Data sharing is caring: Nieuwe Europese regelgeving voor het delen van data in de ‘Data Act

De Europese Commissie heeft daarom op 23 februari 2022 haar voorstel voor de Europese Dataverordening (“Data Act”) gepresenteerd. De Data Act moet bijdragen aan de verdere voltooiing van een eengemaakte (industriële) digitale markt waarin data van de overheid, het bedrijfsleven en particulieren optimaal kunnen worden gedeeld en benut. Het voorstel is een belangrijke pijler van de Europese datastrategie, waarin wordt beoogd om de Europese Unie leider te maken in een data gestuurde samenleving. De maatregelen uit de Data Act vormen een aanvulling op de in november 2020 voorgestelde Data Governance Verordening. Deze verordening creëert de processen en structuren om data te faciliteren, de Data Act verduidelijkt wie onder welke omstandigheden waarde kan creëren uit data.

Hoewel de Data Governance Act inmiddels, op 24 september 2023, in werking is getreden, laat de inwerkingtreding van de Data Act vermoedelijk nog enkele maanden op zich wachten. Toch is het goed als organisaties zich nu alvast bewust worden van welke rechten en verplichtingen de Data Act met zich meebrengt en wat de gevolgen hiervan binnen de organisatie zullen zijn. Ook is het verstandig om als organisatie alvast voorbereidingen te treffen om uiteindelijk aan alle maatregelen van de Data Act te kunnen voldoen.

Toepassingsgebied Data Act

Artikel 2 van de Data Act bevat een definitie van het begrip ‘data’, waaruit volgt dat het voorstel zowel op persoonlijke als niet-persoonlijke data ziet. De verordening heeft hiermee dus een bredere reikwijdte dan de AVG en reguleert ook niet-persoonsgegevens. De Data Act stelt regels vast met betrekking tot het gebruik van data die gegenereerd zijn door Internet of Things (IoT)-apparaten. Hierbij kan gedacht worden aan allerlei slimme apparaten, zoals smart watches en smart meters, maar bijvoorbeeld ook auto’s en machines. Daarnaast moet de Data Act het gebruik van clouddiensten reguleren en het makkelijker maken om tussen verschillende aanbieders van clouddiensten te kunnen switchen.

De Data Act is van toepassing op de volgende organisaties:

1. fabrikanten van producten en leveranciers van gerelateerde diensten die in de EU in de handel worden gebracht en gebruikers van dergelijke producten of diensten;

2. datahouders die data ter beschikking stellen in de EU en data-ontvangers van die data;

3. overheidsinstanties en EU-instellingen die datahouders verzoeken om data beschikbaar te stellen wanneer er een uitzonderlijke noodzaak is om die data te gebruiken voor de uitvoering van een taak van algemeen belang en datahouders die deze data op een dergelijk verzoek verstrekken; en

4. aanbieders van dataverwerkingsdiensten in de EU.

Specifieke maatregelen

De Data Act stelt de basisregels vast voor de uitwisseling van data tussen bedrijven en consumenten, tussen bedrijven onderling en tussen bedrijven en de overheid in de eengemaakte Europese datamarkt. Het voorstel omvat onder andere de volgende specifieke maatregelen.

• Data uitwisseling tussen bedrijven en consumenten en bedrijven onderling is verplicht voor IoT-producten en gerelateerde diensten. Dergelijke producten en diensten moeten standaard worden ontworpen met toegang tot data.

• Datahouders van data uit IoT-producten zijn verplicht om die data beschikbaar te stellen op basis van eerlijke, redelijke en niet-discriminerende voorwaarden en transparantie.

• Oneerlijke contractuele voorwaarden met betrekking tot toegang tot data en het gebruik daarvan zijn verboden. Op deze manier moet worden voorkomen dat partijen met een aanzienlijk sterkere marktpositie daar misbruik van maken door oneerlijke contractuele bedingen op te leggen aan kleine en middelgrote ondernemingen om een eerlijke data uitwisseling te belemmeren.

• Overheidsinstanties krijgen in gevallen die noodzakelijk zijn voor specifieke doeleinden van het algemeen belang toegang tot data die in het bezit zijn van de particuliere sector. Hierbij kan gedacht worden aan een noodsituatie zoals een natuurramp, waarbij data nodig is om zo spoedig en adequaat mogelijk te kunnen handelen. Een ander voorbeeld is een geval zoals de coronapandemie, waarin de overheid toegang wenste tot data om het virus beter te kunnen bestrijden.

• Het overstappen tussen verschillende aanbieders van gegevensverwerkingsdiensten moet laagdrempeliger worden gemaakt. Aanbieders moeten de belemmeringen wegnemen die klanten verhinderen om over te stappen.

Hoe nu verder?

Op 28 juni 2023 hebben het Europees Parlement en de Raad van de Europese Unie een politiek akkoord bereikt over de Data Act. Naar verwachting zal deze verordening nog voor het einde van dit jaar formeel worden aangenomen. De Data Act zal twintig dagen na bekendmaking in het Publicatieblad van de Europese Unie in werking treden, maar vervolgens zullen de rechten en verplichtingen uit de dataverordening pas twintig maanden na inwerkingtreding, dus in het derde of vierde kwartaal van 2025, daadwerkelijk van toepassing zijn.

Hoewel dit nog erg ver weg lijkt, is het verstandig om als organisatie nu al de nodige voorbereidingen te treffen. Het kan immers best wel wat voeten in de aarde hebben om volledig aan alle nieuwe maatregelen uit de Data Act te voldoen. Het is daarom raadzaam om bijvoorbeeld alvast te inventariseren waar binnen de organisatie met IoT-producten wordt gewerkt of van welke aanbieders van clouddiensten gebruik wordt gemaakt. Daarnaast kan alvast worden nagedacht over de datastrategie. Welke processen zijn er op dit moment en wordt er al gebruik gemaakt van data uit IoT-producten, of gaat dat wellicht in de toekomst gebeuren? Daarbij kunnen het beste ook meteen juridische aspecten in acht worden genomen, zoals de vraag welke contracten moeten worden aangepast of welke informatievoorzieningen moeten worden uitgebreid als gevolg van de nieuwe dataverordening. Men kan immers maar beter beslagen ten ijs komen op het moment dat de Data Act daadwerkelijk van toepassing zal zijn.