Ontvangen 7 maart 2024
Inhoudsopgave
ALGEMEEN DEEL |
1 |
||
1. |
Inleiding |
1 |
|
2. |
Beleidscontext |
4 |
|
3. |
Datagovernanceverordening |
5 |
|
3.1 |
Hergebruik van beschermde gegevens die in het bezit zijn van openbare lichamen |
5 |
|
3.2 |
Databemiddelingsdiensten |
11 |
|
3.3. |
Data-altruïsme |
13 |
|
3.4. |
Internationale datastromen |
13 |
|
4. |
Inhoud uitvoeringswet |
14 |
|
4.1 |
Toezicht en handhaving |
15 |
|
5. |
Verhouding tot hoger recht |
17 |
|
5.1 |
Bescherming van persoonsgegevens, AVG |
17 |
|
6. |
Uitvoerbaarheid en handhaafbaarheid |
18 |
|
6.1 |
Adviescollege Openbaarheid en Informatiehuishouding |
18 |
|
7. |
Overgangsrecht en inwerktreding |
19 |
|
OVERIG |
19 |
Graag beantwoord ik de vragen die zijn gesteld door de leden van de aan het woord zijnde fracties, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties.
1
De leden van de PVV-fractie hebben kennisgenomen van de Uitvoering van verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Uitvoeringswet datagovernanceverordening) en de bijbehorende documenten. Naar aanleiding hiervan hebben deze leden nog enkele vragen. Voorts merken de leden op dat de toelichting op het niet navolgen van de door de Afdeling advisering van de Raad van State gedane aanbeveling inzake de verhouding tussen de uitvoeringswet en de DGA tot de AVG niet ingaat op de mogelijke tegenstrijdigheden. Kan een overzicht van deze conflicterende punten worden opgeleverd met de onderbouwing waarom het prevaleren van de Algemene Verordening Gegevensbescherming tot conflict zou kunnen leiden?
Antwoord
Ik heb met belangstelling kennisgenomen van de vragen en hoop met deze beantwoording resterende onduidelijkheden weg te nemen. Artikel 1, derde lid, van de datagovernanceverordening (hierna: verordening) bepaalt als algemene regel dat indien de verordening en de Algemene Verordening Gegevensbescherming (hierna: AVG) tegenstrijdig zijn, de AVG voorgaat. Doordat de AVG bij een eventuele tegenstrijdigheid altijd voorgaat zal dit niet tot een conflict leiden. Op dit moment zijn geen tegenstrijdigheden bekend. De voorrang van de AVG is leidend in de praktijk bij de verwerking van gegevens.
2
De leden van de GroenLinks-PvdA-fractie hebben met belangstelling kennisgenomen van de uitvoeringswet. In een datagedreven samenleving vinden zij het van groot belang om het uitwisselen van gegevens betrouwbaar, transparant en in dienst van de publieke zaak te laten verlopen. Over de uitvoeringswet hebben de leden enkele opmerkingen en vragen. De leden zijn van mening dat gevoelige data, indien het wordt hergebruikt, moeten bijdragen aan de publieke zaak. Zij vinden het niet gepast als bedrijven gevoelige data hergebruiken om meer winst te maken, omdat mensen dan producten worden verkocht die tot stand zijn gekomen door hun eigen data. Dat vinden deze leden geen wenselijk gebruik van persoonsgegevens. Welke financiële prikkels bevat deze uitvoeringswet voor bedrijven? Hoe mogen private bedrijven gebruik maken van deze data voor economische winst?
Antwoord
Ik heb met belangstelling kennisgenomen van uw vragen. Er zijn veel soorten gegevens, naast persoonsgegevens zijn er ook andere soorten gegevens die niet herleidbaar zijn tot een persoon. Bijvoorbeeld gegevens uit industriële machines, statistische gegevens, logistieke gegevens, of landbouwgegevens. Deze gegevens vormen een belangrijke bron voor potentiële oplossingen voor maatschappelijke uitdagingen en duurzame economische groei. Een van de doelen van de verordening is om ervoor te zorgen dat dit soort gegevens op een verantwoorde en betrouwbare manier kunnen worden hergebruikt, zowel door publieke als private entiteiten. Daarbij is het van belang dat de overheid dergelijke partijen op een eerlijke en gelijke wijze behandelt. Gegevens die met een private partij gedeeld worden moeten ook voor andere relevante private partijen beschikbaar kunnen worden gesteld, om zo machtsposities met betrekking tot gegevens te voorkomen.
Ten aanzien van persoonsgegevens geldt het kader van de AVG. Gaat het om persoonsgegevens in bezit van overheden dan is in Europese of nationale wetgeving geregeld voor welke doeleinden hergebruik mag plaatsvinden. Dit regelt de verordening niet. Op dit moment kent Nederland geen grondslag voor commercieel hergebruik als bedoeld in de verordening en is deze ook niet voorzien.
3
De leden van de VVD-fractie hebben kennisgenomen van de uitvoering van de verordening. De leden hebben nog enkele vragen en opmerkingen. De leden lezen dat de Raad van State verschillende opmerkingen en adviezen heeft gemaakt. Hoe leest de regering deze kanttekeningen? Kunt u hier specifiek ingaan op de kritiek met betrekking tot de voorgestelde verhouding tussen de Autoriteit Consument & Markt (ACM) en de Autoriteit Persoonsgegevens (AP)?
Antwoord
In het rapport heeft de regering uitgebreid gereageerd op het advies van de Afdeling advisering van de Raad van State1 waaronder het advies om de standaard advisering door de AP te schrappen uit het wetsvoorstel (hierna: Uitvoeringswet). Zowel de ACM als de AP hebben in het consultatieproces voor deze Uitvoeringswet uitdrukkelijk de wens kenbaar gemaakt dat hun samenwerking en hun respectievelijke rollen, waaronder de standaardadvisering, duidelijk vastgesteld wordt in de Uitvoeringswet. Dit vanwege de nieuwe adviestaak voor de AP en de structurele samenwerking bij deze werkzaamheden. De Afdeling vraagt zich af of de bedoelde regeling wel wenselijk is. Het kabinet acht dit inderdaad wenselijk gezien de expliciete wens van de toezichthouders om dit te formaliseren naast de bestaande praktijk van het samenwerkingsprotocol. Door deze structurele samenwerking en advisering op te nemen in de wet, worden de verantwoordelijkheden van de toezichthouders rondom de verwerking van persoonsgegevens verduidelijkt. Bij deze verordening heeft de AP een andere rol dan de andere toezichthouders waar eventueel mee wordt samengewerkt. Een aantal voorwaarden uit de verordening ziet op de verwerking van persoonsgegevens en raakt daarmee aan de expertise van de AP. De advisering door de AP aan de ACM betreft een ex ante advisering bij de beoordeling of een databemiddelingsdienst of organisatie voor data-altruïsme aan voorwaarden uit de verordening voldoet voor zover het gaat om de bescherming van persoonsgegevens. Het betreft een nieuwe taak voor de AP op grond van de verordening en het is wenselijk om dit op wetsniveau te regelen. Daarom is besloten om toch vast te houden aan deze bepaling in de Uitvoeringswet.
4
Voorts vinden de leden van de VVD-fractie het goed om te horen dat bij de verwerking van persoonsgegevens de regelgeving met betrekking tot persoonsgegevens altijd van toepassing is. De leden van de VVD-fractie vragen zich af in hoeverre de AI-verordening invloed heeft op wat er nu voor ligt. Kan de regering hier nader op ingaan?
Antwoord
Het kabinet heeft met belangstelling kennisgenomen van uw vragen en onderkent ook dat het belangrijk is om duidelijk te maken hoe verschillende Europese wetgevingsinstrumenten die betrekking hebben op de digitale economie zich tot elkaar verhouden. De AI-verordening heeft geen invloed op de bepalingen uit de verordening en de voorliggende Uitvoeringswet, noch op de toepassing hiervan, aangezien de AI-verordening betrekking heeft op risico’s van AI en de kwaliteit van gegevens voor AI. De DGA gaat echter over het delen van gegevens ongeacht het doel of de kwaliteit van gegevens. De DGA gaat dus niet over de data zelf maar over hergebruik van bepaalde categorieën van gegevens in bezit van de overheid, eisen aan databemiddelingsdiensten en een label voor data-altruïstische organisaties.
De leden van de NSC-fractie hebben kennisgenomen van het wetsvoorstel en hebben hierover enkele vragen en opmerkingen.
De leden van de D66-fractie hebben kennisgenomen van het wetsvoorstel en hebben hierover enkele vragen en opmerkingen.
5
De leden van de BBB-fractie hebben met interesse de stukken gelezen en hebben over een aantal onderdelen vragen. De leden van de BBB-fractie vragen waarom ervoor is gekozen om geen internetconsultatie over dit wetsvoorstel te houden. Welke afwegingen zijn hiervoor gemaakt?
Bij uitvoering van een Europese verordening is internetconsultatie optioneel.2 In de Uitvoeringswet wordt alleen geregeld wat strikt noodzakelijk is gelet op de uitvoering van de verordening. Zoals het aanwijzen van bevoegde instanties en toezichthouders, de samenwerking tussen de AP en de ACM en het vaststellen van de sancties. Het kabinet heeft geconstateerd dat er relatief weinig ruimte is voor de wetgever om keuzes te maken gezien de directe werking van een verordening. Dit maakt dat er ook weinig onderwerpen zijn waarop een publieke consultatie tot andere resultaten of overwegingen zou kunnen leiden. Dit heeft er samen met een de korte implementatietermijn van 15 maanden toe geleid dat het kabinet in dit geval ervoor heeft gekozen geen internetconsulatie te houden. Wel is gebruik gemaakt van informele consultatie van de betrokken toezichthouders en zijn zij om een uitvoerbaarheid- en handhaafbaarheidstoets (UHT) gevraagd.
De leden van de SP-fractie hebben kennisgenomen van de (uitvoering van) de verordening en hebben enkele vragen hierover.
6
De leden van de GroenLinks-PvdA-fractie lezen dat het begrip «data» niet altijd duidelijk gedefinieerd is in beleidsinitiatieven. Welke definitie van «data» hanteert de regering in deze uitvoeringswet?
Antwoord
De Uitvoeringswet gaat uit van de definitie uit de verordening. De verordening heeft een rechtstreekse werking en daarmee is ook de definitie van «gegevens» van toepassing in de uitvoering van de verordening in Nederland. De definitie uit artikel 2, eerste lid, luidt: «elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluidsopnames of visuele of audiovisuele opnames».
7
De leden van de D66-fractie vragen of de regering kan toelichten in hoeverre het uiteindelijke resultaat van de Uitvoeringswet datagovernanceverordening verschilt met de inzet als opgenomen in het BNC-fiche en of de regering deze verschillen kan toelichten.
Antwoord
In de visie op datadeling tussen bedrijven uit 2019 signaleert het kabinet dat een gebrek aan vertrouwen een reden is waarom het delen van niet-persoonsgebonden gegevens tussen bedrijven slechts in beperkte mate tot stand komt waardoor de mogelijkheden van gegevens onvoldoende benut worden. De verordening poogt gegevensdeling te vergemakkelijken. Daarom verwelkomde het kabinet de verordening in het BNC-fiche.3 In hoofdlijnen is de verordening gelijk gebleven aan het voorstel van de Commissie.
Een aantal wijzigingen is onder meer door de inzet van Nederland doorgevoerd. Zo zijn er eisen gekomen voor organisaties voor data-altruïsme en moeten deze voldoen aan een «rulebook». Dit rulebook zal door de Commissie worden vastgesteld en zal onder andere normen bevatten voor de informatievoorziening aan datasubjecten en gegevenshouders, en beveiligingseisen voor de gegevens. Dat draagt bij aan het vertrouwen in organisaties voor data-altruïsme die in de EU zijn erkend. Ten aanzien van databemiddelingsdiensten waren er tijdens de onderhandeling vooral vragen over de definitie en over het verdienmodel. De definitie is enigszins duidelijker geworden ten opzichte van het Commissievoorstel maar bevat nog steeds een open norm die nader moet worden ingevuld door toezichthouders. Nederland had graag gezien dat dit al in de verordening zou zijn ingevuld. Mogelijk zal de Europese Commissie voor de invulling van deze norm nog richtsnoeren publiceren.
Ook is het voor aanbieders van databemiddelingsdiensten niet mogelijk om aanvullende diensten te leveren aan de gegevenshouder. In de optiek van het kabinet had dit de dienst tot een aantrekkelijker product kunnen maken, zonder dat de grip op gegevens zou zijn verminderd. Hiermee had de verordening effectiever kunnen zijn. Tijdens de onderhandelingen is echter gebleken dat hier geen meerderheid voor te vinden was.
Desalniettemin geeft de verordening een wettelijk kader waardoor het vertrouwen in datadeling kan toenemen en burgers en bedrijven meer grip op hun gegevens krijgen. Daarmee draagt de verordening dus bij aan een verantwoorde Europese data-economie op basis van Europese waarden als consumentenbescherming, privacybescherming en versterking van de onderhandelingspositie voor kleinere bedrijven.
In lijn met wat in het BNC-fiche was voorzien is een uitvoeringswet opgesteld waarin bevoegde autoriteiten worden aangewezen en hun bevoegdheden worden geregeld, sancties worden vastgesteld en de uitwisseling van gegevens tussen toezichthouders wordt beperkt tot wat noodzakelijk is voor de toezichtstaak. Aanvullend op het BNC-fiche is gebleken dat er meer geregeld moet worden voor de uitvoering van de verordening. Het is ook noodzakelijk om regels vast te stellen over vergoedingen voor hergebruik van gegevens. Voor het verzoek tot aanmelding als databemiddelingsdienst wordt geregeld binnen welke termijn een beslissing moet worden genomen en daarnaast dat regels gesteld kunnen worden voor wat betreft de vergoeding voor de aanmelding van aanbieders van databemiddelingsdiensten. Daarnaast worden doeleinden van algemeen belang in verband met data-altruïsme vastgesteld. Ook wordt de samenwerking tussen de AP en ACM verder geregeld. Tot slot is in lijn met de Uitvoeringswet digitalemarktenverordening en de Uitvoeringswet digitaledienstenverordening gekozen voor concentratie van de rechtspraak bij Rechtbank Rotterdam en het College van Beroep voor het bedrijfsleven (CBb).
8
De leden van de GroenLinks-PvdA-fractie steunen de ambitie van de Europese Commissie om de marktmachtsconcentratie van Big Tech-bedrijven op te breken. Dit achten zij hard nodig om het speelveld op de digitale markt eerlijker te maken. De leden lezen dat openbare lichamen verantwoordelijk worden voor het nemen van adequate technische maatregelen om de gegevensbescherming, privacy en vertrouwelijkheid te borgen. Is het duidelijk welke maatregelen er minimaal genomen moeten worden door openbare lichamen om te voldoen aan de verordening?
Antwoord
Er bestaat geen vaste set aan maatregelen die in iedere situatie voldoende gegevensbescherming oplevert. Er moet rekening worden gehouden met de stand van de techniek en de praktijk, die aan constante ontwikkeling onderhevig zijn. Daarnaast moet de vorm van bescherming worden afgestemd op de behoefte van de hergebruiker. Sommige hergebruikers zullen bijvoorbeeld voldoende hebben aan een set volledig geanonimiseerde of geaggregeerde gegevens. Andere hergebruikers kunnen hun beoogde activiteiten alleen uitvoeren met een gegevensset waarin nog wel persoonsgegevens voorkomen. In zo’n geval kan pseudonimisering – dat wil zeggen: het afschermen of versleutelen van direct herleidbare persoonsgegevens – in combinatie met een beveiligde verwerkingsomgeving de beste oplossing bieden. Om beter te bepalen in hoeverre gegevens zich lenen voor hergebruik en wat daarvoor de meest geschikte maatregelen zijn, dient de overheidsorganisatie een gegevensbeschermingseffectbeoordeling/DPIA uit te voeren, wanneer het om persoonsgegevens gaat. Wanneer het niet om persoonsgegevens gaat, kan de organisatie naar analogie van de DPIA een vergelijkbare toets uitvoeren om bijvoorbeeld bedrijfsbelangen in kaart te brengen en om op basis daarvan de beste maatregelen te onderzoeken. In alle gevallen blijft sprake van maatwerk.
9
Welke «enkele andere uitzonderingen» bedoelt de regering bij het verbod op exclusieve overeenkomsten? Waarom zijn deze uitgezonderd?
Antwoord
Artikel 4 van de verordening kent één uitdrukkelijke uitzondering op het verbod van exclusieve overeenkomsten, namelijk de situatie waarin de exclusieve overeenkomst nodig is voor de verlening van een dienst of de levering van een product in het algemeen belang die anders niet mogelijk zou zijn. Zo’n exclusief recht moet worden verleend bij administratieve handeling of een contractuele regeling in overeenstemming met het toepasselijke Unierecht of nationale recht en met inachtneming van de beginselen van transparantie, gelijke behandeling en non-discriminatie. Deze toekenning, alsmede de redenen daartoe, moeten online openbaar worden gemaakt in een vorm die aansluit bij het Unierecht inzake openbare aanbestedingen. Het exclusieve recht mag daarnaast ten hoogste 12 maanden duren.
Overweging 13 van de verordening noemt daarbij als voorbeeld van zo’n gerechtvaardigd en noodzakelijk exclusief recht, de situatie dat «het exclusief gebruik van de gegevens de enige manier is om de maatschappelijke voordelen van de betrokken gegevens optimaal te benutten, bijvoorbeeld als er slechts één entiteit (die gespecialiseerd is in de verwerking van een specifieke gegevensverzameling) is die de dienst kan verlenen die of het product kan leveren dat het openbaar lichaam in staat stelt in het algemeen belang een dienst te verlenen of een product te leveren.»
Naast de uitdrukkelijke uitzondering voor de dienst of de levering van een product in het algemeen belang kent de verordening nog een overgangsregeling voor reeds bestaande exclusieve overeenkomsten die niet onder de uitzondering vallen en die al waren gesloten vóór 23 juni 2022 (datum van inwerkingtreding van de verordening). Zij vervallen aan het einde van de toepasselijke overeenkomst en in elk geval uiterlijk op 24 december 2024. De verordening geeft niet uitdrukkelijk aan waarom voor deze termijn is gekozen, maar aangenomen mag worden dat die deadline bestaat om partijen voldoende tijd te geven om zich aan te passen aan de nieuwe situatie.
10
De leden van de VVD-fractie onderschrijven dat bij datadeling de bescherming van persoonsgegevens, rechten van derden en wettelijke doelbinding goed geborgd moeten worden. De regering stelt voor dat onafhankelijke derde partijen een belangrijke rol kunnen spelen in de technische ondersteuning. Hoe wordt de bescherming van de gegevens bij deze partijen ingebouwd?
Antwoord
Door enkele bevoegde organen aan te wijzen die openbare lichamen ondersteunen bij binnengekomen verzoeken voor hergebruik wordt de kennis en ervaring omtrent het veilig voor hergebruik beschikbaar maken van de gegevens geconcentreerd bij deze organen. Openbare lichamen hoeven daardoor deze kennis niet zelf op te bouwen: zij kunnen zich beroepen op ondersteuning door die bevoegde organen. De verordening verplicht om aan hen voldoende middelen en expertise beschikbaar te stellen, zodat zij de bescherming kunnen inbouwen. Denk daarbij bijvoorbeeld aan het beschikbaar stellen van een beveiligde verwerkingsomgeving waarbinnen de hergebruiker met de gegevens kan werken. Het openbaar lichaam kan vervolgens controleren en filteren welke resultaten uit die omgeving kunnen worden meegenomen naar buiten toe, zodat er geen persoonsgegevens worden ontsloten.
11
De leden van de VVD-fractie lezen dat openbare lichamen technische maatregelen moeten nemen om ervoor te zorgen dat de vertrouwelijkheid volledig wordt geborgd. Hoe wordt deze borging gecontroleerd en hoe lang krijgen deze organisaties om deze aanpassing door te voeren? Wat zijn de consequenties als niet alle organisaties tijdig aan deze privacy eisen voldoen? Blijft deze data dan buiten de scope van de verordening?
Antwoord
De vertrouwelijkheid moet geborgd worden bij het beschikbaar maken voor hergebruik. Dit vergt in beginsel geen aanpassingen door openbare lichamen / met een publieke taak belaste instellingen. Zij worden op grond van bestaande regelgeving zoals de Awb en de AVG al geacht om gegevens vertrouwelijk te behandelen. De vereisten van de verordening zijn pas van toepassing als er een verzoek om hergebruik binnenkomt. Dan moeten technische maatregelen genomen worden om het beschikbaar stellen op vertrouwelijke wijze uit te voeren. Hiervoor kunnen openbare lichamen / met een publieke taak belaste instellingen ondersteuning vragen van de bevoegde organen. Het is dus niet zo dat organisaties buiten de scope vallen als het regulier beheer van gegevens niet voldoet aan privacywetgeving.
12
De leden van de NSC-fractie verzoeken verduidelijking over het centrale contactpunt binnen Nederland. Kan de regering nader toelichting geven over de instantie die tot taak heeft om «onderzoekers en innovatieve bedrijven te ondersteunen bij het identificeren van geschikte gegevens», en om «structuren op te zetten om zo openbare lichamen technische en juridische bijstand te bieden»? In paragraaf 3.1 van de memorie van toelichting (MvT) lijkt dit contactpunt gelijkgesteld te worden aan het centraal informatiepunt. Klopt dit, en dient de MvT dan zo gelezen te worden dat het agentschap Logius de rol toebedeeld zal krijgen van dit contactpunt c.q. informatiepunt, en daarmee zowel de functie van portaal (data.overheid.nl) als die van algemeen ondersteunend/technisch/juridisch loket zal krijgen? Zo niet, hoe zullen deze rollen dan ingevuld worden?
Antwoord
Waar contactpunt staat, wordt inderdaad informatiepunt bedoeld. Hiervoor is het inderdaad het agentschap Logius beoogd, in het bijzonder het reeds bestaande portaal data.overheid.nl.
Met de «structuren op te zetten om zo openbare lichamen technische en juridische bijstand te bieden» wordt niet het centraal informatiepunt bedoeld, maar de bevoegde organen die openbare lichamen ondersteunen bij hergebruik. Bij algemene maatregel van bestuur worden een of meerdere bevoegde organen aangewezen. Hiervoor wordt in ieder geval gekeken naar het Centraal Bureau voor de Statistiek. Het gaat in die zin dus om twee verschillende rollen voor verschillende organisaties.
13
De leden van de D66-fractie vragen in hoeverre de veronderstelling klopt dat de Datagovernanceverordening toeziet op het delen van beschermde gegevens, waar de Open data richtlijn dit doet op niet-beschermde gegevens.
Antwoord
De verordening gaat inderdaad over gegevens die beschermd zijn op basis van statistisch geheim, bedrijfsgeheim, persoonsgegevens en intellectuele eigendomsrechten. De Open data richtlijn ziet daar grotendeels niet op, hoewel ook die richtlijn in zeer beperkte mate betrekking kan hebben op persoonsgegevens. Er kunnen echter andere redenen zijn om gegevens te beschermen, zoals nationale veiligheid. Deze gegevens vallen zowel buiten de verordening als de Open data richtlijn.
14
De leden van de D66-fractie zien graag een toelichting van de regering over hoe «het algemeen» belang wordt gedefinieerd binnen deze context.
Antwoord
«Het algemeen belang» komt in de verordening en de Uitvoeringswet voornamelijk voor in de context van data-altruïsme, maar is ook relevant bij hergebruik van gegevens en exclusieve overeenkomsten.
De verordening noemt «het algemeen belang» enkele keren in de context van hergebruik. Daarbij gaat het in een aantal overwegingen over (wetenschappelijk) onderzoek en innoverende activiteiten in het algemeen belang. Aangenomen mag worden dat daarmee wordt gedoeld op activiteiten die geen privaat of commercieel belang dienen, maar breed maatschappelijk nut hebben.
Verder spreekt overweging 24 over het stellen van beperkingen aan de doorgifte van gegevens aan derde landen om het algemeen belang te beschermen. Daar wordt bedoeld dat misbruik van die gegevens door derde landen zou kunnen leiden tot schade voor een veelheid aan Europese burgers of aan de EU, haar lidstaten of hun instituties.
Ook wordt het «algemeen belang» genoemd in de context van exclusieve overeenkomsten. Deze zijn toegestaan om een dienst of een product in het algemeen belang te leveren als dat anders niet mogelijk is. Hier lijkt het begrip raakvlakken te hebben met de «dienst van algemeen economisch belang» uit het Europese mededingingsrecht. Daar gaat het om een maatschappelijk op zichzelf waardevolle dienst die onder normale marktomstandigheden niet, of niet onder acceptabele voorwaarden, tot stand komt. Overheidspartijen kunnen dan (steun)maatregelen nemen om deze dienst toch in het leven te roepen. Dat is inmenging in de markt, maar wordt niet gezien als verboden staatssteun.
Overheden hebben vaak veel ruimte om in de context van diensten van algemeen economisch belang te beoordelen wat zij als het algemeen belang zien. Deze ruimte wordt echter begrensd door de algemene beginselen van proportionaliteit en noodzakelijkheid en het moet gaan om een vorm van marktfalen. Datzelfde geldt voor de exclusieve overeenkomsten onder de verordening: ook die mogen alleen worden ingezet als de markt onvoldoende tot oplossingen komt.
In de context van data-altruïsme noemt de verordening als voorbeelden: gezondheidszorg, bestrijding van de klimaatverandering, mobiliteitsverbetering, facilitering van de ontwikkeling, productie en verspreiding van officiële statistieken, verbetering van openbare diensten, of openbare besluitvorming en steun voor wetenschappelijk onderzoek. In de Uitvoeringswet is deze lijst samengevoegd met wat in artikel 5b derde lid, van de Algemene wet inzake rijksbelastingen als «algemeen nut» wordt aangeduid. Het betreft onderwerpen waarvan de bevordering als algemeen nuttig – en daarom in het algemeen belang – wordt beschouwd.
15
De leden van de BBB-fractie constateren dat de lidstaten één contactpunt moeten oprichten om onderzoekers en innovatieve bedrijven te ondersteunen bij het identificeren van geschikte gegevens en structuren moeten opzetten om openbare lichamen technische en juridische bijstand te bieden. De leden vragen de regering of dit contactpunt eenvoudig te vinden is voor burgers en bedrijven, en in hoeverre verwacht wordt hoe vaak dit contactpunt gebruikt gaat worden en of de middelen en capaciteiten van het contactpunt hierop aansluiten.
Antwoord
Er is voor gekozen om dit te beleggen bij het reeds bestaande opendataportaal data.overheid.nl. Dit portaal werd in 2023 gemiddeld ruim veertigduizend keer per maand bezocht. Door dit portaal ook te gebruiken voor de verordening kunnen bedrijven voor al hun vragen over gegevens van de overheid terecht op één punt. De regering heeft nog geen beeld hoe vaak hiervan gebruik gemaakt zal worden. De inschatting is dat dit geen significante extra middelen vereist. Als dit wel het geval blijkt, zal dit meegenomen worden in de gesprekken met Logius over het beheer van het portaal.
16
De leden van de SP-fractie lezen dat een aantal beschermde categorieën van data, zoals persoonsgegevens die buiten het toepassingsbeleid van de Open data richtlijn vallen en data waarop intellectuele-eigendomsrechten van derden rusten, te gevoelig zijn om als open data voor een ieder algemeen beschikbaar te stellen, maar niet zo gevoelig dat elke vorm van hergebruik principieel moet worden uitgesloten. De leden zien niet goed voor zich welk beeld de regering hier probeert te schetsen. In welke gevallen acht de regering het wenselijk om deze beschermde categorieën van data voor hergebruik beschikbaar te stellen? Hoe groot is het risico dat persoonsgegevens hierdoor de markt op komen, waardoor een inbreuk op privacy wordt gemaakt?
Antwoord
Overheidsgegevens kunnen bijvoorbeeld gebruikt worden voor wetenschappelijk onderzoek. Het Centraal Bureau voor de Statistiek biedt al de mogelijkheid voor wetenschappers om de gegevens die het bureau verzameld heeft in het kader van zijn wettelijke taak, onder strikte voorwaarden te gebruiken ten behoeve van statistisch en/of wetenschappelijk onderzoek. De Wet open overheid bevat eveneens die mogelijkheid voor wetenschappelijk, statistisch, historisch en journalistiek onderzoek. Zoals reeds genoemd in het antwoord op vraag 2, kent Nederland op dit moment geen grondslag voor commercieel hergebruik van dergelijke gegevens en is deze ook niet voorzien. Persoonsgegevens mogen verder sowieso niet beschikbaar gesteld worden zonder waarborgen, zoals anonimisering. De combinatie van de hoge vertrouwelijkheidseisen die de verordening stelt en het feit dat er geen grondslag is voor commercieel gebruik maakt dat het risico dat persoonsgegevens hierdoor op de markt komen zeer klein. Daarnaast blijft de AVG onverminderd van toepassing en is er dus een verwerkingsgrondslag nodig om persoonsgegevens te mogen verwerken. De AP blijft toezicht houden op het verwerken van persoonsgegevens op grond van de AVG.
17
De leden van de SP-fractie lezen dat de Europese Commissie ziet dat nieuwe markten voor gegevensdeling ontstaan en wil bevorderen dat deze markten zich op een verantwoorde en betrouwbare manier ontwikkelen. De leden zien ook dat deze markten zijn ontstaan en uitgegroeid tot gigantische proporties. Alhoewel de leden het nut zien van het delen van data op altruïstische gronden en het hergebruik van data voor wetenschappelijke- en onderzoeksdoeleinden of voor andere doeleinden in het publiek belang, hebben zij fundamentele bezwaren tegen de privatisering van publieke data en verkoop van persoonsgegevens die plaats kan vinden door deze verordening. Door data voor hergebruik beschikbaar te stellen aan marktpartijen kan het voorkomen dat publiek gefinancierd onderzoek wordt gebruikt door marktpartijen en daardoor publieke informatie geprivatiseerd wordt. De publieke sector heeft hier weinig baat bij. Hoe gaat de regering voorkomen dat publieke informatie op deze manier geprivatiseerd wordt? Persoonsgegevens worden nu door grote techbedrijven als Meta, Amazon en Google verzameld, ingezet en verkocht om zo efficiënt mogelijk te adverteren. Deze verordening creëert ruimte in de markt voor zogenoemde databemiddelingsbedrijven om ook kleinere bedrijven mee te laten doen. De verkoop van persoonsgegevens doet afbreuk aan privacy en geeft bedrijven te veel macht. Faciliteren de Europese Commissie en de regering de verkoop van persoonsgegevens met deze verordening?
Antwoord
Het klopt dat voor wetenschappelijk onderzoek gegevens onder voorwaarden hergebruikt kunnen worden. De verordening legt geen beperkingen op aan het beschikbaar maken van de wetenschappelijke inzichten die hier uit voortkomen. Dit acht de regering ook onwenselijk, omdat dan de inzichten – al dan niet publiek gefinancierd- niet door andere wetenschappers gebruikt kunnen worden terwijl de maatschappij daar juist baat bij heeft. Het publiceren betekent inderdaad dat marktpartijen ook gebruik kunnen maken van deze inzichten. De regering ziet dit niet als onwenselijk en ook niet als privatisering van publieke informatie.
Databemiddelingsdiensten kopen of verkopen niet zelf gegevens maar zorgen voor de totstandkoming van de gegevensdeelrelatie. Indien het gaat om een natuurlijk persoon die een gegevensdeelrelatie aan wil gaan, heeft de databemiddelingsdienst de plicht om ervoor te zorgen deze persoon zijn of haar rechten onder de AVG kan uitoefenen. Het doel is dus dat personen juist meer grip op gun gegevens krijgen en de rechten uit de AVG effectiever kunnen worden uitgeoefend als databemiddelingsdiensten meer worden gebruikt.
18
De leden van de SP-fractie lezen dat de openbare lichamen die hergebruik toestaan zelf technische maatregelen moeten nemen om gegevensbescherming, privacy en vertrouwelijkheid te waarborgen. De regering geeft als voorbeeld dat een openbaar lichaam kan eisen dat persoonsgegevens geanonimiseerd zijn. Moeten de leden hieruit concluderen dat het aan openbare lichamen is om te besluiten of zij persoonsgegevens anonimiseren? Zo ja, waarom wordt dit niet wettelijk verplicht?
Antwoord
Openbare lichamen zijn verplicht ervoor te zorgen dat het beschermde karakter van de gegevens, zoals persoonsgegevens, behouden blijft. Een mogelijkheid daarvoor is het anonimiseren, maar andere manieren die de verordening noemt zijn het beschikbaar stellen in een beveiligde digitale verwerkingsomgeving of het beschikbaar stellen op een fysieke locatie. Voor alle mogelijkheden geldt dat ze de rechten van personen over wie de gegevens gaan, moeten beschermen. Een openbaar lichaam kan het best per verzoek inschatten welke manier van beschikbaar stellen het beste past bij het verzoek en tegelijkertijd voor de beste bescherming zorgt. Het wettelijk verplichten van anonimiseren zou verdere beperkingen opleggen aan mogelijk hergebruik en strijdig zijn met de verordening.
19
De leden van de GroenLinks-PvdA-fractie hebben vragen over de «databemiddelingsdiensten», waarvan de definitie nog in ontwikkeling is. De aangedragen voorbeelden van wat wel en geen databemiddelingsdiensten zijn, vinden de leden verhelderend maar nog niet concreet genoeg. Kan de regering een concrete definitie geven van een databemiddelingsdienst? Omvat dit ook bedrijven die een indirecte relatie hebben met de datahouder en de -gebruiker?
Antwoord
De Europese Commissie heeft beoogd een nieuw soort diensten in het leven te roepen met de verordening. Op het moment dat het oorspronkelijke commissievoorstel uit werd gebracht waren er weinig databemiddelingsdiensten. Momenteel wordt door beoogde toezichthouders onderzocht welke partijen onder de definitie uit de verordening vallen. In eerste instantie lijkt het nog om een beperkt aantal partijen te gaan.
Een van de geïdentificeerde redenen waarom een markt voor deze diensten niet van de grond kwam was het gebrek aan vertrouwen in dergelijke diensten. De verordening vereist dat databemiddelingsdienstverleners de gegevens die via hen worden gedeeld nergens anders voor mogen gebruiken. Dit betekent dat de aanbieders van databemiddelingsdiensten zowel op papier als in de praktijk hun databemiddelingsdiensten moeten scheiden van andere dienstverlening. Door deze en andere maatregelen zou het vertrouwen in dergelijke dienstverleners verhoogd moeten worden.
In algemene zin valt, als voorbeeld, te denken aan een datamarktplaats waarbij een gegevenshouder een dataset aanbiedt en een eventuele gegevensgebruiker contact op kan nemen met de gegevenshouder voor het gebruik van deze gegevens. De datamarktplaats koopt of verkoopt geen gegevens, maar brengt bedrijven samen die geïnteresseerd zijn in het genereren van inkomsten en het hergebruiken van gegevens, en bevordert de transparantie tussen gegevensleveranciers en gebruikers door ervoor te zorgen dat zij rechtstreeks op het platform met elkaar communiceren en de transactie uitvoeren. Een dergelijke marktplaats kan een reeks tools ontwikkelen om zowel dataleveranciers als gebruikers te helpen de gegevens te begrijpen, te beoordelen en erover te communiceren. Zo bieden visualisatietools gegevensgebruikers verschillende vormen van informatie over een volledige dataset die veilig kan worden gedeeld voordat een transactie is voltooid. Sampling tools genereren automatisch representatieve gegevensvoorbeelden op basis van algoritmen, om vertekening te voorkomen. Gegevensgebruikers en dataleveranciers communiceren via een berichtentool die in het platform is ingebed. Bovendien kan een datamarktplaats de onderhandelingen over de contractuele overeenkomst ondersteunen door modelvoorwaarden die automatisch kunnen worden gegenereerd. Daarnaast is het mogelijk dat bepaalde persoonlijke datamanagers onder de verordening vallen.
Belangrijk is dat een entiteit alleen een databemiddelingsdienst is als het via een vorm van matchmaking een commerciële datadeelrelatie tot stand brengt. Het kan in die zin niet gaan om een indirecte relatie omdat de matchmaking moet plaatsvinden tussen de gegevenshouder en gegevensgebruiker. Als de gegevenshouder de gegevens en de daaraan verbonden rechten overdraagt aan een andere partij, dan is die partij de gegevenshouder geworden.
20
Wanneer handelt een databemiddelingsdienst «in het belang van de datasubjecten», zoals beschreven in de MvT?
Antwoord
Overweging 30 van de verordening geeft aan wat er bedoeld wordt met een databemiddelingsdienst die handelt in het belang van datasubjecten:
«Dergelijke aanbieders zouden personen helpen hun rechten uit hoofde van Verordening (EU) 2016/679 uit te oefenen, met name het geven en intrekken van hun toestemming voor de gegevensverwerking, het recht op toegang tot hun eigen gegevens, het recht op rectificatie van onjuiste persoonsgegevens, het recht op het wissen van gegevens of om «te worden vergeten», het recht om de verwerking te beperken en het recht op gegevensoverdraagbaarheid, waardoor datasubjecten hun persoonsgegevens naar een andere gegevensverwerkingsverantwoordelijke kunnen overbrengen. In dat verband is het belangrijk dat het bedrijfsmodel van dergelijke aanbieders waarborgt dat er geen ongewenste prikkels gegenereerd worden die personen ertoe aansporen dergelijke diensten te gebruiken om meer gegevens beschikbaar te stellen voor verwerking dan in hun eigen belang is.
Dat kan onder meer betekenen dat personen advies krijgen over de mogelijke manieren waarop hun gegevens worden gebruikt en dat zorgvuldigheidscontroles op gegevensgebruikers worden uitgevoerd voordat zij contact mogen opnemen met datasubjecten, teneinde frauduleuze praktijken te voorkomen. In bepaalde situaties kan het wenselijk zijn om feitelijke gegevens te verzamelen in een persoonsgegevensruimte, zodat de verwerking binnen die ruimte kan gebeuren zonder dat persoonsgegevens aan derden worden doorgegeven, teneinde de persoonsgegevens en de persoonlijke levenssfeer maximaal te beschermen. Dergelijke persoonsgegevensruimten kunnen statische persoonsgegevens zoals naam, adres of geboortedatum bevatten, alsook dynamische gegevens die een persoon genereert, bijvoorbeeld door gebruik te maken van een onlinedienst of een met het internet van de dingen verbonden voorwerp. Zij kunnen ook worden gebruikt voor het opslaan van gecontroleerde identiteitsgegevens, zoals paspoortnummers of socialezekerheidsinformatie, en van persoonlijke gegevens, zoals rijbewijzen, diploma’s of bankrekeninginformatie.»
21
De leden van de D66-fractie zien dat in het voorbeeld over de databemiddelingsdiensten wordt gesproken over een Frans bedrijf. In hoeverre zal toezicht vanuit de lidstaat (de Nederlandse toezichthouder) mandaat hebben om een Frans (of een ander land binnen de EU) bedrijf sancties op te leggen?
Antwoord
Een Nederlandse toezichthouder kan geen sancties opleggen aan een aanbieder van databemiddelingsdiensten die zijn hoofdvestiging of zijn wettelijke vertegenwoordiger in een andere lidstaat (bijvoorbeeld Frankrijk) heeft. Indien databemiddelingsdiensten in een andere lidstaat (bijvoorbeeld Nederland) worden aangeboden, werken de toezichthouders (de voor databemiddelingsdiensten bevoegde autoriteit uit beide lidstaten) samen en verlenen zij elkaar bijstand. Voor deze bijstand moet de toezichthouder een gemotiveerd verzoek indienen bij de andere toezichthouder. Vervolgens kunnen zij informatie uitwisselen voor zover dat nodig is voor het toezicht op de verordening. Het is in dit voorbeeld aan de Franse toezichthouder om waar nodig een sanctie op te leggen. Zie ook artikel 14, zevende lid, van de verordening.
22
De leden van de NSC-fractie hebben een vraag aan de regering over de reikwijdte van het data-altruïsme. Is het voor de in de Unie erkende organisaties voor data-altruïsme toegestaan om gegevens die onder deze verordening of onder de Open data richtlijn door enige instantie tegen vergoeding voor hergebruik beschikbaar zijn gesteld, kosteloos breder beschikbaar te stellen?
Antwoord
Data-altruïstische organisaties hebben geen speciale positie ten opzichte van het hergebruik van hoofdstuk II van deze verordening of ten opzichte van hergebruik van de Open data richtlijn. Voor hen gelden in dit kader dus geen bijzondere regels. De rechten die zij wel of niet hebben ten aanzien van het eventueel kosteloos breder beschikbaar stellen van dergelijke gegevens, zijn afhankelijk van de wettelijke grondslag, afspraken en voorwaarden waaronder zij die gegevens hebben verkregen. Dat kan van geval tot geval verschillen.
23
De leden van de GroenLinks-PvdA-fractie lezen dat de Europese Commissie gedelegeerde handelingen mag vastleggen voor het overdragen van zeer gevoelige data naar derde landen. Welke mogelijke voorwaarden betreft dit? Welke rechten heeft de datahouder, naast het recht om geïnformeerd te worden? Mag de datahouder bezwaar maken?
Antwoord
Overweging 24 van de verordening stelt over die voorwaarden het volgende: «Het kan gaan om voorwaarden voor de doorgifte of technische regelingen, zoals de verplichting om een beveiligde verwerkingsomgeving te gebruiken, beperkingen met betrekking tot het hergebruik van gegevens in derde landen of met betrekking tot categorieën van personen die dergelijke gegevens mogen doorgeven aan derde landen of die in dat derde land toegang kunnen krijgen tot de gegevens. In uitzonderlijke gevallen kunnen dergelijke voorwaarden ook beperkingen op de doorgifte van gegevens aan derde landen omvatten om het algemeen belang te beschermen.»
Naast het recht om geïnformeerd te worden, kent de verordening zelf geen andere directe rechten toe aan de gegevenshouder wiens gegevens worden doorgegeven aan een derde land. Wel volgt uit artikel 31 van de verordening een gelaagde set maatregelen, waaruit mogelijk rechten voortvloeien voor de gegevenshouder. In de eerste plaats moeten betrokken organisaties diverse maatregelen nemen, waaronder contractuele regelingen, om verboden doorgifte te voorkomen. In die contractuele regelingen zouden afspraken kunnen worden gemaakt over de rechten van gegevenshouders. In het tweede lid staat als hoofdregel dat een eventuele doorgifte moet zijn gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand. In zo’n internationale overeenkomst kunnen ook rechten voor gegevenshouders zijn getroffen. Bij gebrek aan een dergelijke internationale overeenkomst, kan volgens het derde lid alleen onder specifieke voorwaarden sprake zijn van een legale doorgifte, waaronder het recht van de geadresseerde om bezwaar te maken en dat te laten toetsen bij de rechter van dat derde land. Dit recht ligt dan overigens niet bij de oorspronkelijke gegevenshouder, omdat deze geen partij is in de betreffende zaak. Als ook van deze situatie geen sprake is, is de doorgifte naar Europees recht verboden
24
De leden van de NSC-fractie verzoeken om toelichting waarom is gekozen om de Minister van Economische Zaken en Klimaat verantwoordelijk te maken voor de databemiddelingsdiensten en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties voor het hergebruik van overheidsgegevens en de erkende organisaties voor data-altruïsme.4 Met welke reden is deze knip gemaakt?
Antwoord
De bredere juridische grondslag voor deze verordening is artikel 114 van het Verdrag betreffende de werking van de Europese Unie dat ziet op de werking van de interne markt. De gekozen grondslag onderstreept het economische karakter van deze wetgeving. De regulering van databemiddelingsdiensten beoogt het ontwikkelen van een markt voor vertrouwde commerciële datadeling. Dit doel sluit aan bij het kabinetsbeleid met betrekking tot het stimuleren van onze data-economie, waarvoor het Ministerie van Economische Zaken en Klimaat beleidsverantwoordelijk is. Zo heeft de Staatssecretaris van Economische Zaken in 2019 «de Nederlandse visie op datadeling tussen bedrijven» naar uw Kamer gestuurd en zijn er sindsdien meerdere beleidsinitiatieven geweest vanuit het Ministerie van Economische Zaken en Klimaat rondom de data-economie zoals ook blijkt uit de Strategie Digitale Economie.5 Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor het open data beleid en de informatiehuishouding van de Rijksoverheid. Door aan te sluiten bij bestaande beleidsverantwoordelijkheden wordt de inhoudelijke consistentie gewaarborgd. Er is op meerdere digitale dossiers intensieve samenwerking tussen de ministeries van Economische Zaken en Klimaat en Binnenlandse Zaken en Koninkrijksrelaties waardoor de inhoudelijke knip goed te maken is maar er voor burgers en bedrijven geen praktische gevolgen zijn.
25
De leden van de GroenLinks-PvdA-fractie lezen dat de Minister van Economische Zaken en Klimaat verantwoordelijk is voor de databemiddelingsdiensten. Op welke manier is de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties hierbij betrokken?
Zie het antwoord op vraag 24.
26
Ook lezen de leden dat kosten in rekening mogen worden gebracht voor het hergebruiken van data. Is dat niet in strijd met de bedoeling van de wet, namelijk om data beter toegankelijk te maken? Onder welke voorwaarden mag er een tarief worden gehanteerd?
Antwoord
Het klopt dat de verordening ernaar streeft gegevens toegankelijk te maken. Dat beogen de verordening en de Uitvoeringswet te bereiken door een kader te stellen voor het hergebruik van overheidsgegevens en ondersteuning te bieden door bevoegde organen en het inrichten van een centraal informatiepunt. Dit type hergebruik vereist echter – meer dan gegevens onder de wet hergebruik overheidsinformatie – capaciteit van de overheid. Vooral om dit op een veilige manier uit te voeren. De regering vindt het daarom redelijk om de kosten door te berekenen aan de hergebruiker. De verordening staat dit toe.
27
De leden van de D66-fractie vragen in hoeverre het klopt het dat de Wet open overheid (Woo) prevaleert boven deze verordening. Klopt het ook dat de Woo, wat geen intellectueel eigendom van derden erkent als reden om documenten niet openbaar te maken, blijft gelden?
Antwoord
Hoofdstuk II van de verordening stelt in artikel 3, derde lid, onderdeel a, dat het hoofdstuk geen afbreuk doet aan het Unie- en nationaal recht inzake toegang tot documenten. De Woo is dus van toepassing en het klopt dat de Woo in die zin prevaleert boven de verordening.
De Woo erkent het intellectueel eigendomsrecht van derden niet afzonderlijk als reden om documenten niet openbaar te maken. Echter, in geval een verzoek tot openbaarmaking op grond van de Woo wordt gedaan, kunnen er andere weigeringsgronden van toepassing zijn, zoals het feit dat het bedrijfs- en fabricagegegevens betreft die vertrouwelijk aan de overheid zijn meegedeeld. Daarnaast gelden door auteurs gepubliceerde documenten als reeds openbaar, ook als die documenten zich bijvoorbeeld bevinden achter een betaalmuur. De Woo is niet van toepassing op reeds openbare documenten. Het is dus niet zo dat ingevolge de Woo zomaar documenten waarop een intellectueel eigendomsrecht rust gratis openbaar kunnen worden.
Voor zover documenten wel openbaar zijn of worden gemaakt (via de Woo of buiten de Woo om), is daarop in principe de Wet hergebruik van overheidsinformatie van toepassing (Who). De Who erkent intellectuele eigendomsrechten van derden echter wel uitdrukkelijk als een reden om hergebruik niet toe te staan.
28
De leden van de D66-fractie zien graag een meer uitgebreide toelichting van de regering waarom het advies van de Raad van State om de verplichte samenwerking tussen de Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument & Markt (ACM) te schrappen, niet wordt opgevolgd. In hoeverre wordt de ACM verplicht om het advies van de AP op te volgen?
Antwoord
De ACM wordt aangewezen als bevoegde autoriteit voor de verordening met betrekking tot de hoofdstukken III en IV. Bij de aanmelding als databemiddelingsdienst respectievelijk registratie als erkende organisatie voor data-altruïsme wordt ex ante beoordeeld of een databemiddelingsdienst of een organisatie voor data-altruïsme aan deze verordening voldoet. De AP adviseert, gelet op haar expertise met betrekking tot de verwerking van persoonsgegevens, de ACM over op dat vlak in deze verordening gestelde voorwaarden. Uit de Awb volgt dat gemotiveerd van een advies kan worden afgeweken. Dat geldt ook in dit geval. Er wordt nadrukkelijk niet gevraagd om een ex ante AVG-beoordeling: de AP behoudt al haar AVG-bevoegdheden om in het kader van de AVG toezicht te houden. Naar aanleiding van het advies van de Afdeling is de adviesplicht aangepast zodat duidelijk wordt dat het advies van de AP ziet op het voldoen aan de relevante bepalingen van de verordening en niet op het voldoen aan de AVG.
29
De leden van de BBB-fractie lezen in de MvT dat de Autoriteit Consument & Markt (ACM) wordt aangewezen als toezichthouder. De ACM mag databemiddelingsdiensten sanctioneren, schorsen en dwangsommen opleggen als die zich niet aan de regels houden. Ook houden ze toezicht op inbreuken op verplichtingen m.b.t. deze doorgifte van niet-persoonsgebonden gegevens aan derde landen wanneer deze doorgifte in strijd is met de Europese of nationale wetgeving. De leden vragen de regering of er rekening mee is gehouden met de vraag, wanneer databemiddelingsdiensten die zich bevinden in landen waarin boetes frequent niet betaald worden en sancties worden genegeerd, hoe de ACM hiermee om kan gaan, en wat mogelijke vervolgstappen zijn? Als de vervolgstap om recht te halen in landen (waarin databemiddelingsdiensten zich bevinden) mislukt, wat zou dan het gevolg zijn en hoe beperkt deze wetgeving in een dergelijke situatie? Is er een mogelijkheid om een register van landen te maken van waaruit databemiddelingsdiensten geen toegang hebben tot de Nederlandse en Europese data i.v.m. het mogelijk in gevaar brengen van de nationale veiligheid of grootschalige schending van de privacy?
Antwoord
De ACM houdt toezicht op Nederlandse databemiddelingsdiensten. Indien een databemiddelingsdienst is gevestigd in een andere lidstaat maar in Nederland de verordening overtreedt, dan is de toezichthouder in het land van vestiging de toezichthouder die de verordening moet handhaven. De ACM kan contact opnemen met de toezichthouder in een andere lidstaat om informatie over een eventuele inbreuk op de verordening te delen. Indien een lidstaat zich niet aan de Europese regels houdt, is het aan de Europese Commissie om bij het Europese Hof een inbreukprocedure te starten tegen deze lidstaat. In het geval een databemiddelingsdienst niet gevestigd is in de EU en ook geen wettelijke vertegenwoordiger in de EU heeft, dan mag deze haar diensten niet in de EU aanbieden. De ACM mag deze partijen dan ook weren van de Nederlandse markt.
Als het gaat om schending van de privacy is de AVG van toepassing en is de AP verantwoordelijk voor het toezicht. De verordening is niet van toepassing in het geval van nationale veiligheid omdat de verordening geen afbreuk doet aan de bevoegdheden van lidstaten hierin (artikel 1, vijfde lid van de verordening). Daarnaast is het goed om te verhelderen dat databemiddelingsdiensten zelf geen toegang kunnen regelen tot gegevens omdat een databemiddelingsdienst moet worden afgenomen door een gegevenshouder en gegevensgebruiker en de gegevenshouder zelf het initiatief moet nemen om gegevens aan te bieden bij een databemiddelingsdienst. Bovendien mag een databemiddelingsdienst de gegevens ook voor geen enkel ander doel gebruiken dan het delen met de gegevensgebruiker, in overeenstemming met de wensen van de gegevenshouder.
30
De leden van de BBB-fractie lezen dat de ACM moet beoordelen of een databemiddelingsdienst of geregistreerde data-altruïstische organisatie (naar verwachting) zal voldoen aan de eisen die de verordening aan de betreffende organisatie stelt. Aangezien de AP echter de toezichthouder is op de AVG, is de AP de aangewezen organisatie om advies te geven met betrekking tot die voorwaarden uit de verordening die verband houden met de bescherming van persoonsgegevens. De leden vragen de regering in hoeveel procent van de gevallen de AVG van toepassing zal zijn bij het beoordelen van een databemiddelingsdienst of geregistreerde data-altruïstische organisatie? Zou het kunnen dat de AP een grotere hoeveelheid aanvragen moet gaan beoordelen dan dat nu verwacht wordt, en zo ja, tussen hoeveel full time equivalent (FTE) schommelt dit en wat betekent dit voor de financiële lasten voor de toezichthouder?
Antwoord
Het gaat bij databemiddelingsdiensten en data-altruïstische organisaties om een zeer nieuw type dienstverlening. Het is nu dus nog lastig om in te schatten hoeveel databemiddelingsdienstverleners en data-altruïstische organisaties zich in de komende jaren in Nederland zullen registreren. Daarmee is het ook lastig in te schatten hoe vaak de AP om advies zal worden gevraagd door de ACM. Op dit moment zijn er nog maar een zeer beperkt aantal entiteiten die mogelijk een aanbieder van databemiddelingsdiensten zijn. Op basis van de inschattingen van de ACM en de AP in de UHT’s is gebleken dat er structureel 2,5 FTE nodig is voor de toezichtstaken van de ACM met betrekking tot de verordening. Op basis het geschatte aantal adviesaanvragen van de ACM aan de AP is er aan de AP 1,5 FTE toegekend. Het kabinet verwacht voldoende capaciteit te hebben georganiseerd bij de ACM en de AP om de taken uit de Uitvoeringswet te vervullen. Los van de reguliere inhoudelijke samenwerking tussen de beleidsverantwoordelijke departementen en de ACM en AP zal ook de financieringsbehoefte op reguliere basis worden geëvalueerd. Als dat nodig blijkt kan in de toekomst de capaciteit worden aangepast.
31
De leden van de GroenLinks-PvdA-fractie merken op dat de wet in 2023 geïmplementeerd had moeten zijn. Ook is er een nauwe samenhang met de Wet implementatie Open data richtlijn. Welke gevolgen heeft het niet op tijd invoeren van deze wet? Welke risico’s brengt het met zich mee als deze wet en de Wet implementatie Open data richtlijn niet tegelijk worden ingevoerd? Vallen er op die manier geen gaten in het beleid?
Antwoord
Zolang deze Uitvoeringswet nog niet van kracht is in Nederland heeft Nederland niet volledige uitvoering gegeven aan de Verordening. Zo kunnen de betrokken toezichthouders en uitvoeringsorganisaties hun rol nog niet uitvoeren. Dit betekent dat Nederlandse databemiddelingsdiensten en organisaties voor data-altruïsme zich niet kunnen aanmelden en dus niet in en vanuit Nederland hun diensten kunnen aanbieden.
Het niet op tijd uitvoeren van de verordening betekent dat Nederland het risico loopt op een inbreukprocedure van de Europese Commissie. Een inbreukprocedure kan leiden tot een boete van de Europese Commissie. De Europese Commissie is op de hoogte gebracht dat de Uitvoeringswet op 16 oktober 2023 naar uw Kamer is gestuurd.
Het niet tegelijk invoeren van de Wet implementatie Open data richtlijn en de Uitvoeringswet heeft geen risico’s voor de uitvoering. Zij hebben immers betrekking op verschillende typen gegevens. Voor een effectief hergebruik van overheidsinformatie is het echter wel wenselijk dat beide zo snel mogelijk ingevoerd worden.
32
De leden van de D66-fractie vragen in hoeverre het klopt dat bij tegenstrijdigheid tussen de verordening en de AVG de laatstgenoemde prevaleert?
Antwoord
Artikel 1, derde lid, van de verordening geeft expliciet aan dat deze verordening geen afbreuk doet aan de AVG. De AVG prevaleert daarmee.
33
In hoeverre ondervindt dit wetsvoorstel last van het gegeven dat de Wet implementatie Open data richtlijn nog niet is aangenomen? Kan de regering dit toelichten, zo vragen deze leden?
Antwoord
Zoals toegelicht bij vraag 31, ondervindt het onderhavige wetsvoorstel geen last van het verlate invoeren van de Wet implementatie Open data richtlijn.
34
De leden van de BBB-fractie lezen dat een met een publieke taak belaste instelling er voor kan kiezen om de gegevens in kwestie te anonimiseren, alvorens hergebruik daarvan toe te staan. Is het gebruik van «reverse engineering» voor geanonimiseerde persoonsgegevens door middel van kwantum computers als risico meegenomen in deze afweging?
Antwoord
Bij anonimisering is heridentificatie of «reverse engineering» per definitie niet mogelijk. Als hier wel nu of in de toekomst sprake van is, is er sprake van pseudonimisering. Dat heridentificatie in de toekomst mogelijk is, kan komen door ontwikkelingen zoals kwantum.6 Artikel 5, vijfde lid, van de verordening verbiedt heridentificatie door hergebruikers en verplicht hen daartegen maatregelen te nemen. Het is uiteindelijk aan het openbaar lichaam, al dan niet ondersteund door een bevoegd orgaan, om te beoordelen of de persoonsgegevens voldoende beschermd zijn. Daarbij moeten zij het risico op heridentificatie meenemen in de afweging.
35
De leden van de PVV-fractie merken op dat de beantwoording van de inbreng van het Adviescollege Openbaarheid en Informatiehuishouding (ACOI) niet volledig is verwoord in de MvT. Derhalve verzoeken de leden alsnog een toelichting op de door het ACOI gedane voorstellen.
Antwoord
Het ACOI heeft vier adviezen gegeven. In de MvT is specifiek ingegaan op het derde advies, omdat dit direct gerelateerd was aan de voorliggende Uitvoeringswet. Concreet ging dat om het advies om in de MvT op te nemen dat de bevoegde organen eisen moeten stellen aan de duurzame toegankelijkheid.
Het ACOI deed ook de aanbeveling om te onderzoeken welke aanvullende grondslagen voor het hergebruik van beschermde gegevens van toegevoegde waarde kunnen zijn. Het hergebruikregime van de verordening bevat immers geen zelfstandige grondslagen om hergebruik toe te staan of verplicht te stellen, maar functioneert in afhankelijkheid van nationale grondslagen. Ten tijde van het advies van de ACOI, was de indruk nog dat Nederlandse regelgeving maar zeer beperkt dergelijke grondslagen kende. Het ACOI stelde daarom voor om meer van dergelijke grondslagen toe te voegen. Na het uitbrengen van het advies is echter duidelijk geworden dat artikel 5.7 van de Wet open overheid ook fungeert als een grondslag voor hergebruik als bedoeld in de verordening. Omdat deze grondslag zeer breed is, ziet de regering geen reden om op korte termijn aanvullende grondslagen te creëren. Wanneer dit wel het geval is, zal de regering deze voorleggen aan het ACOI.
Het ACOI doet tevens de aanbeveling om verschillende aspecten rond het centraal informatiepunt te onderzoeken. Het beoogde portaal, data.overheid.nl, voldoet volgens de regering aan deze aspecten. Dit portaal is reeds het portaal voor open data en wordt goed bezocht. De vereiste ondersteuning past bij de rol die het portaal al heeft met betrekking tot open data. Verder voldoet het portaal aan de minimale interoperabiliteit en wordt er gewerkt aan een verbetering waarbij de laatste versie van de uitwisselingsstandaard gebruikt wordt. Het laatste advies van ACOI heeft betrekking op de vergoeding voor hergebruik. Het ACOI wil daar op adviseren. Er wordt nog gewerkt aan de AMvB en de regering zegt toe deze AMvB voor te leggen aan het ACOI voor advies.
36
De leden van de NSC-fractie verzoeken de regering om nadere toelichting waarom de verordening niet op een eerder moment is geïmplementeerd, aangezien de deadline van 24 september 2023 reeds is verstreken.
Antwoord
De verordening voorzag in een periode van 15 maanden voor uitvoering. Vanwege de nieuwe thematiek waar deze wetgeving betrekking op heeft en de (mogelijke) samenhang met de uitvoering van andere verordeningen op het terrein van digitalisering is deze periode helaas te kort gebleken voor de zorgvuldige voorbereiding, afstemming met alle betrokken partijen en behandeling van het voorstel voor de Uitvoeringswet. De Uitvoeringswet is daardoor op 16 oktober 2023 aan uw Kamer aangeboden.
37
De leden van de PVV-fractie merken op dat er geen evaluatie zal plaatsvinden. Gezien de regeldruk nog een onbekende factor is lijkt het voor de hand dat er een evaluatie zal plaatsvinden. Waarom wordt afgezien van een evaluatie?
Zie het antwoord op vraag 38.
38
De leden van de GroenLinks-PvdA-fractie willen weten hoe vaak de Kamer geïnformeerd wordt over de vordering op deze wet. Op welke termijn wordt de uitvoering geëvalueerd?
Antwoord
Artikel 35 van de verordening voorziet in een evaluatie van de verordening. Uiterlijk op 24 september 2025 brengt de Commissie verslag uit aan het Europees Parlement, de Raad en het Europees Economisch en Sociaal Comité over de evaluatie van de verordening. Indien uit de evaluatie blijkt dat de uitvoering in Nederland moet worden aangepast, kan er te zijner tijd worden gekeken hoe dit in Nederland het beste kan worden geadresseerd. Overigens heeft de Uitvoeringswet zelf geen gevolgen voor de regeldruk omdat het gaat om een zuivere en beleidsarme uitvoering. Bij bijzonderheden over de verordening of de uitvoeringswet, kan dit in de jaarlijkse voortgangsrapportage van de Strategie Digitale Economie worden meegenomen.
39
De leden van de vragen D66-fractie hoe er gecontroleerd zal worden dat data niet gebruikt wordt door de inzet van Artificial Intelligence (AI), bijvoorbeeld bij Large Language Models?
Antwoord
De verordening regelt niet voor welke toepassingen gegevens gebruikt mogen worden. Zij regelt alleen onder welke voorwaarden gegevens mogen worden gedeeld. Het verschilt per hoofdstuk om welke gegevens het gaat en wat de voorwaarden zijn. Zo gaat het hoofdstuk over databemiddelingsdiensten over gegevens in bezit van gegevenshouders of datasubjecten en gaat het om de voorwaarden gesteld aan databemiddelingsdienstverleners die kunnen worden gebruikt door een gegevenshouder of datasubject om hun gegevens te delen met een gegevensgebruiker.
Het is mogelijk dat de gegevensgebruiker de gegevens gebruikt voor de ontwikkeling van AI. In beginsel is dit ook positief omdat er veel maatschappelijke en economische kansen van AI zijn. Zo kan AI helpen bij diagnostisering in de zorg, vermindering van files door slimme verkeerssystemen of het verlagen van CO2-uitstoot door procesoptimalisatie. Het delen van data moet natuurlijk wel verantwoord gebeuren. Daarom is er een uitgebreid wettelijk kader voor gegevens met de AVG, de verordening en binnenkort de Dataverordening waarin rechten van datasubjecten (personen over wie de gegevens gaat) zijn vastgesteld. Ook worden daarin datamarkten gereguleerd om deelnemers verantwoord met gegevens om te laten gaan én ongewenste machtsconcentraties tegen te gaan. Dit kader geldt ook voor gegevens die worden gebruikt om AI mee te trainen.
De AI-Verordening stelt daarnaast regels voor de verantwoorde ontwikkeling en gebruik van AI-systemen. Voor hoog-risico AI-systemen gaan onder andere eisen gelden aan de gegevens die gebruikt worden voor training. Grote AI-modellen (zoals Large Language Models) die voor veel verschillende toepassingen gebruikt kunnen worden, moeten onder andere een samenvatting van de gebruikte trainingsdata openbaar publiceren.
In het geval van hergebruik van overheidsinformatie ontbreekt het aan een grondslag voor zulk hergebruik. Het gebruik daarvan voor Large Language Models zou ook op gespannen voet staan met de vereiste dat het beschermde karakter van de informatie behouden moet blijven. In het geval van persoonsgegevens is het verder aan de Autoriteit Persoonsgegevens om toe te zien op eventueel misbruik van de gegevens.
De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens