data act: weer een bouwsteen voor de eu data strategie

Data is steeds belangrijker geworden om de maatschappelijke en commerciële doelstellingen van bedrijven en andere organisaties te realiseren. De Europese Commissie verwacht dat de data economie in de EU in 2025 een waarde vertegenwoordigt van 829 miljard euro. Om te komen tot goede data governance zal iedere organisatie een aantal stappen moeten doorlopen. Goed inzicht in de relevante huidige en toekomstige wet- en regelgeving is daarbij van groot belang om het potentieel optimaal te benutten. 

In het rijtje van toekomstige wetgeving dient naast de eerder aangekondigde Data Governance Act ook de Data Act te worden opgenomen. Met deze in februari 2022 voorgestelde Europese verordening heeft de Europese Commissie een nieuwe stap gezet in haar Europese data strategie. Met deze strategie beoogt de Europese Unie een rolmodel te worden voor een maatschappij waarin data domineert. De Data Act past daarbij in een trend waarbij de focus niet langer ligt op persoonsgegevens, maar alle data omvat. De Data Act bevat een aantal ingrijpende verplichtingen voor een breed palet aan marktpartijen.  

Internet of Things producten en -diensten 
Bedrijven worden verplicht hun Internet of Things producten en -diensten zo te ontwerpen dat gebruikers gemakkelijk toegang kunnen krijgen tot alle gegevens die door het gebruik ervan worden gegenereerd. Voordat dergelijke producten en diensten worden verkocht aan de gebruiker in de EU dient bovendien gedetailleerde informatie aan de gebruiker te worden verstrekt over de gegevens die worden gegenereerd. Niet alleen het gebruik van persoonsgegevens, maar ook het gebruik van andere gegevens wordt beperkt en is niet langer toegestaan zonder een contractuele relatie met de gebruiker. 

De gegevens die door Internet of Things producten en -diensten worden gegenereerd, moeten zonder onnodige vertraging, kosteloos en (indien van toepassing) in realtime ter beschikking worden gesteld aan de gebruiker van het desbetreffende product of de desbetreffende dienst. Onder dezelfde voorwaarden kan de gebruiker vragen dat deze gegevens beschikbaar worden gesteld aan een derde partij, maar niet aan zogenoemde poortwachters die zijn aangewezen in het kader van de EU-wetgeving inzake digitale markten. Voor de praktijk betekent dit dat interfaces zullen moeten worden gebouwd of herzien. 

De Europese Commissie heeft wel voorzien in enkele waarborgen voor de aanbieders van deze gegevens. Zo mogen de gegevens door de ontvanger niet worden gebruikt om concurrerende producten of diensten te ontwikkelen. Ook hoeven de gegevens die bedrijfsgeheimen bevatten, alleen te worden bekendgemaakt op grond van specifieke geheimhoudingsregelingen (maar de gegevens moeten nog steeds openbaar worden gemaakt). Het blijft nog even zoeken wat deze beperking exact voor de praktijk gaat betekenen.  

Clouddiensten 
De Data Act bevat verschillende voorstellen die beogen het overstappen tussen verschillende clouddiensten te versoepelen, evenals het overzetten van alle clouddiensten naar een on-premise-oplossing. Deze voorstellen omvatten verschillende contractuele waarborgen, een beperking van de duur van het overstapproces tot 30 dagen, de geleidelijke afschaffing van eventuele overstapkosten, en verplichtingen om te zorgen voor een technisch soepele overstap. Voorgaande eisen gelden voor een breed spectrum aan clouddiensten, variërend van eenvoudige gegevensopslagdiensten tot geavanceerde software-as-a-service-oplossingen. 

Ook bevat de conceptverordening strenge beperkingen op het internationaal delen van gegevens door clouddiensten. Cloudaanbieders moeten alle nodige maatregelen nemen om internationale toegang tot of doorgifte van in de EU bewaarde niet-persoonsgebonden gegevens te voorkomen wanneer dit in strijd zou zijn met de wetgeving van de EU of de lidstaten, bijvoorbeeld in het licht van regels ter bescherming van de grondrechten van een persoon, de nationale veiligheidsbelangen van een lidstaat of intellectuele eigendomsrechten. In tegenstelling tot het regime in de Algemene verordening gegevensbescherming geldt hier dus dat internationale doorgifte is toegestaan, tenzij.  

Verzoeken om toegang tot gegevens van derde landen zijn alleen toegestaan indien zij gebaseerd zijn op internationale overeenkomsten (bijvoorbeeld een wederzijds rechtshulpverdrag) of indien het rechtsstelsel van het derde land een soortgelijke bescherming biedt als de Data Act. 

Afronding 
Naast de bovenstaande onderwerpen bevat de Data Act nog voor de praktijk relevante voorstellen op verschillende andere terreinen zoals gedetailleerde regels voor de voorwaarden waaronder gegevenshouders gegevens beschikbaar moeten stellen indien zij daartoe verplicht (eerlijk, redelijk en niet-discriminerend), de vaststelling van geharmoniseerde interoperabiliteitsnormen voor gegevensuitwisseling en wordt er ingegaan op verzoeken om toegang tot gegevens door overheidsinstanties in de hele EU. 

Aangezien de Data Act een verordening betreft zal deze te zijner tijd rechtstreeks van toepassing worden in de Europese Unie zonder omzetting in nationale wetgeving. Voordat het zover is zullen eerst het Europees Parlement en de Raad van de Europese Unie met hun eigen tekstvoorstel komen. Vervolgens zullen er onderhandelingen plaatsvinden om tot een eensgezinde tekst te komen (triloog). De Europese Commissie stelt voor om de verordening 12 maanden later in te laten gaan.