Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 26 juli 2023 en het nader rapport d.d. 10 oktober 2023, aangeboden aan de Koning door de Minister van Economische Zaken en Klimaat. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.
Blijkens de mededeling van de Directeur van Uw kabinet van 15 mei 2023, nr. 2023001172, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 26 juli 2023, nr. W18.23.00113/IV, bied ik U hierbij aan.
De tekst van het advies treft u hieronder cursief aan, voorzien van mijn reactie.
Bij Kabinetsmissive van 15 mei 2023, no. 2023001172, heeft Uwe Majesteit, op voordracht van de Minister van Economische Zaken en Klimaat, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet tot uitvoering van de datagovernanceverordening, met memorie van toelichting.
Het wetsvoorstel strekt tot uitvoering van de verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende de Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening). De Datagovernanceverordening (DGA) biedt een kader voor het hergebruik van overheidsgegevens en het delen van data via databemiddelingsdiensten en data-altruïstische organisaties.
De Afdeling advisering van de Raad van State maakt een opmerking over de betekenis van de verordening en de uitvoeringswet voor Nederland en de verhouding tot relevante Europese en nationale regelingen. Ook adviseert zij de verplichte advisering door de AP uit het voorstel te schrappen. Zij adviseert verder inzicht te geven in de werkwijze van toezichthouders op nationaal en Europees niveau. Daarnaast adviseert zij de regering zich in te spannen voor het verkrijgen van duidelijkheid over normering, en stelt zij de mogelijkheid voor van het regelen van een bindende aanwijzing. Verder maakt zij opmerkingen over het doelbindingsbeginsel, de verhouding tot de Wet hergebruik van overheidsinformatie (Who) en de Open Data richtlijn, en de afstemming met nationaal recht. Tot slot adviseert zij voor «openbaar lichaam» een andere term te hanteren. Zij is van oordeel dat in verband met het voorgaande aanpassing van het voorstel en de toelichting, wenselijk is.
De DGA heeft als doel om meer gegevens beschikbaar te maken voor algemeen gebruik. Om dat doel te bereiken wil de DGA het vertrouwen vergroten in zogeheten databemiddelingsdiensten en data-altruïstische organisaties. De verordening beoogt een kader te stellen voor de volgende drie vormen van het delen van gegevens.2
Ten eerste het voor hergebruik beschikbaar stellen van overheidsgegevens, wanneer die gegevens onderworpen zijn aan rechten van anderen. Het betreft dan persoonsgegevens, gegevens waarop het statistisch geheim of het bedrijfs- of beroepsgeheim rust, en gegevens die beschermd zijn door intellectuele eigendomsrechten van derden. De verordening schept een kader waarbinnen deze gegevens moeten worden aangeboden als daar in nationale wetgeving een grondslag voor bestaat, de verstrekking niet in strijd is met de regelgeving op grond waarvan de gegevens beschermd zijn, en de verstrekking onder de openbare taken van de betrokken «openbare lichamen» valt.
Ten tweede het delen van gegevens door burgers of organisaties via een databemiddelingsdienst. Een aanbieder van databemiddelingsdiensten, waaronder gegevenscoöperaties, is een derde partij die bemiddelt tussen houders van gegevens en datasubjecten enerzijds en gegevensgebruikers anderzijds.3 Aanbieders van databemiddelingsdiensten mogen de ontvangen gegevens niet zelf gebruiken voor andere doelen, en moeten hun diensten aanbieden door een rechtspersoon die geen banden heeft met eventuele andere diensten van de aanbieder. De DGA beoogt met dit kader een alternatief te bieden voor de «big tech-bedrijven» die een aanmerkelijke marktmacht hebben.
Ten derde het delen van gegevens op altruïstische gronden. Data-altruïstische organisaties zijn een nieuw type niet-commerciële dienstverleners die zich richten op het ontsluiten van gegevens die personen of bedrijven vrijwillig ter beschikking stellen voor het algemeen belang. Een voorbeeld hiervan is de Duitse Corona-Datenspende-App die gezondheidsgegevens verzamelde om in een vroeg stadium corona-hotspots te ontdekken.4 Als databemiddelingsdiensten en data-altruïstische organisaties aan de vereisten van de DGA voldoen, mogen zij gebruik maken van een Europees label en logo.
Daarnaast regelt de DGA het Europees Comité voor gegevensinnovatie. Dit Comité is een deskundigengroep die onder meer als taak heeft de Commissie te adviseren en bij te staan, bijvoorbeeld door het voorstellen van richtsnoeren. Tot slot regelt de DGA de doorgifte van gegevens naar derde landen.
Het voorstel geeft op nationaal niveau uitvoering aan de DGA. Het voorstel schept zelf geen nieuwe grondslagen voor hergebruik van overheidsgegevens. De toelichting wijst op een aantal bestaande grondslagen voor hergebruik, zoals artikel 5:7 van de Wet open overheid (Woo), artikel 41 van de Wet op het Centraal bureau voor de statistiek, artikel 3.13 van de Wet basisregistratie personen, artikel 22 van de Wet politiegegevens en artikel 15 van de Wet justitiële en strafvorderlijke gegevens.
In het voorstel wordt de ACM belast met het toezicht op de naleving van de DGA.5 Ook wordt de ACM aangewezen als bevoegde autoriteit voor databemiddelingsdiensten en data-altruïstische organisaties.6 De AP zal de ACM van advies voorzien over de vraag of aanbieders van databemiddelingsdiensten en organisaties voor data-altruïsme die persoonsgegevens verwerken, voldoen aan de eisen die worden gesteld in de AVG.7 Advisering door de AP kan zowel vooraf plaatsvinden, bij de erkenning van de dienstverlener of organisatie, als achteraf, wanneer onderzoek wordt gedaan naar de naleving en eventuele handhaving van relevante bepalingen in de DGA.
Voor hergebruik van overheidsgegevens dient Nederland daarnaast een bevoegd orgaan aan te wijzen dat publieke instellingen bijstaat. Het voorstel regelt dat bij amvb één of meer bevoegde organen kunnen worden aangewezen.8 De toelichting vermeldt dat het voornemen is om in ieder geval het CBS aan te wijzen voor bijstand bij wetenschappelijk en statistisch hergebruik van overheidsgegevens.9
Daarnaast regelt het voorstel dat bij ministeriële regeling een centraal informatiepunt kan worden aangewezen.10 Dit centraal informatiepunt fungeert als contactpunt ter ondersteuning van onderzoekers en innovatieve bedrijven bij het identificeren van geschikte gegevens.11
Verder specificeert het voorstel wat in het kader van data-altruïsme als doeleinde van algemeen belang kan worden beschouwd. Ook ziet het voorstel op vergoedingen voor hergebruik van gegevens en vergoedingen voor de aanmelding van databemiddelingsdiensten.12 Tot slot regelt zij de gang naar de rechter.13
Voor een goed begrip van het voorstel wijst de Afdeling op de Europese context waarbinnen de DGA tot stand is gekomen. De DGA is onderdeel van de Europese datastrategie, die beoogt de Europese data-economie te ondersteunen.14 De datastrategie werd tegelijk gepresenteerd met de Europese digitale strategie,15 en het witboek voor regulering van kunstmatige intelligentie.16 Dit laatste resulteerde in het voorstel voor een AI-verordening, waar momenteel over wordt onderhandeld.17
Als onderdeel van de Europese digitale strategie werden, naast de DGA, de digitalemarktenverordening (DMA) en de digitaledienstenverordening (DSA) vastgesteld.18 De DSA legt verplichtingen vast voor «tussenhandeldiensten», als sociale media en online marktplaatsen. Voor zeer grote online platforms en zoekmachines gelden aanvullende verplichtingen. De DMA reguleert daarbij de «big tech-bedrijven» door voor ondernemingen die kernplatformdiensten aanbieden verplichtingen op te leggen en enkele oneerlijke praktijken te verbieden.
Naast deze meer op mededinging en productveiligheid gerichte verordeningen, richt de Europese datastrategie zich op het delen en gebruik van gegevens binnen de interne markt.19 De datastrategie poogt daarmee de Europese data-economie te stimuleren door gegevens te ontsluiten voor innovatie.
Uit de Europese datastrategie volgt naast de DGA ook de Dataverordening (DA) en domeinspecifieke gemeenschappelijke Europese gegevensruimten.20 De DA biedt net als de DGA kaders voor het delen van gegevens en verduidelijkt wie welke gegevens kan gebruiken en inzien voor welke doeleinden. De gemeenschappelijke gegevensruimten moeten daarnaast op specifieke gebieden juridische en technische belemmeringen voor het delen van gegevens tussen organisaties wegnemen.
Inmiddels is het voorstel voor een Europese ruimte voor gezondheidsgegevens gepubliceerd, en is een Europese gegevensruimte voor toerisme aangekondigd.21
De DGA is de eerste verordening waarvoor, met voorliggend voorstel, in nationaal recht uitvoeringsregels worden gesteld. De DGA bevat waarborgen om het hergebruik van overheidsgegevens op een verantwoorde manier mogelijk te maken en databemiddelingsdiensten en data-altruïstische organisaties te reguleren,22 zodat inbreuken op grondrechten worden beperkt en rechten van anderen (zoals intellectuele eigendom) niet worden geschonden.
De DGA kan zijn nuttige werking in de praktijk alleen hebben als het voor alle betrokkenen duidelijk is wat de DGA inhoudt. Volgens de Aanwijzingen voor de regelgeving dient de toelichting bij een implementatievoorstel in te gaan op de aanleiding en achtergronden van de te implementeren EU-rechtshandeling.23
De verordening heeft een abstract en technisch-procedureel karakter. Het is daardoor niet zo eenvoudig om een beeld te krijgen van de betekenis die de verordening en de uitvoeringswet in Nederland zullen hebben. De toelichting bevat alleen een korte abstracte uitleg van de beleidscontext, maar concrete voorbeelden over het soort gegevens waar het in de praktijk naar verwachting vooral om zal gaan, ontbreken. De toelichting gaat ook niet in op de verwachte impact en of er bijvoorbeeld al organisaties erkend willen worden als aanbieders van databemiddelingsdienst of als organisaties voor data-altruïsme, en wat voor activiteiten deze organisaties willen ontplooien.24
Zoals hierboven geschetst zullen in het kader van de Europese digitale strategie verschillende wettelijke regelingen tot stand komen. Elke regeling staat tot op zekere hoogte op zichzelf met een eigen doelstelling en invalshoek en een specifieke regel- en toezichtstructuur. Tegelijkertijd echter hangen deze regelingen inhoudelijk nauw met elkaar samen en moeten zij in de praktijk in die onderlinge samenhang worden toegepast. Te voorzien valt dat door de cumulatie van regelingen de complexiteit van de wetgeving toeneemt en in de praktijk tot de nodige afstemmingsvragen zal leiden.
De Afdeling stelt vast dat de toelichting aan die complexiteit nauwelijks aandacht besteedt; op de context, de betekenis, de verhouding tussen de verschillende Europese en reeds bestaande nationale wetgeving25 en de daarmee gepaard gaande complexe toezichtstructuur gaat de toelichting slechts summier in. Zo gaat de toelichting nauwelijks in op de vraag hoe de DGA zich verhoudt tot de DMA, de DSA, de DA en de AI-verordening. Voor een goed begrip en een effectieve werking van het voorstel acht de Afdeling het van belang dat de toelichting hier dieper en concreter, aan de hand van concrete voorbeelden, op ingaat.
Daarbij is ook van belang dat nader wordt ingegaan op reeds bestaande Europese wetgeving. Met name de verhouding tot de AVG behoeft nadere aandacht. De verordening bepaalt dat zij geen afbreuk doet aan de AVG, wat betekent dat bij tegenstrijdigheid de AVG prevaleert.26
Het blijft echter onduidelijk wat hiervan nu de exacte betekenis is. De AVG is een algemene kaderregeling voor gegevensbescherming, die in verschillende situaties concreet moet worden uitgewerkt. Zij biedt daarbij ruimte voor afwegingen, die anders kunnen uitvallen als er andere of nieuwe regelgeving is. Tegen die achtergrond kan met het oog op een werkbare toepassingspraktijk niet worden volstaan met het uitgangspunt dat de AVG voorrang heeft.
De Afdeling is ten slotte van oordeel dat in het kader van de uitvoering van de recente Europese regelingen en hun onderlinge verhouding de toezichtstructuur afzonderlijk aandacht behoeft. Zoals ook uit de toelichting blijkt zijn bij het toezicht op de naleving van de te onderscheiden Europese en nationale regels verschillende nationale autoriteiten bevoegd. Daarnaast bestaan ingevolge Europese wetgeving verschillende Europese coördinatiestructuren waaraan de nationale autoriteiten van de lidstaten en de Europese Commissie participeren.
Te voorzien valt dat als gevolg van de wettelijke regelingen die in het kader van de Europese digitale strategie tot stand zijn gekomen en nog tot stand zullen komen, de toezichtstructuur in vergelijking tot de huidige situatie, ook in grensoverschrijdende situaties27, nog complexer wordt.
Om een voor burgers, bedrijven, maatschappelijke organisaties en overheden werkbare uitvoeringspraktijk te creëren en te handhaven, meent de Afdeling dat de toezichtstructuur die van de recente wetgeving mede het gevolg is, nader moet worden doordacht.
De Afdeling adviseert in de toelichting op bovenstaande in te gaan en, aan de hand van concrete voorbeelden in te gaan op de betekenis van de verordening en de uitvoeringswet, hun verhouding tot relevante Europese en nationale regelingen en de op grond van de verschillende regelingen geldende toezichtstructuur.
De Afdeling stelt vast dat in de toelichting concrete voorbeelden over het soort gegevens en de verwachte impact van de verordening ontbreken. Ten aanzien van de soort gegevens die worden gedeeld is de verordening neutraal. Het gaat om sectoroverstijgende wetgeving waarbij alleen naar data wordt gekeken als een soort grondstof die kan worden gedeeld, maar waarbij de waarde uiteindelijk ontstaat door het te verwerken. Bij het faciliteren van de datastromen is de inhoud van de data of, anders gezegd, om wat voor soort data het gaat, minder relevant. De Europese Commissie beoogt dan ook dat via databemiddelingsdiensten in principe alle soorten data kunnen worden gedeeld en dat voor organisaties van data-altruïsme er geen beperking is op de soort data die kan worden gedoneerd. Wel is de intentie dat er meer bedrijfsmatige data (grotendeels niet-persoonsgegevens) worden gedeeld omdat er via deze wetgeving meer vertrouwen zou moeten zijn in het delen van deze data. In paragraaf 2 van het algemeen deel van de toelichting is dit verder toegelicht. Verder is ter verduidelijking een aantal voorbeelden van mogelijke databemiddelingsdiensten en organisaties voor data-altruïsme toegevoegd in paragrafen 3.2 en 3.3. Ten aanzien van de gevolgen voor bestaande organisaties en praktijken is in paragraaf 6 van het algemeen deel van de toelichting ingegaan op de verwachte impact op de praktijk. Daar wordt uiteengezet dat er momenteel weinig organisaties of praktijken onder de verordening vallen maar het doel van de verordening juist is om de ontwikkeling van dergelijke organisaties verder te stimuleren. Het aantal voorbeelden uit de praktijk is beperkt omdat de intentie van de Europese Commissie juist is om de ontwikkeling van deze praktijken te stimuleren, maar dat er tegelijkertijd nog maar beperkte kennis is over in welke richting deze praktijken zich zullen ontwikkelen. Daarom is er in deze verordening een kader gesteld om een aantal minimale eisen te stellen aan hoe deze praktijken zich zouden moeten ontwikkelen, zoals bijvoorbeeld de neutraliteit van databemiddelingsdiensten. Daarnaast wordt de verordening op 25 september 2025 geëvalueerd door de Commissie waarbij de impact en de ontwikkelingen in de praktijk worden meegenomen.
De Afdeling adviseert om in de toelichting nader in te gaan op de verhouding tot reeds bestaande Europese wetgeving. Hierbij wordt specifiek de verhouding tot de DMA, DSA, DA en de AI-verordening benoemd. Dit advies van de Afdeling is overgenomen. In paragraaf 5.4 van de memorie van toelichting wordt nu nader ingegaan op de verhouding van de DGA tot de DMA, DSA, AI Act en Data Act. In algemene zin is er weinig inhoudelijke overlap tussen deze verordeningen en de DGA. Hoewel al deze verordeningen betrekking hebben op de digitale economie zijn zowel de reikwijdte als de normadressaten van de genoemde verordeningen grotendeels verschillend. Ook hebben de verordeningen sterk uiteenlopende doelstellingen. Zo bevat de digitalemarktenverordening (Digital Markets Act; DMA) regels voor de allergrootste online platforms. De digitaledienstenverordening (Digital Services Act; DSA) harmoniseert de regels die van toepassing zijn op zogenaamde aanbieders van «tussenhandeldiensten», waaronder online platforms, online marktplaatsen, sociale mediadiensten en internetaanbieders. Het voorstel voor de Artificiële Intelligentie verordening (Artificial Intelligence Act; AI Act) bevat geharmoniseerde regels voor het in de handel brengen en het gebruik van AI-systemen in de Unie volgens een risicogebaseerde aanpak op basis van risico’s voor gezondheid, veiligheid en fundamentele rechten. De dataverordening (hierna: Data Act; DA) is een Europese verordening die nauw aansluit bij de doelen van de DGA. Deze verordening komt ook voort uit de Europese datastrategie, op het moment van schrijven zijn de onderhandelingen afgerond maar moet de definitieve tekst nog gepubliceerd worden. De Data Act geeft consumenten en bedrijven meer zeggenschap – door het toekennen van gebruiks- en toegangsrechten – over wat er kan worden gedaan met de data die door hun gebruik van verbonden producten (internet of things) worden gegenereerd. Daarnaast legt de Data Act regels vast voor concurrentie op de markt voor clouddiensten en regelt deze verschillende zaken met betrekking tot data-interoperabiliteit. Daar waar mogelijke overlap in normadressaten bestaat wordt dit toegelicht.
De Afdeling adviseert om in de toelichting nader in te gaan op de verhouding tot reeds bestaande Europese wetgeving, met name de verhouding tot de AVG. De Afdeling geeft terecht aan dat de toepassing van de AVG afhankelijk is van de concrete situatie. In paragraaf 5.1 van de memorie van toelichting wordt aangegeven wat de verordening regelt over de verhouding tot de AVG. De verordening regelt ten algemene dat de AVG voorgaat, hoe dit uitpakt in een concrete situatie moet blijken in de praktijk. De Autoriteit persoonsgegevens bepaalt als toezichthouder hoe de AVG in een concrete situatie toegepast moet worden. De toelichting kan daarom nu nog niet verder worden aangevuld: dit moet duidelijk worden in de praktijk.
De Afdeling adviseert om in de toelichting nader in te gaan op de complexe toezichtstructuur die ontstaat als gevolg van de wetgeving gericht op de Europese digitale strategie die de komende jaren zal worden geïmplementeerd. Ook adviseert de Afdeling dat deze toezichtstructuur nader dient te worden doordacht.
Vooralsnog lijkt de veronderstelling dat de focus op digitalisering leidt tot een complexere toezichtstructuur dan die waarvan sprake is in een analoge wereld niet in het algemeen het geval te zijn. Ook in een analoge wereld gelden voor een (rechts-)persoon immers verschillende wetten en regels, waarbij ook verschillende toezichthouders horen. Een dergelijke situatie is niet uniek voor wetgeving rondom digitalisering. Omdat digitalisering een sectoroverstijgende ontwikkeling is, zullen alle toezichthouders, in meer of mindere mate, te maken krijgen met toezichtstaken op een digitaal aspect op hun terrein. Het is belangrijk dat toezichthouders bij het toezicht op deze digitale aspecten hun bestaande onderlinge samenwerking voortzetten en waar nodig zelfs uitbreiden. Uiteraard vraagt deze ontwikkeling dat toezichthouders over voldoende capaciteit en expertise beschikken en deze waar nodig ontwikkelen.
De totstandkoming van Europese wetgeving en de onderhandelingen daarover zijn een organisch proces. Voor de bepalingen over toezicht geldt dat voor elke wet wordt gekeken welke vorm van toezicht het beste aansluit bij het doel en context van die wet. Juist omwille van de begrijpelijkheid voor degenen tot wie het toezicht zich richt en degenen ten behoeve van wie toezicht wordt gehouden, is het voor lidstaten, ook voor Nederland, belangrijk dat ruimte bestaat de Europees wettelijke bepalingen zo goed mogelijk in hun bestaande kaders in te passen. Dat geldt ook voor deze verordening. De Afdeling constateert dan ook terecht dat deze verordening lidstaten de ruimte biedt om te kiezen welke toezichthouder zij aanwijzen. De keerzijde van die ruimte is, zoals de Afdeling ook constateert, dat daardoor de kans bestaat dat toezichthouders worden aangewezen die niet van oorsprong binnen dezelfde Europese coördinatiestructuren vallen. De verordening houdt hier echter rekening mee door te voorzien in de oprichting van een Europees Comité voor gegevensinnovatie, bestaande uit onder meer toezichthouders voor databemiddelingsdiensten en voor organisaties voor data-altruïsime en deze toezichthouders te verenigen in een subgroep. Doel daarvan is onder andere het uitwisselen van «best practices», de ontwikkeling van een consistente toezichtspraktijk, de ontwikkeling van consistente richtsnoeren en samenwerking tussen de bevoegde autoriteiten faciliteren door capaciteitsopbouw en informatie-uitwisseling.
Voor wat betreft de begrijpelijkheid en de transparantie van de toezichtstructuur in Nederland geldt dat met de aanwijzing van de ACM als toezichthouder op de in de verordening geregelde marktordeningsvraagstukken en de AP als toezichthouder voor wat betreft de bepalingen met betrekking tot de bescherming van persoonsgegevens wordt aangesloten bij al bestaande en bekende structuren. De ACM is immers al de toezichthouder voor wat betreft marktordeningsvraagstukken terwijl voor de AP geldt dat deze al de toezichthouder is wat betreft bescherming van persoonsgegevens.
De DGA bepaalt dat elke lidstaat één of meer autoriteiten aanwijst om de taken in verband met de aanmeldingsprocedure voor databemiddelingsdiensten uit te voeren.28 Deze autoriteit toetst of de aanbieders van databemiddelingsdiensten voldoen aan de eisen van de verordening.29 De bevoegdheden van de autoriteit die databemiddelingsdiensten controleert mogen geen afbreuk doen aan de bevoegdheden van andere autoriteiten, zoals de gegevensbeschermingsautoriteiten.30De DGA bepaalt dat de betreffende autoriteiten een nauwe samenwerking moeten opbouwen waarin zij informatie uitwisselen die nodig is voor de uitoefening van hun respectievelijke taken in verband met aanbieders van databemiddelingsdiensten. Zij moeten er naar streven dat hun besluiten consistent zijn.31
Elke lidstaat wijst daarnaast een bevoegde autoriteit aan die een openbaar nationaal register van erkende organisaties voor data-altruïsme bijhoudt.32 Deze laatste autoriteit voert zijn taken uit in samenwerking met de relevante gegevensbeschermingsautoriteit indien die taken verband houden met de verwerking van persoonsgegevens.33
In Nederland wordt de ACM aangewezen als autoriteit zowel voor het erkennen van databemiddelingsdiensten als voor het registreren van organisaties voor data-altruïsme.34 De verplichting om – bij de eerste taak – geen afbreuk te doen aan de bevoegdheden van andere autoriteiten en om – bij de tweede taak – samen te werken met de gegevensbeschermingsautoriteit is nu zo uitgewerkt, dat de ACM en de AP in een samenwerkingsprotocol afspraken maken over de wijze van behandeling van aangelegenheden van wederzijds belang.35 Daarnaast bepaalt het voorstel dat de AP advies uitbrengt aan de ACM over de vraag of een databemiddelingsdienst of een organisatie voor data-altruïsme voldoet aan de AVG.36
De Afdeling acht deze regeling niet adequaat. Zij sluit niet uit dat de ACM bij een negatief advies van de AP toch tot registratie van een databemiddelingsdienst of data-altruïstische organisatie kan overgaan. De mogelijkheid dat een aanbieder van databemiddelingsdiensten of een data-altruïstische organisatie van start kan gaan ondanks een negatief advies van de AP strookt niet met de gedachte achter de DGA dat deze de AVG onverlet laat. Mede gelet op dat uitgangspunt dient als het gaat om de uitleg en de toepassing van de AVG de interpretatie van de AP beslissend te zijn. Bovendien kan de voorgestelde regeling met het oog op mogelijke vervolgprocedures nieuwe problemen opleveren. Niet kan worden uitgesloten dat de AP in een later stadium op grond van haar eigen bevoegdheden tot het oordeel komt dat er strijd is met de AVG en de registratie dientengevolge moet worden teruggedraaid.
De voorgestelde regeling roept voorts de algemenere vraag op in hoeverre wettelijke verankering van de onderlinge verhouding tussen de ACM en de AP überhaupt wenselijk is. Zij heeft als nadeel dat zij die verhouding onnodig kan formaliseren.
Aansluiting bij de bestaande praktijk waarin toezichthouders samenwerken op basis van onderlinge afspraken (soms vastgelegd in een samenwerkingsprotocol) heeft als voordeel dat het meer flexibiliteit biedt; het biedt de basis voor de ACM en de AP om elkaar informeel op de hoogte te houden, hun toezichtbeleid onderling op elkaar af te stemmen en elkaar te ondersteunen op basis van de professionaliteit die beide organisaties in huis hebben.
Wettelijke regeling van de verhouding tussen de ACM en de AP heeft ten slotte het bezwaar van precedentwerking. Van belang is immers dat de DGA niet alleen de bevoegdheden van de gegevensbeschermingsautoriteit (de AP) onverlet laat, maar ook die van de mededingingsautoriteit, de autoriteit voor cybersecurity en die van andere sectorale autoriteiten. Uit dat oogpunt ligt het niet voor de hand om nu en alleen in het kader van de DGA de verhouding met de AP te regelen en de relatie met andere relevante toezichthouders buiten beschouwing te laten.
Zoals hiervoor is opgemerkt (zie punt 2) verdient het aanbeveling om de toezichtstructuur als geheel en in het bijzonder de verhouding tussen de verschillende toezichthouders mede met het oog op een werkbare toepassingspraktijk nader te doordenken. Daarbij kan ook de vraag aan de orde komen of een bredere wettelijke regeling van die verhouding wenselijk en noodzakelijk is.
De Afdeling adviseert de verplichte advisering door de AP uit het voorstel te schrappen. Zij adviseert bovendien expliciet in de toelichting te bevestigen dat als het gaat om de interpretatie en de toepassing van de AVG het oordeel van de AP beslissend is.
De Afdeling adviseert de verplichte advisering door de AP uit het voorstel te schrappen om onnodige formalisering en precedentwerking daarvan te voorkomen en flexibiliteit te behouden. Bij deze verordening heeft de AP een andere rol dan de andere toezichthouders waar eventueel mee wordt samengewerkt. Een aantal voorwaarden uit de verordening ziet op de verwerking van persoonsgegevens en raakt daarmee aan de expertise van de AP. De advisering door de AP aan de ACM betreft een ex ante advisering bij de beoordeling of een databemiddelingsdienst of organisatie voor data-altruïsme aan voorwaarden uit de verordening voldoet voor zover het gaat om de bescherming van persoonsgegevens. Aldus is op voorhand duidelijk dat sprake zal zijn van een structurele samenwerking tussen de AP en de ACM. Een dergelijke structurele samenwerking van de ACM met andere toezichthouders is bij de DGA niet aan de orde. Het betreft een nieuwe taak voor de AP op grond van de DGA en het is wenselijk om dit op wetsniveau te regelen. De ACM en de AP hebben in hun UHT aangegeven een wettelijke verankering van de advisering op prijs te stellen en zij hebben aangegeven op welke voorwaarden de advisering moet zien. Niettemin is, om aan het advies van de Afdeling tegemoet te komen, de adviesplicht flexibeler ingevuld en is er meer ruimte gelaten om de advisering in het samenwerkingsprotocol verder in te vullen. Artikelen 7 en 8 zijn daarom samengevoegd tot een nieuw artikel 7, in onderdeel 4.4 van de memorie van toelichting wordt hier nader op in gegaan en in paragrafen 7.1 en 7.2 van de memorie van toelichting is de reactie op de UHT van de ACM en de AP ten aanzien van de adviesplicht aangepast.
De Afdeling adviseert expliciet in de toelichting te bevestigen dat als het gaat om de interpretatie en de toepassing van de AVG het oordeel van de AP beslissend is. De ACM wordt aangewezen als bevoegde autoriteit voor de verordening. Bij de aanmelding/registratie wordt ex ante beoordeeld of een databemiddelingsdienst of een organisatie voor data-altruïsme aan deze verordening voldoet. De AP adviseert, gelet op zijn expertise met betrekking tot de verwerking van persoonsgegevens, de ACM over op dat vlak in deze verordening gestelde voorwaarden. Uit de Awb volgt dat gemotiveerd van een advies kan worden afgeweken. Dat geldt ook in dit geval. Er wordt nadrukkelijk niet gevraagd om een ex ante AVG beoordeling: de AP behoudt al haar AVG-bevoegdheden om in het kader van de AVG toezicht te houden. Naar aanleiding van het advies van de Afdeling wordt de adviesplicht aangepast zodat duidelijk wordt dat het advies van de AP ziet op het voldoen aan de verordening en niet over het voldoen aan de AVG. In de memorie van toelichting is in paragraaf 4.4 de advisering nader beschreven en benadrukt dat de AP de AVG-toezichthouder is.
De DGA voorziet in een gelaagde toezichtstructuur. Enerzijds regelt de DGA de taken en bevoegdheden van de nationale toezichthouders, zoals hiervoor omschreven. Anderzijds voorziet de DGA in gedetailleerde bepalingen die de taken en bevoegdheden van het Europees Comité voor gegevensinnovatie regelen. Het Europees Comité voor gegevensinnovatie is een deskundigengroep (met daarin onder meer vertegenwoordigers van toezichthouders) die tot taak heeft de Commissie te adviseren en te ondersteunen bij verscheidene onderwerpen. In het Comité heeft de Commissie daarbij in de rol van voorzitter van het Comité een agendabepalende rol.37
Het Comité adviseert over en ontwikkelt verschillende richtsnoeren. Ook dient het Comité de samenwerking tussen lidstaten en tussen autoriteiten te faciliteren.38 Gelet op de onafhankelijkheid van de Europese en nationale toezichthouders en de taken van het Comité dient duidelijk te zijn in hoeverre de nationale en Europese toezichthouders in het openbaar werken, hoe de toezichthouders belanghebbenden betrekken bij hun besluiten en bij andere handelingen die zij verrichten, en hoe zij verantwoording afleggen over de uitoefening van hun taken en bevoegdheden.39 De Afdeling merkt op dat de DGA hier niets over bepaalt en dat de toelichting hier niet op ingaat.
De Afdeling adviseert hier in de toelichting op in te gaan.
De Afdeling adviseert nader in te gaan op transparantie van het toezicht. Het Europees Comité voor gegevensinnovatie is een expertgroep die valt onder de regels die door de Europese Commissie zijn vastgelegd in Commissiebesluit C(2016)3301. In hoofdstuk IV van dit besluit staan ook regels betreffende transparantie. In paragraaf 3.4 van het algemeen deel van de toelichting wordt nu verwezen naar dit besluit.
De DGA verplicht lidstaten om sancties vast te stellen voor bepaalde overtredingen van de verordening.40 Lidstaten moeten alle nodige maatregelen nemen om ervoor te zorgen dat die sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. Het voorstel bepaalt dat de ACM in geval van overtreding een last onder dwangsom of een bestuurlijke boete kan opleggen.41
Het lex certa-beginsel schrijft voor dat voorschriften die door punitieve sancties worden gehandhaafd voldoende duidelijk, voorzienbaar en kenbaar moeten zijn. De Afdeling merkt op dat de verordening geen ruimte laat open normen verder te concretiseren in de uitvoeringswet; zij dienen in de praktijk uit te kristalliseren. Het zal echter voor de rechtspraktijk niet altijd duidelijk zijn wat de normen concreet inhouden, zeker als deze voor meerdere uitleg vatbaar zijn.42 Het verdient daarom aanbeveling dat de Nederlandse regering, als mede-besluitvormer van de Unie, zich op Europees niveau inspant om meer duidelijkheid te krijgen over interpretatie van normering.
Eventuele gedelegeerde handelingen en richtsnoeren die normen verder invullen, nemen echter niet weg dat de vereisten pas in het concrete geval betekenis krijgen. Pas bij handhaving, door middel van een last onder dwangsom of een bestuurlijke boete, zal dan (achteraf) duidelijk worden wat de gewenste gedragslijn is.
Daarom zou overwogen moeten worden om de ACM de bevoegdheid toe te kennen tot het geven van een bindende aanwijzing vóórdat wordt overgegaan tot handhaving.43 Op deze manier kan met de aanwijzing concreet worden aangegeven welke handelingen op grond van de verordening worden verwacht.
De Afdeling adviseert op het voorgaande in de toelichting in te gaan, en zo nodig het voorstel aan te passen.
De Afdeling beveelt aan dat de Nederlandse regering zich op Europees niveau inspant om meer duidelijkheid te krijgen over interpretatie van normering uit de verordening. Nederland zal zich hiervoor inspannen binnen het Europees Comité voor gegevensinnovatie. Dit Comité bestaat uit vertegenwoordigers van alle lidstaten en heeft als taak om normen uit de verordening nader in te vullen. Daarnaast evalueert de Commissie de verordening op 24 september 2025 en brengt zij op dat moment verslag van de toepassing en de werking van de regels inzake sancties die door de lidstaten zijn vastgesteld.
De Afdeling geeft in overweging om de ACM de bevoegdheid toe te kennen tot het geven van een bindende aanwijzing vóórdat wordt overgegaan tot handhaving. De ACM beschikt reeds over deze bevoegdheid gelet op artikel 12j van de Instellingswet ACM. In de nieuwe paragraaf 4.3.1 van de memorie van toelichting wordt nader ingegaan op de bevoegdheden van de ACM.
De verordening geeft een kader waarbinnen gegevens die binnen de overheid zijn verzameld en die zich niet onmiddellijk lenen voor openbaarmaking, toch ter beschikking kunnen worden gesteld aan commerciële en niet-commerciële derden voor hergebruik.44 Voor hergebruik geldt onverminderd dat verwerking van persoonsgegevens moet voldoen aan de AVG.45 Uit de toelichting blijkt niet dat dit mogelijk knelpunten oplevert in Nederland.46
Volgens de AVG moeten persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen zij vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.47 Secundair gebruik van persoonsgegevens is mogelijk op basis van toestemming of een Unierechtelijke of nationale grondslag die een noodzakelijke en evenredige maatregel vormt ter waarborging van doelstellingen genoemd in artikel 23, eerste lid, AVG. Als secundair gebruik niet op basis van toestemming of een wettelijke grondslag plaatsvindt, dient de verwerkingsverantwoordelijke met een aantal criteria rekening te houden om te beoordelen of de verwerking onverenigbaar zou zijn met het doel waarvoor de persoonsgegevens zijn verzameld.48
Dit roept de vraag op hoe het hergebruik in overeenstemming met dit wetsvoorstel zich verhoudt tot het doelbindingsbeginsel uit de AVG. Het kan immers persoonsgegevens betreffen die zijn verzameld voor een specifieke overheidstaak en die – meestal zonder toestemming van de betrokkene – ter beschikking komen van derden die deze gebruiken voor een ander dan het oorspronkelijke doel. Omdat zij dat doel zelf kunnen bepalen, is het de vraag of het beginsel van doelbinding in dat geval in feite nog voldoende betekenis kan hebben. De toelichting gaat hier niet op in.
De Afdeling adviseert in de toelichting in te gaan op de verhouding tussen hergebruik en het doelbindingsbeginsel.
Zoals de Afdeling terecht opmerkt, heeft de AVG bij enig conflict tussen beide verordeningen, voorrang op de verordening en is het beginsel van doelbinding daardoor volledig van toepassing op het hergebruik van persoonsgegevens. Doelbinding verbiedt in beginsel de verdere verwerking van persoonsgegevens voor andere doeleinden dan de oorspronkelijke doeleinden waarvoor de gegevens zijn verzameld. Hergebruik ziet juist op dit verdere gebruik voor andere doeleinden. Om na te gaan of hergebruik van persoonsgegevens is toegestaan, zullen daarom de criteria van de AVG moeten worden nagelopen, die bepalen wanneer verdere verwerking van persoonsgegevens verenigbaar is met het oorspronkelijke doel van de verzameling. In navolging van het advies van de Afdeling, is hierop in paragraaf 5.1 van het algemene deel van de toelichting nader ingegaan.
De toelichting vermeldt dat hoofdstuk II van de DGA en de Who beiden zien op hergebruik van overheidsgegevens. Het gaat daarbij om verschillende soorten gegevens en verschillende vormen van hergebruik, aldus de toelichting.49 De Who en haar aankomende herziening, die is gebaseerd op de Open data richtlijn50, zien op hergebruik van niet-gevoelige, openbare gegevens, die ook wel «open data» worden genoemd. Open data zijn dusdanig ongevoelig dat openbare verspreiding en hergebruik daarvan niet of nauwelijks aan beperkingen hoeft te worden onderworpen. Veel gegevens zijn echter te gevoelig om zomaar openbaar te maken of voor alle doeleinden te gebruiken. Zij zijn niet geschikt als open data en daarom uitgesloten van hergebruik onder de Who. Voor een deel van deze gegevens geldt echter dat niet elke vorm van hergebruik verboden hoeft te zijn. Hoofdstuk II van de DGA biedt een raamwerk waarbinnen deze gegevens, onder bepaalde beschermende omstandigheden, alsnog kunnen worden hergebruikt. Hoofdstuk II van de DGA is daarmee volgens de toelichting een aanvulling op de Open data richtlijn.51
De Afdeling merkt op dat het voor een goed begrip van de betekenis van het wetsvoorstel van belang is dat in de toelichting wordt besproken welke vorm en omvang het hergebruik op dit moment in Nederland aanneemt en hoe de DGA zich verhoudt tot bestaande wetgeving. De toelichting staat wel stil bij het feit dat de DGA een aanvulling is op de Open data richtlijn, maar gaat niet in op de vraag welke data in concrete gevallen onder welke regelgeving vallen. Zo zal voor de Nederlandse burger niet duidelijk zijn welke wetgeving van toepassing is op de aanvraag van verschillende data.
De Afdeling adviseert daarom in de toelichting uitgebreider in te gaan op de verschillen tussen de Open data richtlijn en de Who enerzijds en de DGA anderzijds, en om aan te geven wat de gevolgen van die twee regimes zijn voor rechthebbenden.
De Afdeling verzoekt om uitgebreider in te gaan op de verschillen tussen de Open data richtlijn en de Who enerzijds en de verordening anderzijds, en om aan te geven wat de gevolgen van die twee regimes zijn voor rechthebbenden. Het is helaas niet mogelijk om op voorhand een uitputtende opsomming te geven van welke gegevens in welke situatie onder welke regelgeving vallen. Dat zal immers per concreet geval moeten worden bepaald. Wel is het mogelijk om op basis van de criteria uit de Who en de verordening uitgebreider uit te werken welk type gegevens waaronder valt, hoe de Who en de verordening zich tot elkaar verhouden en wat de verschillende regimes betekenen voor rechthebbenden. In verband met het voorgaande, is paragraaf 5.2 van het algemene deel van de toelichting aangepast.
De verordening bepaalt dat overheidsinstanties52 die bevoegd zijn om te beslissen over verzoeken om hergebruik van overheidsinformatie, de voorwaarden voor het toestaan van hergebruik openbaar moeten maken. Deze overheidsinstanties moeten voorts de aanvraagprocedure openbaar maken.53
Volgens de toelichting is aan deze bepaling voor een belangrijk deel al voldaan in het bestaande artikel 5.7 van de Wet open overheid (de Woo). Deze bepaling stelt bestuursorganen in staat om ten behoeve van historisch, statistisch, wetenschappelijk of journalistiek onderzoek toegang te bieden tot gegevens die anders geweigerd zouden moeten worden op basis van de gebruikelijke weigeringsgronden die gelden bij openbaarmaking op verzoek.54
De toelichting stelt dat de weigeringsgronden van de Woo «grotendeels» overeenkomen met de gegevenscategorieën uit artikel 3, eerste lid, van de verordening. Daarnaast staat artikel 5.7 van de Woo toe dat bestuursorganen voorwaarden stellen aan hergebruik. Dat sluit volgens de toelichting aan op artikel 5, eerste lid, van de verordening, dat er vanuit gaat dat openbare lichamen voorwaarden voor hergebruik kunnen stellen.55
De bestaande regels in de Woo die in de toelichting worden genoemd komen inderdaad grotendeels overeen met de regels in de verordening, maar er zijn ook verschillen, zoals:
– Artikel 5.7 Woo gaat specifiek over gebruik van gegevens voor onderzoek. De verordening gaat uit van het ruimere begrip «hergebruik»: ieder gebruik dat een ander doel heeft dan de overheidstaak waarvoor de gegevens zijn verzameld.56 Dat is dus niet beperkt tot onderzoek.
– De verordening noemt als gegevenscategorie «het handelsgeheim, waaronder bedrijfs- of beroepsgeheim», terwijl de Woo het heeft over (bepaalde soorten) bedrijfs- en fabricagegegevens.57 De verordening noemt daarnaast het statistisch geheim en de bescherming van de intellectuele-eigendomsrechten van derden.58 Dat zijn gegevenscategorieën die niet als zodanig als weigeringsgronden in de Woo voorkomen.
– Artikel 5.7 Woo geeft het bestuursorgaan de bevoegdheid om voorwaarden te verbinden aan het verlenen van toegang voor historisch, statistisch, wetenschappelijk of journalistiek onderzoek. Daarmee is echter geen uitvoering gegeven aan de in de verordening omschreven verplichting om de voorwaarden voor het toestaan van hergebruik en de procedure om toestemming voor hergebruik aan te vragen openbaar te maken. De verordening lijkt daarbij uit te gaan van algemeen verbindende voorschriften, terwijl de Woo eerder uit lijkt te gaan van voorwaarden in het individuele geval.
Door deze verschillen kan niet zonder meer gezegd worden dat overheidsinstanties nu al voldoen aan de verplichting om de voorwaarden voor het toestaan van hergebruik en de aanvraagprocedure openbaar te maken.
De Afdeling adviseert de toelichting bij te stellen en zo nodig het voorstel aan te vullen.
De Afdeling constateert dat door de verschillen tussen artikel 5.7 van de Woo en hoofdstuk II van de verordening, overheidsinstanties nog niet zonder meer voldoen aan hun verplichtingen om de voorwaarden voor het toestaan hergebruik en de aanvraagprocedure openbaar te maken. Deze constatering is juist, maar is niet van invloed op dit wetsvoorstel. Artikel 5, eerste lid, van de verordening is namelijk een verplichting die direct op overheidsorganisaties van toepassing is en dus door hen in de praktijk dient te worden uitgevoerd. Artikel 5.7 van de Woo schrijft niet voor op welke wijze voorwaarden moeten worden gesteld en levert dus ook geen strijd op met de verordening. Wel kan het ingekaderde toepassingsbereik van artikel 5.7 van de Woo op zichzelf worden gezien als een set aan voorwaarden in de zin van artikel 5, eerste lid, van de verordening die dus openbaar gemaakt dienen te worden. Met het oog op de opmerking van de Afdeling, is dit in paragraaf 4.1.1 van de memorie van toelichting verduidelijkt.
In navolging van de verordening gebruikt de uitvoeringswet de term «openbaar lichaam».59 Die term heeft echter in het Nederlandse recht een andere betekenis dan in de verordening: in de Grondwet gaat het met name om provincies, gemeenten en territoriale openbare lichamen die daarmee vergelijkbaar zijn, of om openbare lichamen voor beroep en bedrijf, waaraan verordenende (regelgevende) bevoegdheid kan worden toegekend.60
In de Who is dan ook de richtlijnterm «openbaar lichaam» omgezet met de term «met een publieke taak belaste instelling».61 De toelichting onderkent ook dat de begrippen overeen komen, en verwijst ook naar de Who voor een nadere uitwerking.62 Gelet op de betekenis van «openbaar lichaam» in het Nederlandse recht en het belang van consistentie van terminologie binnen wetgeving, acht de Afdeling het wenselijk de term «openbaar lichaam» ook in de uitvoeringswet niet te gebruiken.
De Afdeling adviseert in plaats van de term «openbaar lichaam» de term «met een publieke taak belaste instelling» te hanteren, zoals deze in de Who wordt gebruikt.63
Het advies van de Afdeling is overgenomen om in plaats van de term «openbaar lichaam» de term «met een publieke taak belaste instelling» te hanteren. Artikelen 1 en 2, derde lid, van het wetsvoorstel en paragraaf 3.1 van het algemeen deel van de toelichting zijn aangepast.
Van de gelegenheid is gebruik gemaakt om ambtshalve enkele kleine wijzigingen aan te brengen in het wetsvoorstel. Ook de memorie van toelichting is op verschillende onderdelen aangepast en geactualiseerd.
In artikel 4, eerste lid, van het wetsvoorstel is een termijn opgenomen waarbinnen de ACM een besluit moet nemen over de aanmelding tot een aanbieder van databemiddelingsdiensten. In artikel 4, tweede lid, van het wetsvoorstel is de mogelijkheid opgenomen om deze termijn eenmalig te verlengen. In de artikelsgewijze toelichting ten aanzien van artikel 4 zijn deze wijzigingen toegelicht.
In artikel 7, derde lid, van het wetsvoorstel en bijbehorende toelichting is de juiste verwijzing naar de Instellingswet Autoriteit Consument en Markt opgenomen.
In artikel 10 van het wetsvoorstel is de inwerkingtreding geactualiseerd.
Daarnaast zijn wijzigingen doorgevoerd in het algemeen deel van de toelichting. De volgorde van de subparagrafen in paragraaf 4 is aangepast zodat die beter aansluit bij de structuur van de verordening. De hoogte van de bestuurlijke boete is nader onderbouwd in paragraaf 4.3.2.
De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.
De waarnemend vice-president van de Raad van State,
S.F.M. Wortmann
Ik moge U verzoeken het hierbij gevoegde voorstel van wet en de memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.
De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens