Timelex
toonaangevend nichekantoor
Menu

De ondraaglijke lichtheid van gegevens - hoe de Europese Dataverordening het ongrijpbare zal reguleren

Author info
Magdalena Kogut-Czarkowska
Magdalena Kogut-Czarkowska
Hans Graux
Hans Graux
17/03/2022
Privacy & gegevensbescherming

De Europese Commissie heeft haar langverwachte voorstel voor een Europese Dataverordening (volledige naam: Verordening van het Europees Parlement en de Raad inzake geharmoniseerde regels voor de eerlijke toegang tot en het eerlijke gebruik van gegevens, de "Data Act"). Timelex had de eer om de Commissie in twee afzonderlijke studies bij te staan en een deel van de analyse te leveren die aan de goedkeuring van het voorstel voorafging. In deze blogpost verkennen we de ambitieuze aanpak van de EU om de toegang tot gegevens te reguleren en geven we antwoorden op de meest relevante vragen voor bedrijven en consumenten.

Waarom wil de EU gegevens reguleren? Over welke gegevens gaat het?

In de EU wordt al geruime tijd gediscussieerd over de noodzaak om ervoor te zorgen dat gegevens vaker en onder eerlijker voorwaarden toegankelijk zijn. De Data Act is het resultaat van deze besprekingen, en regelt digitale data in zeer ruime zin, met inbegrip van informatie die door geconnecteerde apparaten wordt gegenereerd, en diverse soorten gegevens waarover bedrijven beschikken. Daar kunnen ook persoonsgegevensonder vallen, hoewel de wet daar niet toe beperkt is, en er ook niet specifiek op gericht is.

Het doel van de Data Act is dus:

  • het beschikbaar stellen van gegevens die door het gebruik van een product of een verwante dienst zijn gegenereerd, aan de gebruiker van dit product of deze dienst,
  • beschikbaarstelling van gegevens door de houders van de gegevens aan bepaalde ontvangers,
  • verplichte uitwisseling van gegevens tussen bedrijven en regeringen, wanneer daar een uitzonderlijke behoefte aan bestaat,
  • het aanpakken van oneerlijke bedingen in contractuele overeenkomsten betreffende het delen van gegevens,
  • de omschakeling tussen bepaalde gegevensverwerkingsdiensten te vergemakkelijken,
  • de bescherming van niet-persoonlijke gegevens uit de EU die in het bezit zijn van bepaalde dienstverleners.

Het voorstel heeft raakvlakken met een aantal andere Europese regels (zoals de GDPR, de Verordening betreffende het Vrije Verkeer van Niet-persoonsgebonden Gegevens, de Databankrichtlijn, de Open Data Richtlijn, en de Richtlijn betreffende Oneerlijke Bedingen in Consumentenovereenkomsten) en recente voorstellen (met name de Digital Markets Act en de Data Governance Act). De Verordening zal van toepassing zijn op vrijwel iedereen die in de EU gevestigd is, en op wie in de EU zaken doet.

Hoe zullen gebruikers van aangesloten apparaten baat hebben bij de Data Act?

Steeds meer producten worden met het internet verbonden, of het nu gaat om een auto, een huishoudelijk apparaat zoals een koffiezetapparaat of een koelkast, virtuele assistenten, medische apparatuur of industriële machines. Deze machines - waaronder de meeste IoT-apparaten - genereren een enorme hoeveelheid gegevens over hun gebruik. Bovendien zijn er verschillende diensten, zoals software-apps, nodig om de producten te laten werken, die dan zelf ook weer gegevens creëren. Deze gegevens worden vaak opgeslagen door de fabrikant of distributeur van het product of de aanbieder van de dienst (in de Data Act wordt de term: "houder van de gegevens" (data holder) gebruikt). Momenteel zijn de regels voor de toegang tot deze gegevens door de eigenaar van het product niet erg eenduidig. In de praktijk kan de houder hierdoor een groot deel van de economische waarde van de gegevens naar zich toetrekken, door beperkingen op te leggen die gunstig zijn voor de houder.

De Data Act zal de gebruikers van de aangesloten producten en aanverwante diensten het recht geven op toegang tot de gegevens die door die producten en diensten worden gegenereerd. Deze gegevens kunnen nodig zijn voor reparatie of onderhoud, maar kunnen ook voor andere doeleinden en diensten worden gebruikt. Zo zou een autobezitter de gegevens van zijn voertuig naar de verzekeraar kunnen exporteren om een korting te krijgen omdat hij een voorzichtige bestuurder is, of zou een bedrijf een consultant kunnen inhuren die de gegevens van zijn IoT-toestellen analyseert om de bedrijfsvoering te optimaliseren.

Enkele belangrijke punten om op te merken:

  • het recht van de gebruiker zal gratis zijn en nietbeperkt blijven tot consumenten. Een bedrijf dat een connected device heeft gekocht of gehuurd (b.v. een koffiezetapparaat voor de werknemers) zal de productgegevens ook kunnen opvragen;
  • er zijn beperkingen van toepassing op wat de gebruiker met de verkregen gegevens mag doen. De gebruiker mag deze informatie bijvoorbeeld niet gebruiken om een concurrerend product te ontwikkelen;
  • de aangesloten producten moeten zo worden ontworpen dat de gebruiker de gegevens gemakkelijk kan opvragen, bijvoorbeeld via een online-account;
  • de gebruiker moet onder meer duidelijk en volledig worden geïnformeerd over de gegevens die door een connected device worden geproduceerd en over de manier waarop hij toegang tot die gegevenskan krijgen.

Er zijn ook enkele belangrijke beperkingen van toepassing:

  • de Data Act is niet van toepassing op gegevens die afkomstig zijn van producten waarvan de voornaamste functie de opslag en verwerking van gegevens is. Gegevens van een smartphone, een smart-tv of een laptop vallen er dus niet onder;
  • het recht op toegang tot de gegevens geldt nietvoor informatie die is afgeleid van de machinegegevens (bv. interpretatie van deze gegevens door de fabrikant).

Zullen fabrikanten de gegevens van de door hen geproduceerde apparaten nog kunnen gebruiken?

Ja, maar niet zonder beperkingen. Fabrikanten zullen met de gebruiker een overeenkomst moeten sluiten over hun gebruik van de niet-persoonlijke gegevens die door het product worden gegenereerd. Ook mogen zij uit deze gegevens geen inzichten afleiden over de economische situatie van de gebruiker, zijn activa of productiemethoden als dat de commerciële marktpositie van de gebruiker zou kunnen ondermijnen. Dit beschermt bijvoorbeeld landbouwers die slimme landbouwapparatuur gebruiken tegen fabrikanten die inzichten in landbouwopbrengsten zouden gebruiken om te speculeren op de prijs van landbouwgrondstoffen, waardoor de gegevens van een landbouwer in wezen tegen hem zouden worden gebruikt.

Welke andere entiteiten kunnen de gegevens over aangesloten apparaten opvragen?

De houder van de gegevens zal de gegevens van het aangesloten apparaat ter beschikking moeten stellen van elke derde partij die handelt op verzoek van de gebruiker. Dit recht kan nuttig zijn voor de aanbieders van reparatie- of andere diensten na verkoop.  Op die manier hoopt de Commissie concurrentie en innovatie te bevorderen.

Enkele praktische punten om op te merken:

  • de houder van de gegevens moet de gegevens onder eerlijke, redelijke en niet-discriminerende voorwaarden en op transparante wijze aan derden ter beschikking stellen. Hij mag met name niet discrimineren tussen vergelijkbare categorieën ontvangers, bijvoorbeeld door gegevens van een andere kwaliteit te verstrekken aan met hem verbonden ondernemingen dan aan niet-partners. Exclusiviteitscontracten zullen in beginsel verboden zijn;
  • de toegang tot productgegevens door een derde partij kan al dan niet kosteloos zijn. De Data Act staat de houder van de gegevens toe een redelijke vergoeding vast te stellen voor alle kosten die worden gemaakt om rechtstreeks toegang tot de gegevens te verschaffen (d.w.z. kosten die noodzakelijk zijn voor de reproductie van gegevens, de verspreiding via elektronische middelen en de opslag, maar niet voor het verzamelen of produceren van gegevens);
  • Wanneer de derde partij toegang tot de gegevens heeft gekregen, mag zij deze alleen gebruiken voor de doeleinden die met de gebruiker zijn overeengekomen en moet zij deze gegevens na de voltooiing van dit doel wissen. Ook mogen zij de gegevens bijvoorbeeld niet aan een andere partij doorgeven, tenzij dat noodzakelijk is voor de door de gebruikers gewenste dienstverlening.

Micro- en kleine ondernemingen zullen als gegevenshouders van deze verplichtingen worden vrijgesteld. De Data Act grijpt ook in wanneer het gaat om ondernemingen die kernplatformdiensten leveren en die door de Digital Markets Act als poortwachters (gatekeepers) zijn aangewezen. Dergelijke poortwachters zullen geen gebruik kunnen maken van dit recht. Het is hen ook verboden gebruikers aan te sporen om hen gegevens te verstrekken die de gebruikers zelfvan andere gegevenshouders hebben verkregen. Dit kan worden gelezen als een poging om het wegsluizen van gegevens van de kleinere spelers naar de reeds datarijke bedrijven te voorkomen.

Betekent dit dat mijn bedrijf onze gegevens aan mijn concurrenten moet bekendmaken?

Dit is mogelijk, maar hangt af van uw bedrijfsactiviteiten en van de plannen van uw concurrenten. Dit kan bijvoorbeeld gebeuren als uw klant zijn aangesloten apparaat bij een andere reparatiewerkplaats wil laten repareren, en die werkplaats daarvoor toegang tot uw gegevens zou moeten hebben.

Het voorstel tracht een zorgvuldig evenwicht te vinden tussen de belangen van de houders en de ontvangers van de gegevens, die concurrenten kunnen zijn. Geschillen over de voorwaarden voor de toegang tot gegevens kunnen niet alleen voor de rechter worden beslecht, maar ook door gecertificeerde geschillenbeslechtingsinstanties die door de lidstaten zijn ingesteld.

Wacht even. Staan databankrechten niet in de weg van deze gegevenstoegangsrechten?

Nee. De Data Act zal ook de Databankrichtlijn wijzigen. Zo zal het sui generis recht (dat de substantiële investeringen in een databank beschermt) niet van toepassing zijn op databanken met gegevens die zijn verkregen uit of gegenereerd door het gebruik van een product of een daarmee samenhangende dienst.

Zal de Data Act gevolgen hebben voor contractuele bepalingen betreffende het delen van gegevens?

Ja, maar niet alle overeenkomsten inzake gegevensuitwisseling zullen hierdoor worden beïnvloed. De Data Act grijpt alleen in wanneer het gaat om voorwaarden betreffende de toegang tot en het gebruik van gegevens die eenzijdig door een onderneming worden opgelegd aan een micro-, kleine of middelgrote onderneming (een KMO). De Data Act grijpt dus in in de vrijheid van contracteren in een B2B-context.

Deze bepalingen zijn bedoeld om een mogelijk gebrek aan evenwicht te verhelpen in de "take it of leave it"-dienstverleningsvoorwaarden die worden aangeboden door de grote aanbieders van bepaalde gegevensgerelateerde diensten (bijvoorbeeld hostingproviders). KMO's verkeren vaak niet in een positie om daarover te onderhandelen en kunnen dus gedwongen worden om nadelige of oneerlijke voorwaarden te aanvaarden als zij die diensten kopen.

Voorbeelden:

  • van oneerlijke bedingen in overeenkomsten: uitsluiting of beperking van de aansprakelijkheid van de partij die de bedingen eenzijdig heeft opgelegd voor opzettelijke handelingen of grove nalatigheid;
  • van bedingen die geacht worden oneerlijk te zijn: bepalingen die de opleggende partij toegang verlenen tot en gebruik laten maken van gegevens van de zwakkere contractspartij op een wijze die de rechtmatige belangen van deze andere contractspartij aanzienlijk schaadt, of bepalingen die de sterkere partij in staat stellen de overeenkomst met een onredelijk korte opzegtermijn te beëindigen.

De in de Data Act opgesomde voorbeelden moeten dienen als maatstaf voor de interpretatie van de algemene oneerlijkheidsbepaling. De Data Act bepaalt dat oneerlijke bedingen niet bindend zijn voor de zwakkere partij.

Moet mijn bedrijf zijn gegevens ter beschikking stellen van de overheid?

Dit kan, maar alleen onder zeer specifieke voorwaarden. De Data Act staat overheidsinstanties en openbare organen toe gegevens rechtstreeks op te vragen bij de houder ervan, zoals een bedrijf, indien zij kunnen aantonen dat er een uitzonderlijke noodzaak is om die gegevens te gebruiken. Het zal geen verrassing zijn dat de COVID-pandemie vaak wordt aangehaald als voorbeeld van een geval waarin er een duidelijk algemeen belang is voor overheidsinstanties om gegevens op te vragen die in het bezit zijn van particuliere entiteiten. Er zijn echter een aantal eisen waaraan de autoriteiten moeten voldoen, dus deze mogelijkheid moet eerder als uitzondering dan als regel worden gezien.

Deze eisen omvatten o.a. de volgende beperkingen:

  • Overheden mogen alleen in bijzondere omstandigheden om toegang verzoeken, bijvoorbeeld in geval van een noodtoestand of in situaties waarin de autoriteit haar taken niet kan uitvoeren omdat zij over onvoldoende gegevens beschikt en zij er niet in slaagt met andere middelen gegevens te verkrijgen.
  • Het verzoek moet gemotiveerd en evenredig zijn. Er worden de autoriteit ook beperkingen opgelegd met betrekking tot de behandeling van de ontvangen gegevens, bijvoorbeeld met het oog op de eerbiediging van de persoonlijke levenssfeer van de bekendgemaakte persoonsgegevens of de vertrouwelijkheid van bedrijfsgeheimen.
  • De door de overheid verkregen gegevens zullen niet beschikbaar zijn voor hergebruik in de zin van de Open Data Richtlijn. Deze bepaling zorgt ervoor dat het voldoen aan een dergelijke eis van de overheid er niet toe leidt dat de gegevens voor andere partijen toegankelijk worden.

De onderneming die een dergelijk verzoek ontvangt, moet er onverwijld aan voldoen. De Data Act voorziet echter in een procedure om het verzoek van de overheid aan te vechten. In principe - mits uitzonderingen - moeten de gegevens kosteloos aan de overheid worden verstrekt.

Zal de Data Act het overstappen tussen cloud providers vergemakkelijken?

Ja, volgens de Data Act moeten aanbieders van zogenaamde "gegevensverwerkingsdiensten" hun klanten in staat stellen zonder belemmering naar een andere aanbieder over te stappen - voortbouwend op het recht op gegevensoverdraagbaarheid van de GDPR, dat echter beperkt is tot persoonsgegevens. Dit zal gelden voor digitale diensten die “on-demand beheer en brede toegang op afstand tot een schaalbare en elastische pool van deelbare computermiddelen” mogelijk maken. Het meest voor de hand liggende voorbeeld zijn clouddiensten.

In de Datawet worden verschillende eisen genoemd die in het contract voor gegevensverwerkingsdiensten moeten worden opgenomen. Deze bepalingen zijn bedoeld om de positie van de cloud-afnemers te verbeteren en hun keuze om van aanbieder te veranderen zonder het risico te lopen hun gegevens of bedrijfscontinuïteit te verliezen, veilig te stellen.

Voorts zal de Data Act het gebruik aanmoedigen van vrijwillige modelcontractbepalingen voor de verleners van verwerkingsdiensten, die door de Commissie zullen worden gepubliceerd.

Hoe beschermt de Data Act niet-persoonsgebonden gegevens tegen doorgifte buiten de EU?

De GDPR verbiedt onrechtmatige doorgifte van persoonsgegevens buiten de EER. Dit neemt echter niet de bezorgdheid weg over onrechtmatige toegang van derden tot niet-persoonsgebonden gegevens die door gegevensverwerkingsdiensten in de EU worden bewaard. Daarom bevat het voorstel bepalingen om bijvoorbeeld informatie die relevant is voor de nationale veiligheid of defensie, commercieel gevoelige gegevens, handelsgeheimen en intellectuele eigendomsrechten te beschermen tegen onrechtmatige verkrijging door niet-EU-landen (derde landen). Het valt op dat de reikwijdte van de bescherming in theorie ruimer is dan onder de GDPR: waar de GDPR de doorgifte van persoonsgegevens regelt, schrijft de Data Act voor dat aanbieders gegevens moeten beschermen tegen het risico van toegang (zelfs als er geen sprake is van een daadwerkelijke doorgifte).

Krachtens deze bepalingen zullen de aanbieders van gegevensverwerkingsdiensten (zoals cloud- en edge-diensten) alle redelijke technische, juridische en organisatorische maatregelen moeten nemen om te voorkomen dat derde landen toegang tot data krijgen die in strijd is met strijdige verplichtingen om dergelijke gegevens krachtens de EU-wetgeving te beschermen, tenzij aan strikte voorwaarden is voldaan. In beginsel mag de doorgifte van dergelijke informatie alleen worden toegestaan indien er een internationaal verdrag van het verzoekende land met de EU of een lidstaat bestaat. Bij ontstentenis van een internationaal verdrag mag doorgifte of toegang alleen worden toegestaan indien de aanbieder zich ervan heeft vergewist dat het rechtsstelsel van het derde land bepaalde waarborgen biedt voor een dergelijke beoordeling, waaronder: de motivering en evenredigheid van het besluit waarbij toegang wordt verlangd, de rechtsmiddelen waarover de geadresseerde beschikt om dit besluit aan te vechten en de bevoegdheden van de rechtbank die het bezwaar zal behandelen. De verstrekker moet de houder van de gegevens ook in kennis stellen van de ontvangst van een verzoek om zijn gegevens.

Worden er in de Data Act eisen gesteld aan interoperabiliteit?

Ja, de Data Act bevat eisen inzake interoperabiliteit die relevant zullen zijn voor de exploitanten van dataruimten (data spaces), aanbieders van gegevensverwerkingsdiensten en verkopers van toepassingen die gebruik maken van slimme contracten. De Commissie zal ook kunnen verzoeken om technische specificaties of normen die effectieve interoperabiliteit van de cloud op het niveau van PaaS (platform-as-a-service) en SaaS (software-as-a-service) vergemakkelijken, te laten ontwikkelen door Europese normalisatie-instellingen.

Zullen er sancties worden opgelegd bij niet-naleving?

Ja, inbreuken op de verplichtingen uit hoofde van de Data Act zullen worden bestraft metGDPR-achtige financiële sancties van maximaal 20 000 000 euro, of in het geval van een onderneming, tot 4% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, indien dat bedrag hoger is.

Het voorstel schrijft voor dat elke lidstaat een of meer bevoegde autoriteiten aanwijst die toezicht houden op de handhaving. De natuurlijke personen en rechtspersonen zullen het recht hebben om tegen de inbreuken op hun rechten uit hoofde van de Data Act beroep in te stellen door bij die autoriteiten klachten in te dienen.

Wanneer is de Data Act van toepassing?

De Data Act is zojuist gepubliceerd en zal eerst nog door de andere regelgevers van de Europese Unie moeten worden goedgekeurd. In de komende weken zullen de mederegelgevers, de Raad van de EU en het Europees Parlement, het voorstel beoordelen en de besprekingen beginnen. Zodra de regels zijn goedgekeurd, zullen zij een jaar na de inwerkingtreding van de verordening van toepassing zijn.

Wilt u meer weten?

Ontwerp van de verordening: hier

Vragen en antwoorden: hier

Heeft u een specifieke vraag of wenst u ondersteuning in deze zaak? Wij helpen u graag. Boek een gratis 15-minuten call met Magdalena op magdalena.kogut.lawyer.brussels (voorbehouden voor organisaties).

Related posts