De EU ziet de digitale transitie als essentieel voor de economische ontwikkeling en strategische autonomie van de EU. Hiervoor is de Digitale Strategie opgesteld waar een groot aantal Verordeningen uit voort vloeien. In deze blog geven we een overzicht van alle Verordening die raken aan de bescherming van persoonsgegevens en het gebruik van data. En we zetten we op een rijtje wanneer welke Europese Verordening van kracht wordt. Dat een Verordening van kracht (entry into force) is, betekent nog niet dat hieraan rechten kunnen worden ontleend. Dit kan pas nadat de wet “applicable”, toepasbaar is verklaard. De reden van de termijn tussen “entry into force” en applicable” is dat Lidstaten maar ook andere partijen die met de nieuwe wet te maken krijgen tijd hebben om zich voor te bereiden.
Elke verordening heeft, als ze toepasbaar is verklaard, directe werking: de regels gelden voor alle lidstaten. Met een zogenaamde uitvoeringswet kunnen nationale lidstaten de Verordening zelf verder invullen.
Digital Market Act (DMA)
Deze is afgelopen mei toepasbaar geworden. De Verordening stelt regels voor grote online platvormen, de zgn. poortwachters: zoekmachines, sociale netwerken, Cloud- en computingdiensten. Die hebben een zodanige marktpositie dat zakelijke en eind- gebruikers niet of nauwelijks meer om deze platforms heen kunnen. Doel van de DMA is om gebruikers van die platforms beter te beschermen en te zorgen voor beter werkende digitale markten.
De Nederlandse uitvoeringswet voor de DMA zit op het moment van schrijven van deze blog in het wetgevingstraject
Digital Governance Act (DGA)
Deze Verordening die op 24 september jl. van kracht werd, bevat regels voor het delen van gegevens en data en beoogt dat:
• gegevens met vertrouwen kunnen worden gedeeld
• meer gegevens beschikbaar worden gesteld
• gegevens technisch gemakkelijk te hergebruiken zijn.
Met een raamwerk wordt een veilige omgeving voor het delen van gegevens gemaakt zodat nieuwe businessmodellen ontwikkeld kunnen worden.
Daarnaast komt er een landelijk register van erkende “data-altruïsten”. Dit zijn organisaties die gegevens verzamelen voor een algemeen belang, bijvoorbeeld gegevens die nodig zijn voor medisch-wetenschappelijke onderzoeken. Het Register geeft zekerheid dat data in goede handen zijn.
Op het moment van schrijven van deze blog werkt het kabinet aan de implementatie van deze Verordening.
Network and Information Security Act (NIS2)
De Network and Information Security Verordening, of NIS2-verordening, is de opvolger van de NIS-richtlijn. Het doel van deze richtlijn is om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 geldt voor meer sectoren en stelt strengere beveiligingsnormen en meldingsvereisten voor incidenten.
De NIS2 zal in oktober 2024 toepasbaar zijn. Op dit moment wordt aan de uitvoeringswet gewerkt.
Digital Operational Resilience Act (DORA)
DORA geldt specifiek voor de financiële sector. Het doel van de DORA wetgeving is om de eisen aan het beheersen van ICT-risico’s te harmoniseren en zodat de continuïteit van de kritieke processen wordt gewaarborgd.
Verzekerings- en herverzekeringsondernemingen, verzekeringstussenpersonen, beleggingsinstellingen, beheermaatschappijen, banken, crypto-asset serviceproviders, instellingen voor bedrijfspensioenvoorziening en aanbieders van ICT-diensten aan deze sectoren krijgen te maken met deze Verordening.
In januari 2025 zal DORA toepasbaar worden.
Digital Service Act (DSA)
De DSA is het tweelingbroertje van de DMA. De Verordening regelt de verplichtingen die digitale dienstverleners hebben voor hun rol als schakel tussen consumenten enerzijds en aanbieders van goederen, diensten en content anderzijds. Het raakt dus connectiviteitsdiensten, Content Delivery Networks, hosting providers en online platformen. Maar ook uitgevers en adverteerders krijgen met de DSA te maken. Bij hen wordt de verplichting neergelegd om toegang te geven tot tools die de performance van advertenties meten.
Een belangrijke verplichting is dat online platformen bij elke advertentie realtime aan iedere individuele websitebezoeker duidelijke en ondubbelzinnige informatie moet verstrekken. Die moet duidelijk maken:
• dat de gebruiker een advertentie ziet
• namens wie de advertentie wordt weergegeven.
• welke parameters worden gebruikt voor het tonen van een advertentie aan een gebruiker.
Daarnaast moeten bezoekers zelf eenvoudig de volgorde van berichten of video’s kunnen aanpassen. Nu doen YouTube, Facebook en andere platformen dat standaard via aanbevelingsalgoritmes op basis van de persoonlijke voorkeuren van gebruikers.
Vanuit privacy-optiek interessant: de DSA noemt in recital 52 alleen ‘toestemming’ en geen “gerechtvaardigd belang” als rechtsgrond voor advertenties.
De Data Act zal naar verwachting halverwege 2024 van kracht worden. Deze regelt dat gebruikers deels mede eigenaar worden van de data die door het Internet of Things worden gegenereerd. Gebruikers moeten te allen tijde zonder een verzoek in te dienen toegang krijgen tot de data die bijv. smartphones, slimme deurbellen en verlichting genereren.
De Verordening geeft daarnaast de mogelijkheid om een derde partij toegang tot de data te geven om daar waarde aan toe te voegen.
Online diensten en services moeten ook zo worden ingericht dat zij gegevens goed onderling kunnen delen zodat je makkelijker van bijv. een clouddienst kan wisselen.
In een eerdere blog (1) schreven we over de AI Act, regelgeving voor de ontwikkeling en toepassing van Artificial Intelligence. In juni 2023 stemde het Europese Parlement voor deze verordening. Dat betekent dat vertegenwoordigers van het Europese Parlement gaan onderhandelen over de tekst met de Raad van Ministers.
De verwachting is dat de Verordening in het voorjaar van 2024 zal worden aangenomen. Dan zullen ook de data voor het van kracht worden en de toepasselijkheid bekend worden.