De Europese Unie heeft de afgelopen jaren sterk ingezet op het ontwikkelen van een Europese datastrategie om de voordelen van data te benutten, innovatie te stimuleren en tegelijkertijd de privacy en gegevensbescherming van individuen te waarborgen. Om de ontwikkeling van een Europese datastrategie mede vorm te geven, zijn onder andere de Data Governance Act (DGA) en de Data Act (DA) in het leven geroepen. Benieuwd wat die Europese ‘wetten’ voor u in de praktijk zullen gaan betekenen en hoe de DA en DGA zich verhouden tot bestaande wetgeving, zoals bijvoorbeeld de Algemene Verordening Gegevensbescherming (de AVG)? U leest er hieronder meer over.
Data Governance Act
Op 23 juni 2022 is de DGA in werking getreden en deze is sinds 24 september 2023 in de hele EU van toepassing. De DGA is een verordening wat betekent dat het rechtstreeks geldt in de gehele EU en niet geïmplementeerd hoeft te worden in nationale wetgeving. Dit betekent dat de DGA o.m. geldt in Nederland en dus regels geeft voor organisaties die in Nederland data verwerken.. De DGA beoogt processen en structuren te creëren om data (de termen ‘data’ en ‘gegevens’ worden in deze blog door elkaar heen gebruikt, maar er wordt hetzelfde mee bedoeld) te faciliteren. Het doel van de DGA is om hergebruik van overheidsinformatie te vergemakkelijken en het stimuleren van datadeling in het kader van het algemeen belang. In de DGA wordt dit het delen van data op ‘altruïstische wijze’genoemd hetgeen inhoudt dat er kosteloos gegevens worden gedeeld (met zogeheten ‘erkende organisaties voor data-altruïsme’) voor het algemeen belang, mits daarvoor door betrokkenen toestemming is gegeven. Denk bijvoorbeeld aan een patiënt met een bepaalde ziekte die zijn gegevens afstaat aan een erkende organisatie voor data-altruïsme voor onderzoek naar die ziekte. De DGA kent regels voor o.m. overheden, burgers en ondernemingen, waaronder bijvoorbeeld voorwaarden op grond waarvan hergebruik van (overheids)data dient te geschieden en regels voor erkende organisaties voor data-altruïsme.
De DGA vormt een aanvulling op de bestaande Europese Open Data Richtlijn (in Nederland geïmplementeerd in de Wet hergebruik overheidsinformatie (de Who). De categorieën overheidsinformatie waar de DGA hergebruik voor mogelijk maakt, vallen namelijk buiten het toepassingsgebied van de Open Data Richtlijn (denk hierbij bijv. aan informatie die handels-/bedrijfsgeheimen vormen, waarvan hergebruik onder de DGA mogelijk wordt gemaakt).
Data Act
Naast de DGA, ligt er thans een ‘voorstel voor een data-verordening, de zogenaamde Data Act (de DA). De DA is op dit moment nog niet in werking getreden. De DA vormt een aanvulling op de DGA. Een van de doelstellingen van de DA is het geven van meer controle aan consumenten en bedrijven over wat er met hun data kan worden gedaan. De DA focust zich op het creëren van een eerlijke digitale omgeving, het stimuleren van een concurrerende datamarkt, het voor iedereen toegankelijk maken van de van hun afkomstige data en het mogelijk maken van datagestuurde innovatie. De DA richt zich voornamelijk op gegevens afkomstig van IOT-apparaten (‘Internet Of Things’). Te denken valt bijvoorbeeld aan gegevens die door een Smartwatch zijn verzameld. Onder de DA wordt het bijvoorbeeld voor gebruikers van IOT-apparaten mogelijk om de gegevens die het apparaat heeft verzameld, op te vragen. Tevens kunnen derde partijen deze gegevens van gebruikers ontvangen. De voorwaarde is dan wel dat de gebruiker een verzoek doet aan de datahouder om deze gegevens ter beschikking te stellen aan de derde partij. De DA omvat regels voor o.m. fabrikanten (van IOT-apparaten), ondernemingen en gebruikers van IOT-apparaten.
Nieuwe begrippen
In de DGA/DA wordt onderscheid gemaakt in verschillende actoren in het data-proces. In de DGA wordt bijvoorbeeld een soort ‘tussenpersoon’ gecreëerd die het op een commerciële wijze delen van gegevens tussen actoren die gegevens bezitten (‘gegevenshouders’) en actoren die gegevens wensen (‘gegevensgebruikers’) faciliteert. Deze tussenpersoon wordt de ‘databemiddelingsdienst’ genoemd en zij mag die gegevens louter gebruiken in het kader van die doorgifte.
Verhouding AVG
De Algemene Verordening Gegevensbescherming (hierna: ‘AVG’) geeft regels voor een geharmoniseerde bescherming van persoonsgegevens in de EU. Met de komst van de DGA en de (nog niet inwerking getreden) DA wil de EU zorgen voor een interne markt voor data waar de data-economie kan worden benut.
Alle drie de verordeningen zijn dus gericht op gegevens en dat betekent dus ook dat er overlap kan zijn tussen de verschillende verordeningen. Hoe verhouden deze zich dan tot elkaar? Allereerst, de AVG is louter van toepassing op persoonsgegevens. Dat wil zeggen: alleen gegevens die direct of indirect herleidbaar zijn tot een natuurlijke persoon. Dat betekent dat gegevens die niet direct of indirect te koppelen zijn aan een persoon, geen persoonsgegevens zijn en de AVG daarop dus ook niet van toepassing is. Let er overigens wel op dat er in de praktijk sneller sprake is van persoonsgegevens dan men op het eerste gezicht denkt. Dat voert voor deze blog echter te ver. Twijfelt u of bepaalde gegevens persoonsgegevens zijn, neem dan contact met ons op.
De DGA en de DA zien op data in zijn algemeenheid en hebben dus een breder bereik dan uitsluitend persoonsgegevens. Dit uit zich ook in de bredere definitie die de DA en de DGA geven aan het begrip ‘gegevens’. Opmerking verdient dat persoonsgegevens wel degelijk onder de definitie van ‘gegevens’ kunnen vallen onder de DGA/DA. De DGA is bijvoorbeeld van toepassing op het hergebruik van overheidsgegevens die niet publiekelijk toegankelijk zijn. Binnen die overheidsgegevens kunnen zich zowel bedrijfsgeheimen, intellectuele eigendomsrechten als persoonsgegevens bevinden. In de DA wordt bijvoorbeeld expliciet benoemd dat de wet van toepassing is op zowel niet-persoonsgegevens als persoonsgegevens.
Kortom, persoonsgegevens vallen onder het bereik van alle drie de verordeningen. Maar welke verordening heeft dan voorrang bij een eventueel conflict van regels? Zowel in de DGA als in de DA wordt benoemd dat de AVG zal prevaleren in geval van strijdigheid.
Betrokkene en het datasubject
De DGA/DA en de AVG gebruiken verschillende termen voor de persoon op wie de data betrekking heeft. De AVG noemt het individu tot wie de persoonsgegevens te herleiden zijn de ‘betrokkene’. In de DGA/DA wordt gesproken over ‘datasubject’ (‘gebruiker'). De begrippen ‘betrokkene’ en ‘datasubject’ (‘gebruiker’) hebben echter dezelfde betekenis. Het is niet duidelijk waarom er in de DGA en de DA is gekozen voor een andere term.
Conclusie
Met de komst van de DGA en de nog niet in werking getreden DA worden er (naast de bestaande regels van de AVG) nieuwe Europese regels ingevoerd over data en gegevens. Als uw organisatie data verwerkt of verkrijgt, dan krijgt u er dus ook mee te maken. Zorg dat u zich goed voorbereid. Benieuwd wat voor uw organisatie allemaal mogelijk wordt en wat wel en niet mag t.a.v. data op grond van de DGA/DA? Wij leggen u het graag verder uit. Neemt u gerust contact met ons op.