Het voorstel voor de EU Data Act (‘Data Act’) ligt sinds 23 februari 2022 op tafel en is onderdeel van de Europese datastrategie van de Europese Commissie. Met haar strategie beoogt de Europese Commissie digitalisering te stimuleren en zowel betrokkenen als bedrijven nieuwe mogelijkheden te geven met betrekking tot data.
De Data Act maakt toegang tot en gebruik van data door bedrijven en consumenten gemakkelijker. De Data Act beoogt alle soorten data, dus zowel persoonlijke als niet-persoonlijke data, te reguleren, zonder hierbij af te doen aan de Algemene Verordening Gegevensbescherming (AVG). Ook geeft het regels over dataportabiliteit: het recht om data over te (laten) dragen. Dit speelt bijvoorbeeld wanneer een consument data van de ene dienst mee wil nemen naar een andere dienst.
De Databankenwet verleent de maker van een databank juist een exclusief recht op verzamelde en gestructureerde data. Dit idee van bescherming van data druist in tegen het idee van een vrije en toegankelijke data-uitwisseling. Hoe de Data Act het databankenrecht beïnvloedt, zullen we in deze blog bespreken.
Eerder schreven wij hier al over wat de Data Act zal betekenen voor Internet of Things producten en-diensten en voor clouddiensten en hier over oneerlijke bedingen betreffende de toegang tot en het gebruik van gegevens tussen ondernemingen.
Revisie Databankenrichtlijn
De Databankenwet komt voort uit de Databankenrichtlijn en verleent de maker die substantieel geïnvesteerd heeft in de verkrijging, de controle en/of de presentatie van de inhoud van een databank een exclusief recht op die databank. In 2017 voerde de Europese Commissie een publieke consultatie uit om te onderzoeken hoe de Databankenrichtlijn in de praktijk wordt toegepast en wat de impact ervan is op de gebruikers en makers van databanken. Uit het rapport bleek dat het databankenrecht nog altijd wordt gezien als ‘vaag’ en ‘te breed’ en dat de uitzonderingen op het databankenrecht juist ‘te beperkt’ zijn, waardoor de rechtszekerheid in het geding is.
De Europese Commissie kondigde in 2020 in haar Datastrategie en haar Intellectual Property Action Plan aan dat de Data Act onder meer een herziening van de Databankenrichtlijn zou bevatten. De Europese Commissie meende dat de Databankenrichtlijn weliswaar toegevoegde waarde biedt, maar dat deze dient te worden herzien om het gebruik van data te vergemakkelijken. De exclusiviteit van data wordt – als een niet-concurrerend goed – als een belemmering voor innovatie beschouwd, aldus de Europese Commissie.
Databankenrecht en het algemeen belang of uitzonderlijke situaties
Inmiddels is het voorstel voor de Data Act gepubliceerd en de bepalingen die betrekking hebben op het databankenrecht beperken zich tot één artikel, namelijk artikel 35 Data Act, en twee overwegingen (63 en 84).
Overweging 63 ziet op het databankenrecht op datasets die door overheids- of EU-instanties worden opgevraagd in het kader van het algemeen belang of andere uitzonderlijke situaties. Een van de doelstellingen van de Data Act is het voorzien in het gebruik door overheidsinstanties en EU-instellingen, – agentschappen of -organen van data die in handen zijn van ondernemingen. Dit geldt enkel in bepaalde situaties waarin er sprake is van een uitzonderlijke noodzaak om de data te gebruiken. Uit overweging 63 blijkt dat indien de databankenrechten sui generis van toepassing zijn op datasets die door overheidsinstanties, EU-instellingen, -agentschappen of -organen worden opgevraagd in het kader van het algemeen belang of andere uitzonderlijke situaties, deze instanties niet belet mogen worden de data overeenkomstig de Data Act te verkrijgen of te delen. Indien er sprake is van een noodsituatie op het gebied van de volksgezondheid, grote milieu- en natuurrampen, waaronder door de klimaatverandering verergerde rampen en door de mens veroorzaakte grote rampen, zoals grote cyberincidenten, zal het algemeen belang dat voortvloeit uit het gebruik van de data zwaarder wegen dan het belang van de datahouders om vrijelijk over hun data te beschikken. Dan zullen datahouders verplicht zijn de data beschikbaar te stellen en kunnen zij zich niet op hun databankenrecht beroepen.
Databankenrecht en data verkregen uit IoT-producten
Overweging 84 en artikel 35 zien op het databankenrecht op een databank wanneer er zich door Internet of Things (IoT) producten gegenereerde data in bevinden. Bij data gegenereerd door middel van IoT-producten kan gedacht worden aan data die een mobiele tracker genereert voor een vervoersbedrijf over de conditie van chemicaliën, maar ook aan data over bijvoorbeeld ziektes en aanwezigheid van insecten in de landbouw, gegenereerd door een drone die rondvliegt boven een akker. In overweging 84 en artikel 35 wordt bepaald dat databanken die data bevatten die zijn verkregen uit IoT-producten (in bepaalde gevallen) niet onder de bescherming van het databankenrecht vallen:
“Het in artikel 7 van Richtlijn 96/9/EG bedoelde recht sui generis is niet van toepassing op databanken die data bevatten die zijn verkregen uit of gegenereerd door het gebruik van een product of een gerelateerde dienst, om de uitoefening van het recht van gebruikers op toegang tot en gebruik van dergelijke data overeenkomstig artikel 4 van deze verordening of van het recht op het delen van dergelijke data met derden overeenkomstig artikel 5 van deze verordening, niet te belemmeren.”
Het is onduidelijk of artikel 35 Data Act alle databanken die enige machinaal gegenereerde data bevatten uitsluit van bescherming onder het databankenrecht of dat het gaat om databanken die alleen maar uit machinaal gegenereerde data bestaan. Daarnaast zou artikel 35 Data Act ook zo gelezen kunnen worden dat de bescherming alleen beperkt wordt voor zover het databankenrecht het recht van gebruikers uit artikel 4 of artikel 5 van de Data Act in de weg staat.
Meer context hierbij blijkt uit overweging 84:
“Om het risico weg te nemen dat houders van data in databanken die zijn verkregen of gegenereerd door middel van fysieke componenten, zoals sensoren, van een verbonden product en een gerelateerde dienst, aanspraak maken op het recht sui generis uit hoofde van artikel 7 van Richtlijn 96/9/EG wanneer dergelijke databanken niet in aanmerking komen voor het recht sui generis, en daardoor de daadwerkelijke uitoefening van het recht van gebruikers op toegang tot en gebruik van data en het recht om data met derde partijen te delen uit hoofde van deze verordening belemmeren, moet in deze verordening worden verduidelijkt dat het recht sui generis niet van toepassing is op dergelijke databanken aangezien niet aan de vereisten voor bescherming zou zijn voldaan.”
Uit overweging 84 lijkt te blijken dat het er niet zozeer om gaat dat de databank machinaal gegenereerde data bevat, maar dat het gaat om databanken die zelf zijn verkregen of gegenereerd door een machine, oftewel die enkel uit machinaal gegenereerde data bestaan. Hierover wordt in de laatste zin genoemd dat het recht sui generis niet van toepassing is, aangezien niet aan de vereisten voor bescherming zou zijn voldaan. In deze context bezien lijkt artikel 35 enkel te bevestigen dat een databank die (alleen maar) bestaat uit machinaal gegenereerde data, niet aan de toets uit de Databankrichtlijn zal voldoen. Artikel 35 Data Act laat echter nog wel ruimte voor discussie.
Datastrategie en databankenrecht
Ook in de Data Governance Act en de Open Data Act wordt het databankenrecht uitgesloten. Daar wordt bepaald dat het databankenrecht niet mag worden uitgeoefend door openbare lichamen om het hergebruik van gegevens te voorkomen en hergebruik te beperken tot buiten de bij deze verordeningen vastgestelde grenswaarden. In Nederland oordeelde de Rechtbank Midden-Nederland in 2021 al in lijn met deze bepalingen, toen zij oordeelde dat de Kamer van Koophandel geen databankenrecht had op het Handelsregister, omdat er geen economische drijfveer was en de Kamer van Koophandel een wettelijke taak uitvoert. De KVK (1) droeg namelijk niet het financiële risico van de investeringen in het handelsregister, omdat uit de wet blijkt dat de Rijksoverheid haar kosten dekt en (2) behoefde geen stimulans om de investeringen te doen, omdat zij die stimulans al heeft vanwege de aan haar opgedragen wettelijke taak.
Tot slot
Het databankenrecht van een databankenhouder zal met de komst van de Data Act beperkt worden voor zover een overheids- of EU-instelling data opvraagt in het kader van het algemeen belang of andere uitzonderlijke situaties. Ook bevestigen de Data Governance Act en de Open Data Act dat openbare lichamen geen beroep kunnen doen op het databankenrecht.
Of er praktisch gezien ook een nieuwe beperking zal gelden voor het beschermen van machinaal gegenereerde data is niet geheel duidelijk, aangezien artikel 35 Data Act veel ruimte laat voor discussie. In de context van overweging 84 lijkt het erop dat met artikel 35 Data Act voornamelijk wordt beoogd te bevestigen dat machinaal gegenereerde data de toets voor bescherming niet zullen doorstaan. Of dat ook daadwerkelijk is wat er met artikel 35 Data Act beoogd wordt en of deze data inderdaad echt nooit beschermd zouden kunnen zijn, zal moeten blijken. Vooralsnog draagt de zogenoemde ‘revisie’ van het databankenrecht in de Data Act nog niet bij aan een veel duidelijker beeld van wanneer het databankenrecht nu van toepassing is.
De positie van de (private) databankhouders wordt er al met al niet duidelijker op. De vraag is of dat, ook al liggen er duidelijke argumenten aan ten grondslag, de oorspronkelijke bedoeling van de databankenrichtlijn om investeringen in databanken en daarmee noodzakelijke investeringen te bevorderen niet uitholt.