De Dataverordening (“Data Act”)
De Europese Commissie heeft op 23 februari 2022 de Europese dataverordening (“Data Act”) voorgesteld, die het delen van data beoogt te bevorderen. Steeds meer gegevens worden door mensen en machines gegenereerd, bewaard en hergebruikt. Data en data-analyse kan een bijdrage leveren aan de efficiëntie van maatschappelijke processen, onderzoek en innovatie stimuleren en het concurrentievermogen van industrieën versterken. Veel data is echter niet vrij toegankelijk.
Het voorstel beoogt de verdere voltooiing van een eengemaakte gegevensmarkt waarin gegevens van de overheid, het bedrijfsleven en particulieren optimaal worden benut, met inachtneming van de rechten in verband met die gegevens (zoals privacy rechten) en de investeringen die in het verzamelen ervan zijn gedaan. Deze voorgestelde verordening maakt onderdeel uit van de EU-strategie om de digitalisering van de interne markt te versnellen en vormt een aanvulling op zowel de Data Governance Verordening als de Wet inzake digitale markten.
Op wie is de dataverordening gericht?
De concept-dataverordening is gericht op:
- Fabrikanten van producten en aanbieders van aanverwante diensten die in de Europese Unie op de markt worden gebracht en gebruikers van deze producten en diensten;
- Houders van gegevens die gegevens beschikbaar stellen aan ontvangers van gegevens in de Europese Unie;
- Ontvangers van gegevens in de Europese Unie aan wie gegevens ter beschikking worden gesteld;
- De openbare lichamen en instellingen, agentschappen of organen van de Europese Unie die houders van gegevens verzoeken om gegevens beschikbaar te stellen indien er een uitzonderlijke behoefte aan die gegevens bestaat voor de vervulling van een taak van algemeen belang en de houders van gegevens die deze gegevens verstrekken; en
Aanbieders van gegevensverwerkingsdiensten die dergelijke diensten aanbieden aan klanten in de Europese Unie.
De concept-dataverordening heeft ten doel een geharmoniseerd kader te bieden voor o.a.:
- Het delen van gegevens;
- De voorwaarden voor toegang door overheidsinstanties;
- Internationale gegevensoverdracht;
- Cloud-switching en interoperabiliteit; en
-
Het waarborgen dat contractuele overeenkomsten inzake toegang tot en gebruik van gegevens geen misbruik maken van onevenwichtigheden in onderhandelingsmacht tussen contractpartijen.
Het delen en beschikbaar maken van informatie en de voorwaarden die aan het delen van data of het gebruik daarvan mogen worden gesteld worden aldus geregeld.
Verder bevat het concept een bepaling waarmee databanken die machinaal gegenereerde gegevens bevatten en die zonder intellectuele inspanning tot stand zijn gekomen, worden uitgesloten van de bescherming van het sui generis databankenrecht.
De eerste reacties prompt na publicatie kwamen vanuit de Verenigde Staten. Het huidige voorstel wordt door Amerikaanse ICT- dienstverleners als een extra obstakel gezien, bovenop het al zo beperkte en strikte regime voor uitwisseling van persoonsgegevens op basis van de Europese privacywetgeving. Amerikaanse ICT-dienstverleners geven aan dat de nieuwe bepalingen van internationale doorgifte van niet-persoonsgegevens onnodig en onnodig beperkend zijn. Cloud-computing aanbieders zullen waarschijnlijk altijd te maken hebben met gegevens die een combinatie zijn van zowel persoons- als niet-persoonsgegevens. Hierdoor zouden zij zowel de Algemene Verordening Gegevensbescherming als de Dataverordening moeten naleven, wat tot nog meer struikelblokken leidt, bijvoorbeeld omdat niet gespecifieerd is welke autoriteit zal toezien op de naleving van de dataverordening, zo stellen zij.
Het concept zal op ook op allerlei andere onderdelen nog op de nodige weerstand stuiten en nog veel discussie oproepen. Het ligt nu voor het Europees Parlement en de Raad van Ministers. Deze treedt 20 dagen na haar bekendmaking in het Publicatieblad van de Europese Unie in werking en is met ingang van 12 maanden na de datum van inwerkingtreding van toepassing.