
in een omnibus-wet gezien de verschillende doelstellingen van de regelgeving. Daarnaast
is een groot deel van deze regelgeving pas recent in werking getreden, waardoor een
gedegen evaluatie of effectmeting nog niet plaats heeft kunnen vinden.

De Europese Data Unie Strategie, die in 2026 wordt verwacht, zal meer helderheid verschaffen
over het stroomlijnen van de regelgeving met betrekking tot data. Wanneer er meer
informatie beschikbaar is over de ontwikkelingen op dit gebied en de Nederlandse beïnvloedingsactiviteiten
starten, dan is het kabinet bereid dit te delen met uw Kamer.

Daarnaast biedt de evaluatie van de Datagovernanceverordening uitgangspunten voor
een eventuele herziening. De ministeries van Economische Zaken en Binnenlandse Zaken
en Koninkrijksrelaties zullen hier in de tweede helft van 2025 samen met de betrokken
toezichthouders inbreng op leveren.

5.3. Richtlijn bedrijfsgeheimen

(46) De leden van de GroenLinks-PvdA-fractie vragen de regering om nader in te gaan op
de proportionele technische en organisatorische maatregelen die dienen te worden uitgewerkt
om bedrijfsgeheimen te beschermen.

De verordening verplicht gegevenshouders gegevens die worden gegenereerd door het
gebruik van een verbonden apparaat beschikbaar te stellen aan gebruikers en derden.
Het kan zo zijn dat deze gegevens bedrijfsgeheimen bevatten. Om te zorgen dat gegevensdeling
zoals beoogd onder de verordening dan toch mogelijk is terwijl de bescherming van
bedrijfsgeheimen geborgd blijft moeten gegevenshouders en gebruikers of derden in
eerste instantie maatregelen overeenkomen.57 Vaak zal een onderdeel hiervan zijn dat de partijen contractvoorwaarden overeenkomen
die de verplichtingen met betrekking tot bescherming van bedrijfsgeheimen vastleggen.
De Europese Commissie zal voor 12 september 2025 met modelcontractvoorwaarden over
de bescherming van bedrijfsgeheimen komen.58 Welke aanvullende maatregelen verder nodig zijn zal variëren op basis van het betreffende
apparaat en de betreffende gegevens en bedrijfsgeheimen. Dit kunnen bijvoorbeeld aanvullende
cybersecuritymaatregelen zijn om te voorkomen dat bepaalde gegevens verder worden
gedeeld of derden inzicht in de gegevens kunnen krijgen.

5.4. Contractenrecht en consumentenrecht

(47) De leden van de GroenLinks-PvdA-fractie willen meer weten over het recht op geïnformeerde
toestemming van gebruikers. Deze leden zijn benieuwd hoe dit wordt gerespecteerd met
de ingang van de dataverordening. Hoe worden burgers gewezen op het feit dat er nieuwe
regels gelden voor het delen van hun gegevens? Wanneer zijn gebruikers volgens de
regering op een toegankelijke en duidelijke manier gewezen op de doorgevoerde wijzigingen?
Zij wijzen erop dat gebruikers op de hoogte moeten zijn van hun rechten en de mogelijkheid
om zich daarop te beroepen.

Het kabinet benadrukt dat de rechten die burgers op grond van de AVG hebben met betrekking
tot privacy en gegevensbescherming ook onder de verordening onverminderd van kracht
zijn. De verordening bevat in aanvulling daarop verschillende verplichtingen voor
aanbieders van producten, gegevenshouders en derden om gebruikers te informeren over
het gebruik van gegevens en gegevens alleen te gebruiken voor overeengekomen doeleinden.59 De verordening legt daarmee specifieker vast dan nu het geval is hoe gebruikers van
verbonden apparaten moeten worden geïnformeerd over de verwerking van gegevens uit
verbonden apparaten. Dat vergroot de informatiepositie van gebruikers van verbonden
apparaten.

Het is aan de ACM als toezichthouder om te beoordelen of bedrijven aan deze informatieverplichtingen
voldoen en bij geschillen is de beoordeling uiteindelijk aan de rechter. Vanuit haar
taak als datacoördinator om datageletterdheid te bevorderen zal de ACM zich in brede
zin ook inzetten voor communicatie richting eindgebruikers over de mogelijkheden die
de verordening biedt.

Voor wijzigingen van voorwaarden wordt aangesloten bij wat ten aanzien van de aanpassing
van algemene voorwaarden is geregeld in het consumentenrecht. Elke wijziging van de
overeenkomst vereist de geïnformeerde toestemming van de gebruiker. Volgens het Nederlandse
recht is daaraan ook voldaan als de gegevenshouder in zijn voorwaarden, waarmee de
gebruiker bij het aangaan van de overeenkomst heeft ingestemd, een wijzigingsbeding
heeft opgenomen. Daarbij geldt wel de eis dat de wijziging redelijk moet zijn. Ook
moeten de nieuwe voorwaarden kenbaar zijn gemaakt aan de gebruiker en moeten zij na
de vaste looptijd ingaan. Indien de gegevenshouder zich niet aan deze eisen houdt,
kan de gebruiker de aanpassing in de overeenkomst laten vernietigen, waarmee zij ongeldig
wordt.

(48) De leden van de GroenLinks-PvdA-fractie vragen wat de gevolgen van de dataverordening
zijn voor bedrijven die zich onderscheiden door een hogere mate van consumentenbescherming
aan te bieden. Het kan zijn dat bedrijven een dienst willen aanbieden die extra waarborgen
biedt op het gebied van privacy en gegevensdeling. Kan het zijn dat de keuzevrijheid
van gebruikers afneemt doordat de Dataverordening bepaalt dat gegevens deelbaar moeten
zijn, ook als een bedrijf zich juist profileert door een hoge mate van (consumenten)bescherming?
Is dit risico reëel en zo ja, hoe wordt het ondervangen?

De verordening zorgt dat het voor aanbieders van verbonden apparaten, derden en aanbieders
van dataverwerkingsdiensten de norm wordt om transparant te zijn richting gebruikers
over gegevensgebruik en gebruikers meer controle te geven over het gebruik van gegevens.
Bedrijven kunnen zich binnen die norm nog steeds onderscheiden door een hogere mate
van privacy of bescherming te bieden. Bedrijven zullen op verzoek van de gebruiker
in sommige gevallen andere partijen toegang tot gegevens moeten geven. Dit belemmert
bedrijven niet om hun eigen producten en diensten, inclusief de deling van gegevens
met derden, in te richten met een hoger dan voorgeschreven mate van privacy en bescherming.

(49) De leden van de GroenLinks-PvdA-fractie waarderen dat de dataverordening probeert
om donkere patronen en misleidende ontwerptechnieken worden ingezet om gebruikers
te beïnvloeden. Deze leden vragen om uit te leggen wat de gevolgen zijn voor diensten
die hier gebruik van maken zodra de dataverordening van kracht is. Betekent dit dat
er op afzienbare termijn geen donkere patronen en misleidende ontwerptechnieken meer
mogen worden toegepast om gebruikers te beïnvloeden? Zij vragen of u dit kan toelichten
aan de hand van het recente besluit van Meta om gebruikersinformatie te gebruiken
voor het trainen van een eigen AI-model, waar gebruikers alleen op een omslachtige
manier bezwaar tegen konden maken. Is de werkwijze van Meta met terugwerkende kracht
in strijd met de dataverordening?

De bepalingen met betrekking tot donkere patronen en misleidende ontwerptechnieken
zijn van toepassing op gegevenshouders van gegevens uit verbonden producten en gerelateerde
diensten en derden die toegang hebben tot gegevens uit verbonden producten. De diensten
die Meta aanbiedt zoals Facebook en Instagram zijn geen aan verbonden producten gerelateerde
diensten en Meta komt als poortwachter niet in aanmerking als derde onder hoofdstuk
II van de verordening. Deze bepalingen zullen dus in principe niet van toepassing
zijn op de diensten waarvan Meta gebruikersinformatie wilde gebruiken. In het algemeen
is het niet aan mij om te beoordelen of in een individueel geval sprake is van inbreuk
op de verordening. Dat is aan de toezichthouder, in het geval van de verordening de
ACM, en bij geschillen uiteindelijk aan de rechter.

(50) De leden van de GroenLinks-PvdA-fractie zijn benieuwd hoe de modelcontracten voor
gegevensdelingsovereenkomsten tot stand gaan komen. Welke rol heeft de regering samen
met de toezichthouders om gebruikers te informeren over dergelijke (Europese) modelovereenkomsten
en bij te dragen aan het opstellen daarvan?

De Europese Commissie stelt de modelcontractvoorwaarden en standaardcontractbepalingen
op in overleg met experts en belanghebbenden. Het Europees Comité voor Gegevensinnovatie,
waaraan ACM deelneemt, kan de Europese Commissie hierin adviseren. Het Comité is voor
wat betreft de verordening nog niet van start gegaan. Het ligt in de lijn der verwachting
dat de samenwerking op een vergelijkbare manier wordt vormgegeven als bij de Datagovernanceverordening.
In dit kader bestaat het Comité uit een algemeen formeel overleg, waarin de Europese
Commissie voorstellen kan doen waarover gestemd kan worden door onder andere de ACM.
Daarnaast worden in diverse werkgroepen binnen het Comité door toezichthouders, zoals
de ACM, afspraken gemaakt op het gebied van bijvoorbeeld interpretatie van wetgeving
en procesmatige vraagstukken.

5.5. Staatsnoodrecht

(51) De leden van de GroenLinks-PvdA-fractie herhalen de noodzaak om vooraf duidelijkheid
te scheppen over de wijze waarop het staatsnoodrecht wordt ingezet met oog op deze
verordening. Deze leden ontvangen graag een duidelijke uitleg of een draaiboek voor
hoe en op welke momenten de bevoegdheden uit hoofdstuk V worden ingezet, zoals eerder
ook beschreven.

Hiervoor verwijs ik u graag naar de beantwoording van vraag 23.

6. Gevolgen

6.1. Regeldruk

(52) De leden van de PVV-fractie lezen dat het Adviescollege Toetsing Regeldruk (ATR)
het dossier niet heeft geselecteerd voor een formeel advies, omdat de uitvoeringswet
zelf geen gevolgen op het gebied van regeldruk zou hebben. Toch stelt de Raad voor
de Rechtspraak dat, hoewel de afzonderlijke uitvoeringswetten (i.e.: de Uitvoeringswet
datagovernanceverordening, de Uitvoeringswet digitaledienstenverordening en de Uitvoeringswet
digitalemarktenverordening) niet per definitie leiden tot een toename van de regeldruk,
dit cumulatief met de voorliggende Uitvoeringswet wél tot substantiële werklastverzwaring
kan leiden. Deze leden willen graag weten of de regering deze zorg deelt en wat het
gaat doen om deze werklastverzwaring tegen te gaan.

Ik erken dat het geheel aan digitale wetgeving effecten met zich mee kan brengen voor
de rechtspraak. In zijn advies geeft de Raad voor de Rechtspraak aan voornemens te
zijn om de balans hiervan op te maken en daarop nog terug te komen. Ik ben bereid
om over dit thema het gesprek aan te gaan met de Raad voor de Rechtspraak.

(53) De leden van de GroenLinks-PvdA-fractie vragen de regering om toe te lichten waarop
de aannames voor de kosten en baten van de dataverordening zijn gebaseerd. Kan zij
een ruwe inschatting maken van de voordelen die deze verordening heeft voor de Nederlandse
economie?

De aannames voor de kosten en baten van de verordening zijn gebaseerd op het impact
assessment van de Europese Commissie.60 In dit impact assessment zijn de kosten en baten niet per land uitgesplist. Redelijkerwijs
valt wel te verwachten dat Nederland hier min of meer evenredig in meedeelt. Nederland
loopt vergeleken met andere EU-landen voor met betrekking tot digitalisering en specifiek
gebruik van clouddiensten.61 De verordening heeft verschillende voordelen voor de Nederlandse economie. Allereerst
ontsluit het voorstel data voor Nederlandse bedrijven waar ze nu nog niet bij kunnen.
Denk aan gebruikers van slimme apparaten zoals industriële machines, tractoren en
consumentenelektronica. Door de toegangs- en gebruiksrechten die deze partijen krijgen
kunnen slimme apparaten makkelijker gerepareerd worden en kunnen Nederlandse bedrijven
nieuwe verdienmodellen ontwikkelen. Ook de bepalingen op het gebied van cloud hebben
economische voordelen.

(54) Krijgt Nederland zelf ook middelen toegewezen door de Europese Commissie om de implementatie
bij publieke organisaties en het bedrijfsleven op gang te brengen? Zo ja, hoeveel
en hoe gaat de regering deze besteden?

Er zijn vanuit de Europese Commissie geen middelen beschikbaar om implementatie mogelijk
te maken. De middelen voor de uitvoering van de verordening komen uit de begrotingen
van het Ministerie van Economische Zaken en het Ministerie van Binnenlandse Zaken
en Koninkrijksrelaties.

(55) De leden van de NSC-fractie vragen in hoeverre de regering ondersteuning of richtsnoeren
voorziet voor organisaties die moeten voldoen aan beide wettelijke kaders. Op welke
manier wordt gezorgd dat de uitvoering van de dataverordening leidt tot zo min mogelijk
onduidelijkheid en verhoogde regeldruk?

Het is aan de toezichthouders om te voorzien in richtsnoeren en communicatie richting
ondertoezichtgestelden. In aanloop naar de inwerkingtreding hebben de ministeries
van Economische Zaken en Binnenlandse Zaken en Koninkrijksrelaties gezorgd voor communicatie
over de verordening om zo eventuele onduidelijkheden weg te nemen. Dit middels onder
meer een pagina op ondernemersplein62, een webinar en presentaties bij verschillende branche- en belangenverenigingen.
Op de samenwerking tussen de ACM en de AP en hun rollen in het toezicht op basis van
de verordening en de AVG wordt ingegaan in de beantwoording van vraag 35 en vraag
44.

6.2. Gevolgen/uitvoeringslasten voor overheidsorganisaties

(56) De leden van de GroenLinks-PvdA-fractie vragen de regering om duidelijk te maken
hoe de hoogte van de aanvullende middelen voor de taken van de ACM en de AP worden
vastgesteld. Hierbij brengen zij in herinnering dat toezichthouders regelmatig aangeven
dat hun middelen te beperkt zijn om hun wettelijke taak naar behoren uit te voeren.

In de Uitvoerings- en handhavingstoetsen (UHT) die door de ACM en AP zijn gedaan is
aangegeven over welke middelen de toezichthouders naar eigen inschatting dienen te
beschikken om effectief toezicht te houden op de verordening. Er zijn op incidentele
basis in 2024 en 2025 middelen verstrekt aan de ACM en de AP om een effectief toezichtregime
in te richten. Vanaf 2026 worden er op structurele basis middelen verstrekt aan de
ACM en de AP. Het Ministerie van Economische Zaken zal in lijn met de uitgebrachte
UHT's de AP structureel middelen toekennen voor 11 fte en de ACM voor 16,25 fte. Voor
het onderdeel van de verordening waar het Ministerie van Binnenlandse Zaken voor verantwoordelijk
is (Hoofdstuk V) is met de AP overeengekomen structureel middelen voor 5 fte beschikbaar
te stellen. Er zal regelmatig met de toezichthouders worden geëvalueerd of de toegekende
middelen afdoende zijn om effectief toezicht op de verordening mogelijk te maken.

(57) Kunt de regering toelichten hoe andere lidstaten de hoogte van deze middelen vaststellen
en hoe Nederland overeenkomt of afwijkt van die systematiek?

In beginsel maken lidstaten allemaal een eigen keuze over de inrichting van het toezicht
op Europese verordeningen wanneer dit toezicht bij de lidstaten wordt belegd. Dat
betekent dat lidstaten ook allemaal een eigen systematiek hanteren om vast te stellen
hoeveel middelen de aangewezen toezichthouders krijgen. De hoeveelheid beschikbare
middelen hangt af van onder andere de nationale economische en politieke context binnen
een lidstaat en hangt ook samen met de grootte van het aantal bedrijven dat onder
het toezicht valt. Aangezien er geen eenduidige systematiek is kan Nederland daar
ook niet mee overeenkomen of afwijken.

(58) De leden van de D66-fractie lezen dat de ministeries van Economische Zaken en Binnenlandse
Zaken en Koninkrijksrelaties zorg zullen dragen voor de structurele financiering van
de uitvoering en handhaving van de verordening. Deze leden vragen in hoeverre de AP
op dit moment al over voldoende middelen beschikt om haar taken in algemene zin en
onder deze verordening – met name toezicht op internationale datastromen en overheidsverzoeken
– effectief uit te voeren. Welke ordegrootte aan structurele middelen is nodig en
op welke termijn wordt hierover duidelijkheid geboden?

De AP heeft in haar UHT aangegeven over hoeveel middelen zij naar eigen zeggen dient
te beschikken om effectief toezicht te houden op de verordening. Hierbij gaat het
specifiek om middelen voor het toezicht op de verordening en niet om middelen in algemene
zin, bijvoorbeeld voor het toezicht op de AVG.

Het Ministerie van Economische Zaken is met de AP overeengekomen om in lijn met de
UHT structureel middelen toe te kennen voor 11 fte. Het Ministerie van Binnenlandse
Zaken is met AP overeengekomen structureel middelen voor 5 fte beschikbaar te stellen.
Deze hoeveelheid extra medewerkers is nodig om toezicht te houden, voorlichting te
kunnen geven, (internationale) onderzoeken uit te voeren, te handhaven, klachten op
te pakken en samen te werken met de ACM.

Er is duidelijkheid geboden aan de AP dat deze middelen structureel ter beschikking
worden gesteld. Het is de verwachting dat deze hoeveelheid fte voldoende is om de
taken op basis van de beoogde Uitvoeringswet dataverordening te vervullen.

7. Evaluatie

(59) De leden van de GroenLinks-PvdA-fractie willen weten of de regering een deadline
hanteert voor de uiterlijke publicatie van de nationale evaluatie.

Het kabinet zal voorafgaand aan de evaluatie van de Europese Commissie de verordening
en de uitvoeringswet evalueren. De Europese Commissie zal uiterlijk 12 september 2028
verslag uitbrengen over de evaluatie. Ik verwacht rond die tijd ook aan de Kamer te
kunnen rapporteren wat er uit de nationale evaluatie is gekomen.

8. Advies en consultatie

8.1. Internetconsultatie

(60) De leden van de GroenLinks-PvdA-fractie delen de zorgen over grijze gebieden in de
normuitleg. Er zijn wel degelijk situaties waarin een uitleg vanuit het privacyperspectief
kan botsen met een uitleg vanuit commercieel perspectief. De dataverordening dient
beide belangen. Dient de dataverordening volgens u overwegend het belang van rechtsbescherming,
of commercie? Verwacht u dat deze afweging wordt doorvertaald in de normuitleg die
de toezichthouders hanteren? Zij waken ervoor dat pas achteraf duidelijk wordt hoe
bepaalde definities worden uitgelegd zodra er precedent is geschept. Onzekerheden
over de normuitleg tast namelijk de positie van beide toezichthouders aan, omdat zij
verantwoordelijk worden voor keuzes die wat deze leden betreft politiek zijn. Daarom
vragen deze leden om bij de toezichthouders na te gaan of dit risico naar hun oordeel
voldoende is weggenomen.

Het kabinet wil in het licht van de vraag van deze leden benadrukken dat rechtsbescherming
en handelsbevordering geen tegenstrijdige beleidsdoelen zijn. Vaak gaan deze concepten
zelfs hand in hand. Zo draagt wetgeving op het gebied van consumentenbescherming bij
aan rechtsbescherming en daarmee ook aan een groter vertrouwen van consumenten in
onze economie en markten. Dat komt onze economie ook ten goede.

De verordening doet geen afbreuk aan de AVG. Bescherming van persoonsgegevens is juist
een voorwaarde die in de verordening is ingebouwd. In dit licht is de verordening
bij uitstek regelgeving die bijdraagt aan doelstellingen op zowel het gebied van rechtsbescherming
als handelsbevordering. Om recht te doen aan deze samenloop is dan ook bewust gekozen
voor een combinatie van toezicht door de ACM en de AP.

De gekozen manier van samenwerken tussen de ACM en de AP is in nauwe samenwerking
met de toezichthouders vastgelegd. Zoals toegelicht in de beantwoording van vraag
35 en vraag 44 is hierbij bewust om de toezichthouders deze samenwerking zelf vorm
te laten geven. De ACM en de AP werken momenteel aan een nieuw samenwerkingsprotocol
voor het toezicht op deze verordening. Het toezicht op de verordening zal regelmatig
met de toezichthouders worden besproken. Het kabinet zal daarin ook dit punt over
belangenafweging bij normuitleg meenemen.

(61) De leden van de NSC-fractie vragen de regering om een nadere uitleg over de samenhang
met de AVG. In hoeverre voorziet de regering mogelijke overlappingen of spanningen
tussen de verplichtingen uit de rataverordening en de AVG, bijvoorbeeld bij het delen
van gegevens die (deels) persoonsgegevens bevatten? Hoe wordt geborgd dat de toepassing
van de dataverordening niet leidt tot strijd met privacyregels of tot onbedoelde schending
van rechten van betrokkenen?

Hiervoor verwijs ik deze leden graag naar de beantwoording van vraag 44. Juridisch
is de verhouding tussen de verordening en de AVG dat de AVG onverlet van toepassing
is. Om dit goed in de praktijk te brengen zullen de ACM en de AP intensief moeten
samenwerken. De ACM en de AP werken momenteel aan een vernieuwd samenwerkingsprotocol
om dat vorm te geven.

8.2. Uitvoerbaarheid- en handhaafbaarheidstoets ACM

(62) De leden van de GroenLinks-PvdA-fractie vernemen graag of de tekstuele wijzigingen
in de Nederlandse versie van de dataverordening inmiddels zijn doorgevoerd.

De door de ACM voorgestelde tekstuele wijzigingen om vertaalfouten te adresseren worden
door het kabinet overgebracht aan de Europese Commissie. Het kabinet wacht de reactie
van de Europese Commissie daarop af. In principe worden alleen fouten gecorrigeerd
als zij kunnen leiden tot een foutieve interpretatie van de tekst.

8.3. Uitvoerbaarheid- en handhaafbaarheidstoets AP

(63) De leden van de GroenLinks-PvdA-fractie verwachten dat de taken van de AP zullen
vereisen dat er meer middelen beschikbaar worden gesteld door de ministeries van Economische
Zaken en Binnenlandse Zaken en Koninkrijksrelaties. Deze leden vragen waarom deze
niet vooraf gedekt kunnen worden met een structurele verhoging van het budget, met
de kennis dat de AP al jarenlang kampt met een financieringsprobleem.

Het kabinet kent de AP structureel extra middelen toe om de verordening uit te voeren.
De beantwoording van vraag 56 en vraag 58 gaan in op de hoogte van de toegekende middelen
en hoe deze is bepaald.

8.4. Wetgevingstoets AP

(64) De leden van de GroenLinks-PvdA-fractie vinden het opmerkelijk dat de voorstellen
van de AP niet worden gehonoreerd. Als toezichthouder die uiteindelijk moet toezien
op de wet, weegt het advies van de AP zwaar. Heeft de regering overwogen om de bepalingen
wel op te nemen of heeft u alternatieve oplossingen onderzocht? Zo ja, kunnen deze
beschreven worden? Kan de regering bij de AP bevestigen dat hun bezwaren nu naar wens
zijn weggenomen?

De AP heeft naar aanleiding van het verslag van uw Kamer aangegeven geen bezwaren
te hebben tegen het wetsvoorstel zoals dat nu voorligt in uw Kamer en ziet haar toezichttaak
als goed uitvoerbaar. De AP heeft eerder in haar wetgevingstoets en UHT aangegeven
bezwaar te hebben tegen het voorgestelde artikel uit de Uitvoeringswet over de samenwerking
tussen de ACM en de AP waar er sprake is van verwerking van persoonsgegevens. In de
beantwoording van vraag 35 en vraag 44 ga ik in op de samenwerking tussen de AP en
de ACM en waarom die is vormgegeven zoals beoogd in de uitvoeringswet. Dit is in nauw
overleg met de AP en de ACM tot stand gekomen. Ook paragraaf 8.4 van de memorie van
toelichting gaat uitgebreid in op de overwegingen naar aanleiding van de toetsen die
AP heeft uitgevoerd.

8.5. Advies Raad voor de Rechtspraak

(65) De leden van de GroenLinks-PvdA-fractie vragen om na te gaan bij de Raad voor de
Rechtspraak of het derde punt dat zij heeft meegegeven met uw uitleg voldoende is
afgedaan. Deze leden betwijfelen of dit grijze gebied overlaten aan de normuitleg
van toezichthouders niet te voorkomen is door vooraf al een norm vast te stellen en
dit per wet of in de memorie van toelichting te bekrachtigen. Heeft de regering dit
overwogen, en waarom kiest zij ervoor de normuitleg over te laten aan de toezichthouders?
Bovendien vragen de leden om welwillend te staan tegenover het toekennen van middelen
voor de Raad voor de Rechtspraak, in het geval dat blijkt dat er extra middelen nodig
zijn voor alle taken rondom digitale wetgeving.

In reactie op de vraag van deze leden of het derde punt uit het advies voldoende is
afgedaan stelt de Raad voor de Rechtspraak dat omwille van de leesbaarheid hij verdere
verduidelijking aanraadt, maar dat het aan de wetgever is de adviezen wel of niet
over te nemen. De Raad heeft aangegeven dat dit geen onoverkomelijk punt betreft.
De mogelijke dubbele rol van een aanbieder van een verbonden product die tevens gegevenshouder
is volgt rechtstreeks uit de verordening. Aangezien de verordening een geharmoniseerd
kader betreft mogen lidstaten geen aanvullende nationale voorschriften vaststellen
of handhaven over aangelegenheden die binnen het toepassingsgebied van de verordening
vallen, tenzij dat uitdrukkelijk is bepaald.63 Daarom kan er niet in de Nederlandse uitvoeringswet een andere invulling van deze
rollen worden vastgelegd dan in de verordening. Het kabinet heeft dit dus ook niet
overwogen. Het is aan de toezichthouder, in dit geval de ACM, om de normen uit de
verordening uit te leggen en toe te passen.

Zoals aangegeven in de beantwoording van vraag 52 ben ik bereid in gesprek te gaan
met de Raad voor de Rechtspraak over de effecten van het geheel aan digitale wetgeving
op de rechtspraak.

(66) De leden van de NSC-fractie merken op dat de memorie van toelichting geen nadere invulling
wordt gegeven aan de begrippen «uitzonderlijke omstandigheden» en «ernstige economische
schade» zoals genoemd in artikel 4, achtste lid en artikel 5, elfde lid van de verordening.
Dit ondanks een verzoek van de Raad voor de Rechtspraak. Deze leden willen de regering
verzoeken om een toelichting op deze keuze te geven. Waarom is ervoor gekozen geen
verdere duiding aan deze begrippen te geven, en acht het kabinet dit in lijn met het
streven naar rechtszekerheid?

De Raad voor de Rechtspraak vraagt om verduidelijking hoe «uitzonderlijke omstandigheden»
en «ernstige economische schade» kunnen worden vastgesteld als een partij zowel aanbieder
van een verbonden product als gegevenshouder is. Daarmee vraagt de Raad voor de Rechtspraak
niet om verduidelijking van de termen zelf. Op dit punt uit het advies van de Raad
voor de Rechtspraak ga ik in de beantwoording van vraag 65 in. De termen «uitzonderlijke
omstandigheden» en «ernstige economische schade» worden in overweging 31 van de verordening
nader toegelicht. Hier ga ik in de beantwoording van vraag 14 op in. Er kan niet in
de Nederlandse uitvoeringswet een andere invulling van deze termen worden vastgelegd
dan in de verordening.

9. Overgangsrecht en inwerkingtreding

(67) De leden van de GroenLinks-PvdA-fractie willen weten wat de verwachting is voor wanneer
de nationale wet in werking kan treden. Deze leden twijfelen of 12 september 2025
haalbaar is. Welke gevolgen zijn er als deze niet tijdig in werking treedt? Betekent
dit dat de toezichthouders geen taken kunnen uitvoeren rondom de Dataverordening?
Zijn de deadlines van 12 september 2026 en 12 september 2027 nog haalbaar als de wet
niet op tijd wordt doorgevoerd?

De regels uit de verordening treden hoe dan ook in werking op 12 september 2025. Als
de uitvoeringswet dan nog niet in werking is getreden hebben de toezichthouders geen
bevoegdheden om toezicht te houden en de naleving van de verordening te handhaven.
Zij kunnen dan onder andere geen formele onderzoeken starten, klachten in behandeling
nemen of sancties opleggen. Ook voordat de uitvoeringswet is werking is getreden,
maar wel na inwerkingtreding van de verordening, kunnen geschillen over naleving van
de verordening al worden voorgelegd aan een gecertificeerd geschillenbeslechtingsorgaan
of aan de rechter. De deadlines van 12 september 2026 en 12 september 2027 zoals in
de verordening opgenomen staan vast en kunnen niet worden verschoven.

Het kabinet heeft zich tot het uiterste ingespannen gedaan om het voorstel voor de
uitvoeringswet zo snel mogelijk met de betrokken partijen af te stemmen en vervolgens
aan uw Kamer te doen toekomen. Het kabinet waardeert dat uw Kamer de behandeling van
het wetsvoorstel zo voortvarend heeft opgepakt. In lijn met de voortvarende aanpak
van uw Kamer heb ik ook de beantwoording van de vragen zo snel mogelijk ter hand genomen.
Gezien de aankomende inwerkingtreding van de regels uit de verordening hoopt het kabinet
dat dat deze voortvarende lijn kan worden voortgezet bij de verdere behandeling, die
dan hopelijk spoedig kan worden afgerond.

OVERIG

(68) De leden van de PVV-fractie constateren dat in de beantwoording op vragen uit de Eerste
Kamer
64
, op pagina 14, de Minister toezegde het parlement op de gebruikelijke momenten en
conform de afspraken te zullen informeren over het onderhandelingsproces op de dataverordening,
waarin ook zou worden ingegaan op de voortgang met betrekking tot de bevoegdheid voor
publieke instanties om data op te vragen in geval van «uitzonderlijke noodzaak». Graag
zouden deze leden de hieraan gelieerde stukken willen ontvangen.

De toegezegde stukken zijn reeds verzonden aan uw Kamer in het verslag van de formele
Telecomraad van 6 december 202265, de Kamerbrief Voortgang onderhandelingen Dataverordening66 en de geannoteerde agenda van de formele Telecomraad van 2 juni 2023.67

(69) Tot slot hebben de leden van de PVV-fractie kennisgenomen van de oproep uit het Rapport
van Draghi om de overregulering aan te pakken die innovatie in de weg staat. Constaterende
dat de vrees bestaat dat de dataverordening juist innovatie in de weg staat door derde
partijen eenvoudiger toegang te verlenen tot data van concurrenten, waardoor het verdienmodel
aangetast wordt en daarmee de daaruit voortvloeiende budgetten die innovatie mogelijk
maken, willen deze leden graag weten of de Minister het kabinetsstandpunt zal innemen
dat ook de dataverordening heroverwogen dient te worden en wat de Minister gaat doen
om dit standpunt uit te dragen bij de Europese Commissie.

Zoals in de kabinetsreactie op het Draghi-rapport uiteengezet zet het kabinet zich
in voor het verminderen van regeldruk voor bedrijven en ondernemers, zodat ruimte
ontstaat voor innovaties die kunnen bijdragen aan een duurzamere toekomst.68 Het kabinet ziet de verordening vooral als kans om innovaties op het gebied van datagebruik
en clouddiensten mogelijk te maken, en ziet geen aanleiding het standpunt van deze
leden dat de verordening over te nemen moet worden heroverwogen.

De Minister van Economische Zaken,
V.P.G. Karremans