De stroom aan nieuwe Europese wetgeving op het gebied van de digitale economie lijkt in de afgelopen periode haast onuitputtelijk. Er wordt ook wel gesproken over een ‘Regulatory Big Bang’. Eén van de onderdelen van deze oerknal is de onlangs aangenomen Dataverordening. In deze blog staan we stil bij de achtergrond en de belangrijkste elementen van de Dataverordening.
Met de Dataverordening wil de Europese wetgever zorgen voor een eerlijke digitale economie en wil ze gelijktijdig de concurrentie en innovatie binnen deze digitale economie stimuleren. De Dataverordening richt zich dan ook met name op het wegnemen van drempels die dit bemoeilijken. Zoals de naam van de verordening al verraadt is het kernbegrip van deze wetgeving ‘data’. Data kennen we natuurlijk in vele maten en soorten. Denk bijvoorbeeld aan persoonlijke data, oftewel persoonsgegevens, die centraal staan in de Algemene Verordening Gegevensbescherming. In de Dataverordening staat data gegenereerd door slimme apparaten (Internet of Things) centraal. Let wel: ook deze data kunnen tot een persoon zijn te herleiden en dus kwalificeren als een persoonsgegeven. In dat geval zijn zowel de Algemene Verordening gegevensbescherming als de Dataverordening van toepassing.
Het overgrote deel van de door slimme apparaten gegenereerde data blijft op dit moment onbenut, terwijl juist deze data enorm veel economische en maatschappelijke potentie heeft. Zonde dus om links te laten liggen vindt de Europese wetgever.
Hoe zorgt de Dataverordening ervoor dat deze data daadwerkelijk gebruikt gaat worden? Hiervoor zijn tal van maatregelen bedacht. Hieronder hebben wij de meest essentiële maatregelen toegelicht.
In de praktijk is het vaak alleen de fabrikant van slimme apparaten die toegang heeft tot de data die door deze apparaten is gegenereerd. Dit is in de meeste gevallen een gevolg van de manier waarop slimme apparaten zijn ontworpen. Het is voor de gebruiker vaak simpelweg niet mogelijk om de gegenereerde data (rechtstreeks) te raadplegen. Hierdoor wordt een vrije stroom van deze data en daardoor ook de innovatie en concurrentie op de digitale markt geremd. Hierin schuilt dan ook het meest fundamentele probleem dat de Dataverordening wil oplossen.
De Dataverordening bepaalt dan ook dat de gebruiker – voor het aangaan van een overeenkomst - moet worden geïnformeerd over de manier waarop de data wordt gegenereerd en over de rechten die hij heeft op grond van de Dataverordening. Hiernaast moet het voor de gebruiker zo makkelijk mogelijk worden gemaakt om de gegenereerde data en metadata (rechtstreeks) te raadplegen. Mocht dit niet mogelijk zijn dan moet de datahouder de data en metadata - op verzoek van de gebruiker - kosteloos en zo snel als mogelijk ter beschikking stellen aan de gebruiker. Zo krijgt de gebruiker een sterkere positie ten opzichte van datahouders én meer controle over de data. Wanneer de data persoonsgegevens betreffen kwalificeren de rechten uit de Dataverordening een aanvulling op de al bestaande rechten van inzage en dataportabiliteit als bedoeld in de Algemene Verordening Gegevensbescherming.
Verder bepaalt de Dataverordening dat overheidsinstanties in bepaalde situaties toegang kunnen krijgen tot data en metadata van partijen in de private sector. Bijvoorbeeld wanneer dit noodzakelijk is in het kader van het reageren op een openbare noodsituatie. Zo wordt bevorderd dat ook overheidsinstanties de maatschappelijke potentie van deze data kunnen benutten.
Naast het krijgen van toegang tot de data moet het voor gebruikers ook makkelijker worden om de data te delen of over te stappen naar andere dienstverleners. Bijvoorbeeld wanneer een gebruiker wil wisselen tussen aanbieders van diensten voor zijn slimme apparaten of wanneer een gebruiker gebruik wil maken van de diensten van een andere partij. Denk aan de situatie dat een consument zijn elektrische auto wil laten repareren en de reparateur hiervoor de data nodig heeft. In dat geval moet de fabrikant de data die de elektrische auto heeft verzameld op een effectieve en veilige manier delen met de reparateur. Zo wordt wederom de potentie van de data optimaal benut. Deze derde partij mag de data dan wel enkel gebruiken voor het met de gebruiker overeengekomen doel. In dit geval dus het repareren van de auto.
Een andere maatregel ziet op het beschermen van MKB-ondernemingen tegen oneerlijke contractuele voorwaarden, van grote partijen in de markt, die het delen van data direct of indirect beperken. Datahouders moeten de data op een eerlijke, redelijke, niet-discriminerende en transparante wijze ter beschikking stellen aan gebruikers. In de Dataverordening zijn dan ook een aantal voorbeelden opgenomen van bedingen die als oneerlijk worden bestempeld, wanneer ze eenzijdig worden opgelegd aan een (MKB-)onderneming. Hiernaast zal de Europese Commissie modelcontracten opstellen die gebruikt kunnen worden door (MKB-)ondernemingen bij het onderhandelen over dit soort afspraken.
Om het delen van data verder te vergemakkelijken zijn in de Dataverordening maatregelen genomen om de interoperabiliteit van data te bevorderen. Concreet houdt dit in dat voorschriften zijn opgenomen die zien op het standaardiseren van formats en protocollen van data. De bedoeling hiervan is dat slimme apparaten en diensten zo beter op elkaar aansluiten en daardoor makkelijker kunnen samenwerken en data kunnen uitwisselen.
Met de bovenstaande maatregelen wil de Europese wetgever op kop blijven lopen in de transitie naar een digitale economie en bijdragen aan het tot stand komen van een Europese interne markt voor data.
Op dit moment doorloopt de Dataverordening de laatste stappen van het formele goedkeuringsproces. De verwachting is dat de Dataverordening vanaf medio 2025 daadwerkelijk gaat gelden.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.