Preview document (🔗 origineel)

---

36733 Uitvoering van Verordening (EU) 2023/2854 van het Europees Parlement en de Raad van 13 december 2023 betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data en tot wijziging van Verordening (EU) 2017/2394 en Richtlijn (EU) 2020/1828 (Dataverordening) (Uitvoeringswet dataverordening) (Kamerstuk 36733)

NOTA NAAR AANLEIDING VAN HET VERSLAG

Met belangstelling heb ik kennisgenomen van de vragen en opmerkingen van de leden van de fracties van de PVV, GroenLinks-PvdA, NSC en D66. Graag beantwoord ik, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, de vragen die door deze ledenzijn gesteld. In deze nota zijn de vragen en opmerkingen uit het verslag integraal opgenomen in cursieve tekst en de beantwoording daarvan in niet-cursieve tekst. De vragen zijn genummerd, waarbij in voorkomende gevallen naar andere antwoorden is verwezen. Gelijkluidende of in elkaars verlengde liggende vragen zijn gezamenlijk beantwoord. In de beantwoording wordt naar de met dit wetsvoorstel uit te voeren Verordening (EU) 2023/2854 van het Europees Parlement en de Raad van 13 december 2023 betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data en tot wijziging van Verordening (EU) 2017/2394 en Richtlijn (EU) 2020/1828 (Dataverordening) verwezen als “de verordening”.

I ALGEMEEN DEEL

1. Inleiding

De leden van de PVV-fractie hebben kennisgenomen van de Uitvoeringswet dataverordening. Naar aanleiding hiervan hebben deze leden nog enkele vragen.

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van het wetsvoorstel. Deze leden verwelkomen de Nederlandse uitvoeringswet en kunnen in grote lijnen het voorstel steunen. Zij hebben een aantal vragen en opmerkingen.

De leden van de NSC-fractie hebben met belangstelling kennisgenomen van de Uitvoeringswet dataverordening, onderschrijven het belang van dit wetsvoorstel en waarderen dat het Europese databeleid hiermee in Nederland wordt geïmplementeerd. Naar aanleiding hiervan hebben deze leden enkele vragen en opmerkingen.

De leden van de D66-fractie hebben met interesse kennisgenomen van de Uitvoeringswet dataverordening. Deze leden zijn voorstander van gebruikers meer rechten geven over hun data en het bevorderen van concurrentie en keuzevrijheid in datagedreven diensten. Zij hebben slechts enkele vragen.

2. Beleidscontext

1. De leden van de GroenLinks-PvdA-fractie vragen de regering om de drie uitgangspunten voor beleidsontwikkeling gericht op datadeling verder toe te lichten. Hoe zijn deze tot stand gekomen en wegen ze alle drie even zwaar in de afwegingen bij nieuw beleid? Vooral het uitgangspunt dat burgers en bedrijven grip krijgen op hun eigen data heeft de interesse van deze leden. Wanneer is er volgens de regering sprake van ‘grip’ op data en wat is er, naast de invoering van de dataverordening, nodig om dit te bereiken?

De drie uitgangspunten komen voort uit de Kabinetsvisie op datadeling tussen bedrijven (2019).¹ Op basis van intern onderzoek en gesprekken met stakeholders (o.a. wetenschap, bedrijfsleven, toezichthouders en (lokale) overheidsorganisaties) is deze Kabinetsvisie opgesteld. Hiermee gaf het toenmalige kabinet opvolging aan de ambitie geuit in de Nederlandse Digitaliseringsstrategie (2018).² De drie uitgangspunten zijn complementair aan elkaar. Vervolgens kwam in 2020 de Europese Commissie met de Europese datastrategie³ . De Europese datastrategie hangt nauw samen met de Kabinetsvisie en bood het kader waarbinnen nieuw Europees databeleid tot stand zou komen.

Of er sprake is van ‘grip’ op data en de mate en vorm waarin die er is, kan van situatie tot situatie verschillen; dat hangt af van het type data, het type gebruik, het type partijen, de gemaakte contractuele afspraken en de getroffen technische en organisatorische voorzieningen. Er kan dus niet worden vastgesteld dat er vanaf een bepaald moment in het algemeen grip is op data. Er kan daarom het beste worden gesproken van een uitganspunt en beleidsdoelstelling en niet bijvoorbeeld van een meetbaar criterium. Er kan wel gesteld worden dat de verordening regelt dat gebruikers meer controle krijgen over het gebruik van hun data. Naast juridisch, moet het ook praktisch mogelijk gemaakt worden om controle over data te krijgen. Nieuwe innovaties kunnen hier een rol in spelen, denk aan trust frameworks, databemiddelingsdiensten, federated learning of andere privacy-enhancing technologies, en persoonlijke of business wallets. Het Ministerie van Economische Zaken ondersteunt de ontwikkelingen op dit gebied, onder andere via het Centre of Excellence for Data Sharing & Cloud.

2. Deze leden vragen of de verwijzing naar de Werkagenda Waardengedreven Digitaliseren (2022) nog actueel is. Is dit beleidsstuk nog leidend bij de ontwikkeling van nieuw beleid, nu de destijdse bewindspersoon is vertrokken evenals de opvolger, en het kabinet nu in demissionaire status verkeert? Daarnaast moedigen deze leden het standaardiseren van data aan met oog op portabiliteit en het gelijktrekken van de scheve marktmacht van grote niet-Europese cloudleveranciers. Zij vragen om nader in te gaan op het belang van de dataverordening voor het bevorderen van de digitale soevereiniteit.

Dit beleidsstuk is nu niet meer leidend. De Werkagenda Waardegedreven Digitaliseren was ten tijde van de totstandkoming van de verordening actueel en heeft daarmee de Nederlandse onderhandelingsinzet mede bepaald. Daarom is ervoor gekozen om de verwijzing naar dit beleidsstuk op te nemen in de memorie van toelichting. Op de relatie tussen de verordening en het bevorderen van digitale soevereiniteit wordt nader ingegaan in het antwoord op vraag 27.

3. De leden van de GroenLinks-PvdA-fractie zijn benieuwd naar de gehanteerde definitie van ‘dataruimten.’

In de Europese datastrategie (2020)⁴ werd de oprichting van domeinspecifieke gemeenschappelijke Europese dataruimten voor het delen en bundelen van gegevens voorgesteld. Het betreft een interne gegevensmarkt waarin gegevens kunnen worden gebruikt ongeacht de plaats in de Unie waar ze zijn opgeslagen in overeenstemming met het toepasselijke recht. Dataruimten bieden een interoperabele, betrouwbare IT-omgeving voor gegevensverwerking en een reeks regels van wettelijke, administratieve en contractuele aard die de rechten op toegang tot en gebruik van de gegevens bepalen. Een formele definitie wordt momenteel ontwikkeld via internationale normontwikkeling.⁵

4. Deze leden kunnen zich vinden in de analyse over hoe data nu vrijwel alleen door een handjevol grote bedrijven wordt vergaard, verwerkt en (door)verkocht. Hiermee hebben enkele bedrijven een oneerlijke grote macht over digitale markten en te veel ruimte om oneigenlijk om te gaan met data. Echter, zo stellen deze leden, vrijwel élke gebruiker van een digitale dienst ‘co-genereert,’ data omdat verreweg de meeste applicaties gebruikersinformatie verzamelen. Hoe stelt de regering zich voor dat gebruikers, wier data wordt verzameld ten goede van de leverancier, toegang krijgen tot hun data en meeprofiteren van de winsten? Kan een voorbeeld worden gegeven van wat er in de praktijk verandert met de komst van de dataverordening op dit gebied?

Verzamelde data kunnen vaak voor meerdere doelen gebruikt worden, zowel door leveranciers als door gebruikers. De data zijn nu meestal alleen toegankelijk voor de fabrikanten van de apparaten die de data genereren. Dankzij de verordening krijg je als gebruiker makkelijk, veilig en kosteloos toegang tot de data van jouw apparaat. Bijvoorbeeld via de display van het product of via een app.

Hiermee kunnen gebruikers de data zelf gebruiken of door een ander laten gebruiken op een manier die voor hen waardevol is. Het gaat bijvoorbeeld om het delen van je autogegevens met een (onafhankelijke) garage voor een reparatie of onderhoud of om een boer die meer informatie verkrijgt over zijn grond en gewassen door inzicht in de (sensor)data uit zijn tractor en sproei-installaties.

3. Dataverordening

5. De leden van de GroenLinks-PvdA-fractie vragen de regering of er in de context van de Dataverordening een wezenlijk verschil zit in de definitie van ‘gegevens’ en ‘data.’ Zijn de termen inwisselbaar?

De definitie van ‘data’ zoals gehanteerd in de Engelstalige versie van de verordening is in de Nederlandse versie van de verordening vertaald naar ‘gegevens’. In de Nederlandse versie wordt daarnaast op verscheidene plekken ook de term data gebruikt als het onderdeel is van een samenstelling, zoals Dataverordening en dataverwerkingsdienst. In die zin zijn de termen dus inwisselbaar.

6. Ook vragen deze leden hoe de regering kijkt naar de keuze van de Europese Commissie om af te zien van een minimale interventie (in dit geval zelfregulering) en van verdergaande maatregelen (technische eisen stellen).

Het kabinet heeft in het BNC-fiche Dataverordening⁶ aangegeven overwegend positief te zijn over het initiële voorstel van de verordening. Het kabinet steunt dat de Europese Commissie verder is gegaan dan zelfregulering. Het kabinet steunt de creatie van gebruiks- en toegangsrechten voor gebruikers van verbonden apparaten en gerelateerde diensten en de verplichtingen (inclusief technische eisen) die de verordening oplegt aan aanbieders van dataverwerkingsdiensten.

Het zelfregulerende kader SWIPO⁷ heeft onvoldoende gezorgd voor het verlagen van overstapdrempels tussen dataverwerkingsdiensten van verschillende aanbieders. Zelfregulering heeft in de ogen van het kabinet dus onvoldoende effect. Het nemen van verdergaande maatregelen, bijvoorbeeld door technische (API) eisen, zou substantieel hogere kosten voor datahouders opleveren en investeringen in verbonden producten negatief beïnvloeden. Omdat het wel van belang is dat de Europese digitale economie zich verder ontwikkelt streeft het kabinet ernaar om regeldruk te beperken.

7. Is er wat de regering betreft sprake van een goede verdeling tussen afdwingbaarheid en uitvoering in de uiteindelijke dataverordening? Had de regering graag meer of minder ambitie gezien, en wat zij om aanvullende wensen van Nederland alsnog te realiseren?

Zoals uiteengezet in de Kamerbrief Voortgang onderhandelingen Dataverordening⁸ is het kabinet positief over het onderhandelingsresultaat en daarmee ook tevreden met het ambitieniveau van de verordening. Het kabinet heeft tijdens de onderhandelingen gepleit voor ambitieuze maatregelen om het overstappen tussen aanbieders van dataverwerkingsdiensten mogelijk te maken en mede door de Nederlandse inzet zijn deze maatregelen ook uitgebreid. Het kabinet ziet geen punten uit de onderhandelingsinzet waarvan het nodig wordt geacht om te proberen die nu anderszins te realiseren. Het belangrijkste is nu dat de verordening effect gaat sorteren. De belangrijkste beoogde effecten van de verordening zijn dat gebruikers van verbonden apparaten in de praktijk gegevens uit die apparaten kunnen gebruiken en delen, dat de belangen van alle betrokken partijen hierbij zijn geborgd en dat gebruikers van dataverwerkingsdiensten makkelijk kunnen overstappen en gelijktijdig diensten van verschillende aanbieders kunnen gebruiken.

3.1. Delen van gegevens tussen bedrijven en consumenten en tussen bedrijven onderling

8. De leden van de PVV-fractie merken op dat ondernemingen die onder de Digitalemarktenverordening (DMA) als poortwachter zijn aangewezen onder dit onderdeel van de verordening niet als derde partij gegevens mogen ontvangen⁹. In het verslag van het schriftelijk overleg over de dataverordening en het bijbehorende BNC-fiche van 18 mei 2022¹⁰ antwoordde de toenmalig minister van Economische Zaken op vragen van de leden deze fractie hieromtrent dat poortwachters “grote platforms met een machtige positie waar gebruikers (consumenten en bedrijven) niet omheen kunnen” zijn en dat de verordening verschillende waarborgen bevat om te voorkomen dat gebruikers toegang geven aan derde partijen waar zij nadeel van ondervinden. Deze leden vrezen dat dit vertaald zal worden naar een verbod voor bijvoorbeeld een applicatie waar het boodschappenlijstje van een smart koelkast van een specifiek merk via bijvoorbeeld WhatsApp wordt gedeeld, immers is WhatsApp een onderdeel van Meta (een poortwachter). Dergelijke vernuftige innovaties worden daarmee een halt toegeroepen. Deelt de regering deze zorg en wat gaat zij doen om te voorkomen dat innovatie door middel van deze verordening stagneert?

Het feit dat poortwachters onder dit onderdeel van de verordening niet als derde partij gegevens mogen ontvangen beperkt gebruikers niet om boodschappenlijstjes te delen via berichtendiensten. Vanwege de controle over hun platforms en hun economische macht, bestaat er een gevaar dat bepaalde poortwachters oneigenlijk gebruik zouden kunnen maken van gegevens waarover zij al beschikken in combinatie met gegevens die als derde partij in het kader van hoofdstuk II van de Dataverordening worden verkregen. De uitsluiting van poortwachters als derde partij voorkomt dat poortwachters in staat worden gesteld om oneerlijke voordelen te behalen ten opzichte van andere marktdeelnemers. Dit zou strijdig zijn met het doel van de Digitalemarktenverordening (DMA) om de machtspositie van poortwachterplatforms te verkleinen. Overweging 40 van de verordening licht dit nader toe. De beperking voor poortwachters heeft alleen betrekking op de systematiek van datadeling die door hoofdstuk II van de verordening wordt gecreëerd. De verordening belet poortwachters niet gegevens via andere wettelijk toegestane middelen te verkrijgen, zoals via vrijwillige overeenkomsten met gegevenshouders.

Het kabinet verwacht dat de verordening innovatie juist zal stimuleren. De verordening heeft het bevorderen van innovatie ook als doel en geeft meer bedrijven de mogelijkheid op basis van gegevens uit verbonden apparaten nieuwe innovatieve diensten te ontwikkelen.

9. De leden van de GroenLinks-PvdA-fractie vragen waarom is gekozen om het midden- en kleinbedrijf (mkb) te ontzien van de dataverordening en middelgrote ondernemingen meer tijd te geven om zich voor te bereiden. Hoewel deze leden het van harte steunen dat het mkb en middelgrote bedrijven worden ontzien van onnodige lasten met oog op een eerlijke concurrentie, is de dataverordening deels een doorvertaling van de Algemene Verordening Gegevensbescherming (AVG). De AVG betreft essentiële beschermingen van het privacyrecht voor Europese burgers. Kennen gebruikers van diensten geleverd door het mkb en middelgrote bedrijven straks een lagere mate van gegevensbescherming dan gebruikers van diensten geleverd door grote bedrijven? Verslechtert het ontzien van het mkb niet juist de kans om mee te dingen, omdat (data)portabiliteit en interoperabiliteit geen vereisten worden voor hun diensten, en de overstap van een grote leverancier naar een kleine leverancier daardoor wordt bemoeilijkt?

De uitzonderingen voor het midden- en kleinbedrijf (hierna: mkb)¹¹ doen niets af aan de gegevensbescherming van gebruikers op grond van de AVG. De AVG blijft onverminderd van kracht. Het mkb wordt ook niet uitgezonderd van de gehele verordening. De uitzonderingen voor het mkb gelden voor specifieke onderdelen van de verordening, namelijk: (1) de verplichtingen voor aanbieders uit hoofdstuk II van de verordening over gegevens uit verbonden apparaten, (2) gegevensverzoeken op grond van hoofdstuk V van de verordening die niet noodzakelijk zijn om te reageren op noodsituaties en (3) verschillende bepalingen over vergoedingen voor het delen van gegevens. Deze uitzonderingen zijn opgenomen om de kosten en administratieve lasten voor het midden- en kleinbedrijf te beperken. Het kan inderdaad zijn dat mkb-bedrijven die verbonden apparaten aanbieden beter kunnen concurreren als zij aan (delen van) hoofdstuk II van de verordening voldoen. De verordening belet bedrijven daar niet in.

Het is niet zo dat de uitzonderingen uit de verordening het overstappen van grote aanbieders naar kleine aanbieders bemoeilijken. Hiervoor is vooral belangrijk dat grote aanbieders (data)portabiliteit mogelijk maken. Hierbij vindt het kabinet het belangrijk te benadrukken dat het mkb niet wordt uitgezonderd van de verplichtingen met betrekking tot portabiliteit en interoperabiliteit van clouddiensten.

10. Deze leden benadrukken dat het essentieel is om het mkb in positie te brengen in de data-economie en verwachten juist dat het voldoen aan de dataverordening hen hierbij helpt. Daarom vragen zij u om toe te lichten hoe het mkb alsnog wordt geholpen om de doelen van de dataverordening te behalen, zonder onnodig de administratieve lasten te verhogen.

Ik deel de opvatting van deze leden dat het belangrijk is om de positie van het mkb¹² in de data-economie te versterken. Het mkb zal in het algemeen vaker gebruiker van verbonden apparaten of dataverwerkingsdiensten zijn dan aanbieder van zulke apparaten en diensten. De verordening verstevigt de positie van gebruikers van verbonden apparaten en dataverwerkingsdiensten door ze meer mogelijkheden te geven om over te stappen, diensten te combineren en data te (laten) gebruiken. Om de doelen van de verordening te bereiken is het belangrijk dat het mkb deze mogelijkheden benut.

Het Ministerie van EZ benadrukt in haar communicatie over de verordening daarom ook de nieuwe mogelijkheden die de verordening biedt aan gebruikers van verbonden apparaten en dataverwerkingsdiensten. Dit geldt eveneens voor de communicatie door de Autoriteit Consument & Markt (hierna: ACM). De ACM zal uitleg geven over de gevolgen van niet-naleving van de verplichtingen in de verordening, maar vooral focussen op de diverse kansen die de verordening creëert voor consumenten en bedrijven, in het bijzonder het mkb. Daarnaast is het goed om te noemen dat voor micro- en kleine ondernemingen een aantal belangrijke uitzonderingen worden gemaakt op diverse verplichtingen uit de verordening. Bij de evaluatie van de verordening zal bovendien het effect van de verordening op het innovatievermogen van micro- en kleinbedrijf worden meegenomen.

11. De leden van de GroenLinks-PvdA-fractie vragen de regering om nader uit te leggen waarom gegevens gegenereerd door het gebruik van een tekstverwerkapplicatie, internetbrowser en een videostreamingdienst niet valt onder hoofdstuk II van het wetsvoorstel. Hier is toch immers ook sprake van co-generatie van data door de input van gebruikers?

De verordening richt zich in hoofdstuk II op gegevens die worden gegenereerd door het gebruik van fysieke apparaten, zoals auto’s, fabrieksapparatuur en landbouwvoertuigen. Het gaat daarbij om gegevens die worden gegenereerd op basis van het gebruik en over het gebruik of de omgeving, zoals welke pH-waarde of temperatuur een sensor meet of hoe vaak een bepaald onderdeel ronddraait of een bepaalde functie wordt gebruikt. Gerelateerde diensten, zoals besturingssoftware, vallen binnen de reikwijdte van dit onderdeel van de verordening omdat deze nodig zijn om (een functie van) het apparaat te gebruiken en in die zin onlosmakelijk met het functioneren van het apparaat zijn verbonden.

Gegevens uit andere diensten, zoals een tekstverwerkapplicatie, internetbrowser en een videostreamingdienst, vallen niet onder dit hoofdstuk omdat zij niet direct gerelateerd zijn aan het fysieke apparaat zelf en het gebruik ervan. Deze algemene (internet)diensten kunnen op allerlei apparaten worden gebruikt en worden niet per se door de aanbieder van het apparaat aangeboden. Het zou een onredelijke last zijn de aanbieder van een apparaat te verplichten om te zorgen dat ook de gegevens uit deze diensten eenvoudig beschikbaar zijn voor de gebruiker. De omgang met gegevens uit deze diensten is een ander vraagstuk dan of mensen en bedrijven gegevens over het gebruik van hun apparaten mogen inzien en delen. Gegevens uit deze diensten worden door andere wetgeving gereguleerd, waaronder het intellectueel eigendomsrecht en de AVG.

12. De leden van de GroenLinks-PvdA-fractie beamen de noodzaak om gebruikers direct toegang te geven tot de gegevens die zij hebben gegenereerd. Dit dient goed gefaciliteerd te worden door bedrijven in hun digitale diensten. Deze leden vragen de regering om duidelijk te maken hoe aan deze eis voldaan moet worden en hoe de functie voor iedereen toegankelijk gemaakt gaat worden. Vaak wordt het (moedwillig) ingewikkeld gemaakt om de eigen gegevens op een digitale dienst in te zien. Welke eisen zijn er voor het eenvoudig kunnen inzien van de eigen gegevens? Deelt de regering de mening van deze leden dat niet alleen de gegenereerde gegevens, maar ook de doeleinden waarvoor zij gebruikt worden makkelijk inzichtelijk dienen te zijn?

Ik ben het met deze leden eens dat de gecreëerde gebruiks- en toegangsrechten ook in de praktijk moeten werken. Dit was ook één van de prioriteiten van het kabinet bij de onderhandelingen.¹³ Gezien de grote diversiteit aan apparaten en gegevens die onder dit onderdeel van de verordening vallen is er niet één standaardmanier waarmee voor alle apparaten toegang tot gegevens zal worden gefaciliteerd. Wel stelt de verordening verschillende eisen aan de manier waarop dit gebeurt.¹⁴ Gebruikers moeten gemakkelijk, veilig, kosteloos en in een gestructureerd, algemeen gebruikt en machineleesbaar format beschikking kunnen krijgen over de gegevens. De gegevens moeten altijd in dezelfde kwaliteit als voor de gegevenshouder en inclusief relevante metagegevens beschikbaar worden gesteld. Indien relevant en technisch haalbaar moeten de gegevens rechtstreeks of continu en in real time toegankelijk zijn voor de gebruiker. Hoe dit er precies per apparaat uit zal zien zal per geval verschillen. Ik ben het met deze leden eens dat gebruikers de doeleinden waarvoor gegenereerde gegevens worden gebruikt inzichtelijk moeten zijn voor gebruikers. De verordening verplicht aanbieders van verbonden apparaten en gerelateerde diensten voor het aangaan van een overeenkomst de gebruiker duidelijk en begrijpelijk te informeren over de beoogde doeleinden waarvoor de gegevenshouder gegevens zal gebruiken.¹⁵

13. De leden van de GroenLinks-PvdA-fractie steunen het voornemen om gebruikers meer zeggenschap te geven over de derden die hun (co-)gegenereerde gegevens ontvangen. Dit is wat deze leden betreft een essentieel onderdeel van de keuzevrijheid voor burgers. Kan de regering meer uitleggen over hoe dit in de praktijk er uit zal komen te zien? Krijgen gebruikers het recht om datadeling vanuit een dienst met specifieke bedrijven of organisaties te ontzeggen? Of kunnen zij aangeven dat hun gegevens voor bepaalde doelen níet gedeeld en/of verwerkt mogen worden? Deze leden geven aan dat doelbinding hierin geborgd kan worden, als gebruikers meer inspraak krijgen over het soort doelen waar zij hun gegevens voor beschikbaar wensen te stellen. Is dit nu voldoende geborgd met de komst van de dataverordening en zo ja, wanneer worden digitale diensten geacht deze mogelijkheid te faciliteren?

Het kabinet benadrukt dat ook voor het delen van gegevens met derden geldt dat er niet één standaardmanier is waarmee voor alle apparaten en gegevens de toegang door derden zal worden gefaciliteerd. De verordening stelt verschillende eisen aan hoe de toegang door derden moet worden gefaciliteerd¹⁶ en legt verplichtingen op aan derden over hoe zij moeten omgaan met de toegang tot gegevens.¹⁷ Sowieso gebeurt gegevensdeling met derden onder de verordening alleen op verzoek van de gebruiker. Daarbij mogen derden de verkregen gegevens alleen verwerken voor de doeleinden en onder de voorwaarden die met de gebruiker zijn afgesproken. Ook mogen derden gebruikers niet misleiden of manipuleren en mogen ze ontvangen gegevens alleen aan een andere derde beschikbaar stellen als dit overeen is gekomen met de gebruiker. Bovendien moet het stopzetten van toegang door een derde voor de gebruiker even makkelijk zijn als het verlenen van toestemming. Daarmee borgt de verordening dat derden gegevens alleen gebruiken voor de doelen die met de gebruiker zijn afgesproken en gegevens alleen verder delen als dat met de gebruiker is afgesproken. Dit onderdeel van de verordening reguleert niet alle digitale diensten: alleen zogeheten gerelateerde diensten en diensten van derden die toegang krijgen tot gegevens uit verbonden apparaten. Andere digitale diensten zoals tekstverwerkapplicaties, internetbrowsers en videostreamingdiensten vallen niet onder dit onderdeel van de verordening.

14. De leden van de GroenLinks-PvdA-fractie vernemen graag een nadere onderbouwing van het begrip ‘ernstige economische schade’. Deze leden willen weten hoe wordt vastgesteld dat hier sprake van is, en vragen de regering om uit te leggen hoe de potentiële economische schade voor een bedrijf wordt afgewogen tegen het recht van een burger of organisatie om regie over de eigen data te hebben.

Overweging 31 van de verordening geeft nadere duiding over wat onder ‘ernstige economische schade’ wordt verstaan. Het gaat hier om uitzonderlijke omstandigheden waarbij sprake moet zijn van ernstig en onherstelbaar economisch verlies. Als een gegevenshouder van mening is dat gegevensdeling zeer waarschijnlijk voor hem zal leiden tot ernstige economische schade door de openbaarmaking van zijn bedrijfsgeheim, dan kan hij schriftelijk op basis van objectieve elementen motiveren dat dit een concreet risico is dat niet kan worden ondervangen met technische of organisatorische maatregelen en dat hij daarom in dit concrete geval geen toegang tot deze gegevens geeft.¹⁸. De gegevenshouder deelt het gemotiveerde besluit om geen toegang tot de gegevens te verlenen vanwege zeer waarschijnlijke ernstige economische schade met de gebruiker of derde en informeert de toezichthouder over het besluit. De toetsing of er inderdaad sprake is van zeer waarschijnlijke ernstige economische schade is aan de ACM als toezichthouder en bij geschillen aan een gecertificeerd geschillenbeslechtingsorgaan of uiteindelijk aan de rechter. Omdat het gaat om uitzonderlijke omstandigheden, is de verwachting niet dat dit de controle over gegevens van mensen of organisaties vaak zal beïnvloeden.

15. Wat verstaat de regering onder ‘bedrijfsgeheimen’ en tot op welke hoogte kan toegang tot de eigen gegevens van gebruikers worden geborgd, zonder inbreuk te maken op bedrijfsgeheimen (mogelijk bestaande uit geaggregeerde gegevens van vele gebruikers)? Ook vragen zij welke diensten redelijkerwijs vereisen dat toegang tot, het gebruik of het verder delen van data contractueel wordt beperkt of verboden. Hoe wordt bepaald of beveiligingsvereisten mogelijk worden verbroken of dat de gezondheid of veiligheid van personen in gevaar komt?

Wat wordt verstaan onder bedrijfsgeheimen is vastgelegd in het Wet bescherming bedrijfsgeheimen.¹⁹ Een bedrijfsgeheim is informatie die aan de volgende voorwaarden voldoet: (a) zij is geheim in die zin dat zij, in haar geheel dan wel in de juiste samenstelling en ordening van haar bestanddelen, niet algemeen bekend is bij of gemakkelijk toegankelijk is voor degenen binnen de kringen die zich gewoonlijk bezighouden met dergelijke informatie; (b) zij bezit handelswaarde omdat zij geheim is, en (c) zij is door degene die daar rechtmatig over beschikt, onderworpen aan redelijke maatregelen, gezien de omstandigheden, om deze geheim te houden.

De bescherming van bedrijfsgeheimen blijft gewaarborgd onder de verordening. In veel gevallen zal die bescherming geen beperking zijn voor de toegang tot gegevens voor gebruikers. De gegevens die onder de verordening vallen zullen lang niet altijd bedrijfsgeheimen bevatten, mede omdat het gaat om een afgebakende groep gegevens uit individuele apparaten. Redelijkerwijs valt te verwachten dat beperking van toegang op grond van bescherming van bedrijfsgeheimen vaker nodig zal zijn bij hoogtechnologische, unieke apparaten, zoals op maat gemaakte, technisch hoogwaardige machines.

Als gegevens waar een gebruiker toegang toe wil mogelijk bedrijfsgeheimen omvatten is het bovendien niet zo dat deze toegang per definitie niet tot stand komt. Onder de voorwaarde dat de gebruiker en de gegevenshouder maatregelen overeenkomen om de vertrouwelijkheid van bedrijfsgeheimen te borgen worden de gegevens alsnog gedeeld. Wanneer gegevenshouders weigeren gegevens te delen dan moeten zij altijd de toezichthouder hierover informeren. Deze kan dan beoordelen of de weigering gegrond is. De toetsing van deze bepalingen uit de verordening is aan de ACM als toezichthouder en in het geval van een geschil aan een gecertificeerd geschillenbeslechtingsorgaan of uiteindelijk aan de rechter.

16. De leden van de GroenLinks-PvdA-fractie steunen van harte het uitgangspunt dat er geen sprake mag zijn van (impliciete) manipulatie om gebruikers alsnog hun gegevens te laten delen. Dit soort perverse prikkels van bedrijven die hun verdienmodellen bouwen op het massaal (door)verkopen van gebruikersinformatie dienen bestreden te worden. Hoe wordt toegezien dat er geen sprake is van manipulatieve ontwerpkeuzes of handelingen die de vrije keuze voor gebruikers om wel of niet informatie te delen beïnvloeden? Deze leden benadrukken dat dit per casus kan verschillen en dat grote bedrijven tot het uiterste zullen gaan om gebruikers te misleiden op dit gebied. Zij vinden het van het grootste belang dat dit goed wordt afgedekt in de uitwerking en uitvoering van de dataverordening. In hoeverre wordt hier nationaal op toegezien? Is de definitie van manipulatie binnen artikel 6 volgens betrokkenen voldoende duidelijk?

Het toezicht op de verordening is per lidstaat belegd en bedrijven vallen onder het toezicht van de lidstaat waar zij hun hoofdvestiging hebben. De toetsing van deze bepalingen voor in Nederland gevestigde bedrijven is dus aan de ACM en bij geschillen uiteindelijk aan de rechter. Voor zover het gaat om dark patterns om persoonsgegevens te delen vallen deze ook onder het bereik van het toezicht van de AP. De bewoording van ‘dark patterns’ in artikel 6, tweede lid, onderdeel a, van de verordening waar uw fractie naar verwijst is vergelijkbaar met de bewoording in andere verordeningen zoals de Digitale dienstenverordening en de AI-verordening. De bewoordingen beschrijven hetzelfde type gedragingen, maar verschillen omdat de verschillende verordeningen verschillende diensten reguleren. Ik heb geen signalen ontvangen dat de definitie van manipulatie uit artikel 6 van de verordening onvoldoende duidelijk is.

17. De leden van de GroenLinks-PvdA-fractie willen dat gebruikers zich goed kunnen beroepen op hun rechten. Daarom is het van belang om de mogelijkheid tot het nemen van juridische stappen, als de dataverordening niet wordt nageleefd, goed vast te leggen. Hoe worden de nationale toezichthouders in staat gesteld om deze mogelijkheid goed in te richten? Welke stappen neemt de regering om klachtmeldingen en de toegang tot het recht zo laagdrempelig mogelijk te maken? Hierin geven de leden van deze fractie aan dat de zienswijze en benodigde capaciteit van de toezichthouders leidend moet zijn.

Het goed inrichten van het toezicht en met name de mogelijkheid tot klachtmeldingen is inderdaad van groot belang. De ACM heeft in haar uitvoerings- en handhaafbaarheidstoets aangegeven hoeveel middelen zij nodig heeft voor de uitvoering van de verordening. Deze middelen zijn structureel toegekend.

Ik ben het met de leden van de fractie van GroenLinks-PvdA eens dat de zienswijze van de toezichthouder leidend moet zijn. Hoe de ACM als onafhankelijke toezichthouder haar taken uit de verordening, inclusief het behandelen van klachten over mogelijke overtredingen van de verordening, inricht is daarom in eerste instantie aan de ACM zelf. Het is hierbij van belang om te vermelden dat nationaalrechtelijk aan een klacht invulling gegeven zal worden zoals beschreven in paragraaf 4.2 van de memorie van toelichting. ‘Een klacht’ in de zin van de verordening wordt geïnterpreteerd als een melding of handhavingsverzoek, niet als een klacht in de zin van de Algemene wet bestuursrecht. Wanneer het gaat om de verwerking van persoonsgegevens en de toepassing van de AVG kan een klacht worden ingediend bij de Autoriteit Persoonsgegevens (hierna: AP).

3.2 Verplichtingen voor gegevenshouders die krachtens het Unierecht verplicht zijn gegevens beschikbaar te stellen aan ondernemingen

18. De leden van de GroenLinks-PvdA-fractie vinden het van groot belang dat de voorwaarden waaronder gegevens beschikbaar worden gesteld zoveel mogelijk bindend worden. Deze leden twijfelen over de mogelijkheid om voorwaarden als niet-bindend uit te zonderen, omdat dit kan leiden tot voorwaarden die onduidelijk zijn, slechts half worden nageleefd, of waarbij de doorzettingsmacht voor overheden of autoriteiten om alsnog naleving af te dwingen ontbreekt. Kan nader worden uitgelegd hoe deze uitzonderingen op de bindende voorwaarden worden bepaald? Sluit het stellen van niet-bindende voorwaarden aan op de drie uitgangspunten die de regering hanteert? Hoe voorkomt de regering dat een aandeel van de voorwaarden in de praktijk niet-bindend zou zijn?

Bepaalde contractvoorwaarden zijn onder de verordening niet-bindend om gebruikers en bedrijven met een minder sterke onderhandelingspositie te beschermen. Dat deze contractvoorwaarden niet-bindend zijn is in lijn met de doelen van de verordening en draagt bij aan de effectiviteit ervan. Ook draagt het eraan bij dat datadeling vrijwillig tot stand komt en burgers en bedrijven grip op gegevens houden. Dit onderdeel sluit daarom goed aan bij de uitgangspunten uit de Nederlandse Kabinetsvisie op datadeling tussen bedrijven (2019).²⁰

Contractvoorwaarden zijn onder de verordening niet-bindend om twee redenen: 1) de voorwaarde sluit ten nadele van een partij (meestal de gebruiker) de toepassing van onderdelen van de verordening uit, wijkt daarvan of wijzigt de rechten van de gebruiker²¹ of 2) de voorwaarde is eenzijdig opgelegd aan een onderneming en wordt oneerlijk geacht op basis van artikel 13 van de verordening. De eerste groep niet-bindende voorwaarden beschermt partijen, en vooral gebruikers, ertegen dat hun rechten uit de verordening in hun nadeel worden gewijzigd. Dit voorkomt bijvoorbeeld dat gebruikers met het aangaan van een contract de controle over gegevens uit een apparaat afstaan. De tweede groep niet-bindende voorwaarden beschermt bedrijven met een minder sterke onderhandelingspositie tegen bepaalde oneerlijke praktijken met betrekking tot toegang tot gegevens. Het moeten naleven van eenzijdig opgelegde oneerlijke contractvoorwaarden kan ertoe leiden dat bedrijven krijgen opgelegd of en hoe ze data delen.

19. De leden van de GroenLinks-PvdA-fractie zijn enthousiast over de mogelijkheid voor gegevenshouders om beveiligingsmaatregelen te treffen. Dit zal leiden tot een noodknop voor gegevenshouders om hun gegevens te beschermen. Echter is deze mogelijkheid ook interessant voor individuele gebruikers, die bij vermoedens van onveiligheid zich wellicht ook willen beroepen op dergelijke beschermingsmaatregelen. Is het mogelijk voor gebruikers om dezelfde maatregelen, zoals encryptie, te treffen in het dataverkeer tussen hen en de gegevenshouder, of (via gegevenshouders) naar ontvangers en/of derden? Deze leden vragen vervolgens om uit te leggen wanneer er sprake is van ‘misleidende of dwangmiddelen’ en waarom slechts als dat wordt vastgesteld, een beroep kan worden gedaan op beschermende maatregelen. Is het mogelijk om uit voorzorg zulke maatregelen te nemen, nog voordat misleiding of manipulatie is vastgesteld? Hoe wordt voorkomen dat er kostbare tijd verloren gaat voordat een beschermingsmaatregel kan worden genomen?

Artikel 11 van de verordening waar deze leden naar verwijzen gaat over gevallen waarin gegevenshouders door Europese wetgeving zoals de Dataverordening worden verplicht gegevens beschikbaar te stellen. Het artikel maakt duidelijk op welke manier zij in zulke gevallen beschermingsmaatregelen mogen treffen om hun legitieme belangen te beschermen. Hiervoor hoeft niet eerst te zijn vastgesteld dat er sprake is van ‘misleidende of dwangmiddelen’. Er is dus geen sprake van verloren tijd voordat beschermingsmaatregelen kunnen worden genomen.

De positie en de belangen van gebruikers verschillen van die van gegevenshouders in de situaties waar artikel 11 van de verordening betrekking op heeft. Gebruikers hoeven in deze situaties niet verplicht gegevens beschikbaar te stellen. De bescherming van gebruikers is daarom anders geregeld. De verordening zelf beschermt gebruikers op verschillende manieren.²² Wanneer gegevenshouders onder de verordening gegevens beschikbaar stellen aan gebruikers of derden moet dit altijd veilig gebeuren. Ook mogen gegevenshouders gegevens uit een verbonden apparaat niet overal voor gebruiken. Gegevenshouder mogen bijvoorbeeld de gegevens niet gebruiken om inzicht te verkrijgen in de economische situatie van een gebruiker. Een groot deel van de bescherming van gebruikers- en apparaatgegevens is bovendien geregeld in gegevensbeschermingsregelging, waaronder de AVG en de ePrivacy-richtlijn. Deze wetgeving blijft onverminderd van kracht. Op basis van diverse bepalingen uit de verordening zelf en op basis van de gegevensbeschermingsregelgeving kunnen gebruikers dus beroep doen op beschermende maatregelen of bezwaar maken tegen het handelen van gegevenshouders of derden.

20. Zij vragen u daarnaast om meer duidelijkheid te geven over de (verwachte) hoogte van de vergoeding voor gegevenshouders. Hoe wordt vastgesteld wat een redelijke en niet-discriminerende vergoeding is voor het beschikbaar maken en stellen van gegevens?

Artikel 9 en overweging 47 van de verordening verduidelijken wat een redelijke vergoeding kan omvatten. De vergoeding kan bestaan uit een vergoeding voor de kosten voor het beschikbaar stellen van de gegevens plus eventueel een redelijke marge die kan variëren op basis van onder andere het volume of de aard van de gegevens of de investeringen die gemaakt zijn om de gegevens in de eerste plaats te verzamelen. Wanneer mkb-bedrijven²³ of onderzoeksorganisaties zonder winstoogmerk gegevens op basis van dit onderdeel van de verordening een vergoeding moeten betalen mag dit alleen bestaan uit een vergoeding voor de kosten voor het beschikbaar stellen van de gegevens. Voorbeelden van kosten voor het beschikbaar stellen van gegevens zijn kosten voor het ontwikkelen van een interface om gegevens beschikbaar te stellen of kosten voor het opslaan en verwerken van gegevens. De Europese Commissie komt met richtsnoeren voor de berekening van een redelijke vergoeding.

De toetsing van deze bepalingen is aan de ACM als toezichthouder en in het geval van een geschil aan een geschillenbeslechtingsorgaan of uiteindelijk aan de rechter.

3.3. Oneerlijke contractuele bedingen met betrekking tot de toegang tot en het gebruik van gegevens tussen ondernemingen

21. De leden van de GroenLinks-PvdA-fractie kijken met interesse naar de bepalingen die de machtspositie van kleinere bedrijven proberen gelijk te trekken. Deze leden vragen of de eisen die eenzijdig worden opgelegd aan kleine ondernemingen, die onder de dataverordening niet-bindend worden, ook betrekking hebben op reeds gesloten contracten. Betekent dit dat, vanaf de inwerkingtreding van de dataverordening, kleinere bedrijven meteen meer vrijheid hebben binnen bestaande contracten met grotere bedrijven?

De bepalingen uit dit onderdeel van de verordening hebben op de datum van inwerkingtreding geen betrekking op bestaande contracten. De bepalingen zijn van toepassing op overeenkomsten die na de datum van inwerkingtreding, 12 september 2025, zijn afgesloten. Vanaf 12 september 2027 is dit onderdeel wel van toepassing op overeenkomsten die op of vóór 12 september 2025 zijn gesloten als deze van onbepaalde duur zijn, of ten minste 10 jaar na 11 januari 2024 aflopen.

22. De leden van de NSC-fractie merken op dat de dataverordening in hoofdstuk VI bepalingen bevat die gericht zijn op het bevorderen van dataportabiliteit, met als doel overstappen tussen aanbieders van dataverwerkingsdiensten, zoals cloudproviders, eenvoudiger, transparanter en kostenefficiënter te maken. Dit moet bijdragen aan het doorbreken van ‘vendor lock-in’ en het versterken van de positie van gebruikers. Deze leden vragen de regering in hoeverre zij verwacht dat deze bepalingen in de praktijk daadwerkelijk bijdragen aan het beperken van de marktmacht van grote cloudproviders. Welke instrumenten acht de regering nodig of wenselijk om de effectiviteit van deze regels te waarborgen?

Het kabinet is tevreden met de maatregelen zoals ze in de hoofdstukken VI en VIII van de verordening zijn opgenomen. In lijn met de Nederlandse inzet zijn ambitieuze maatregelen opgenomen die zowel het overstappen tussen dataverwerkingsdiensten als het gelijktijdig gebruik van clouddiensten van verschillende aanbieders mogelijk maken. Met deze bepalingen kunnen aanbieders van dataverwerkingsdiensten in ieder geval geen belemmeringen meer opwerpen voor gebruikers om over te stappen of diensten met die van andere aanbieders te combineren.

De verordening is daarmee een belangrijke pijler in het beter functioneren van de cloudmarkt en het beperken van de marktmacht van sommige spelers daarin. Voor de effectiviteit van de regels zelf is vooral goed toezicht belangrijk. De ACM is aangewezen met het toezicht op deze bepalingen.

De verordening zal niet van de ene op de andere dag grote veranderingen in de markt bewerkstelligen, maar levert door het wegnemen van anti-competitief gedrag op termijn wel een belangrijke bijdrage aan verbetering van het functioneren van de markt. Om daadwerkelijk een goed functionerende cloudmarkt tot stand te brengen zet het kabinet in Europees verband ook in op maatregelen om innovatie te stimuleren, zoals het Important Project of Common European Interest on Cloud Infrastructure and Services.²⁴ Ook onderzoekt het kabinet andere mogelijkheden om de sector te ondersteunen, bijvoorbeeld middels herziening van de Europese aanbestedingsrichtlijn en samenwerkingsinitiatieven.

3.4. Gegevens beschikbaar stellen aan overheidsinstanties en EU-instellingen op grond van uitzonderlijke behoefte

23. De leden van de GroenLinks-PvdA-fractie lezen hoofdstuk V met voorzichtigheid. Deze leden zijn van mening dat overheden uiterst terughoudend moeten zijn met het vergaren van grote hoeveelheden gegevens en dat hier altijd volledige verantwoording over dient te worden afgelegd. Anderzijds beseffen zij dat in een noodsituatie de zorgvuldigheid vaak (noodzakelijkerwijs) ontbreekt. Zij vragen de regering om een scenario te schetsen waarin van deze bepaling gebruik wordt gemaakt. Op welke momenten komen welke belanghebbenden aan bod om van deze bevoegdheden gebruik te maken? Welke bewijslast moeten overheden aanleveren om aan te tonen dat er sprake is van een noodsituatie, dat er geen andere mogelijkheden waren, en dat het ontvangen van (gepseudonimiseerde) gegevens nodig was om haar taken uit te voeren?

De regering deelt de opvatting dat terughoudendheid en zorgvuldigheid zijn geboden bij het vergaren van grote hoeveelheden gegevens. Ook in noodsituaties moet de overheid die terughoudendheid en zorgvuldigheid in acht nemen, voor zover de situatie dat toelaat. Het proces omtrent gegevensverzoeken op grond van hoofdstuk V van de verordening is daarom met veel waarborgen omkleed.

Van de bevoegdheid in hoofdstuk V van de verordening om gegevens op te vragen in geval van een algemene noodsituatie²⁵, kan alleen gebruik worden gemaakt in een uitzonderlijke situatie die wordt vastgesteld of officieel wordt afgekondigd volgens de relevante Unie- of nationaalrechtelijke procedures. Artikel 15, eerste lid, onderdeel a, van de verordening, stelt daarbij als aanvullende vereiste dat de overheidsinstantie niet in staat is dergelijke gegevens tijdig en doeltreffend op een andere manier en in gelijkwaardige omstandigheden te verkrijgen. In de Nederlandse context wordt aan de vereiste van het vaststellen of officieel afkondigen invulling gegeven door aan te sluiten bij situaties waarin het staatsnoodrecht wordt ingezet. In dergelijke situaties wordt voldaan aan het voor het staatsnoodrecht geldende criterium van buitengewone omstandigheden. Inzet van staatsnoodrecht vergt bovendien een koninklijk besluit, om a) een beperkte of algemene noodtoestand af te kondigen waarbinnen staatsnoodrechtbevoegdheden kunnen worden ingezet, of b) buiten de noodtoestand bevoegdheden uit sectorale staatsnoodwetten separaat in werking te stellen. Hiermee is het feit dat naar het oordeel van de regering sprake is van een buitengewone situatie dus ook formeel vastgesteld. In beide gevallen vereist dit een proportionaliteits- en subsidiariteitstoets.

De inzet van staatsnoodrecht is aan het oordeel van de regering om snel handelen mogelijk te maken, maar in het vervolgproces voorziet het staatsnoodrecht in parlementaire betrokkenheid. Zo kan een noodtoestand op grond van artikel 3 van de Coördinatiewet uitzonderingstoestanden worden opgeheven door de Staten-Generaal. Een separate inwerkingstelling van noodbevoegdheden vereist dat onverwijld een wetsvoorstel aan de Tweede Kamer wordt gestuurd omtrent het voortduren van deze noodbevoegdheden. Verwerping van dat wetsvoorstel leidt ook tot buitenwerkingstelling van die noodbevoegdheden.

In het koninklijk besluit waarmee de noodbevoegdheden worden ingesteld, wordt bepaald welke overheidsinstantie welke noodbevoegdheden mag gebruiken, binnen de grenzen van de desbetreffende wetgeving. Het verschilt per noodbepaling welke overheidsinstantie bevoegd is. Het kan bijvoorbeeld gaan om bewindspersonen, burgemeesters of het militair gezag. Nadat een overheidsinstantie beschikt over een noodbevoegdheid, ontstaat de mogelijkheid om een beroep te doen op de bevoegdheid in de verordening om gegevenshouders te verzoeken gegevens beschikbaar te stellen.

De verordening bevat verschillende vereisten met betrekking tot zo een verzoek. Zo moet worden aangetoond dat wordt voldaan aan de noodzakelijke voorwaarden voor het bestaan van een uitzonderlijke noodzaak²⁶ op grond waarvan om de gegevens wordt verzocht.²⁷ Ook moet een toelichting worden gegeven op het doel van het verzoek, het beoogde gebruik van de gevraagde gegevens, de duur van dat gebruik en, in voorkomend geval, de wijze waarop de verwerking van persoonsgegevens tegemoetkomt aan de uitzonderlijke noodzaak.²⁸

De overheidsinstantie moet daarnaast vermelden op grond van welke wettelijke bepaling hij beschikt over een specifieke taak van algemeen belang waarvoor de gegevens worden opgevraagd.²⁹ In het Nederlandse stelsel zal de overheidsinstantie dan moeten verwijzen naar het koninklijk besluit op grond waarvan de noodbevoegdheden worden ingesteld en de wettelijke grondslag waarin de noodbevoegdheden zijn omschreven. Daarin zit ook een aanknopingspunt voor het aantonen dat de overheidsinstantie geen andere mogelijkheden heeft om de noodzakelijke gegevens te ontvangen. Alleen als de wettelijke grondslag waarin de noodbevoegdheden zijn omschreven geen bevoegdheid bevat die het mogelijk maakt om de noodzakelijke gegevens tijdig, doeltreffend en in gelijkwaardige omstandigheden te verkrijgen, kan de overheidsinstantie mogelijk een beroep doen op artikel 14 van de verordening. Indien de wettelijke grondslag wel zo’n bevoegdheid bevat en die bevoegdheid ook in werking is gesteld, is de overheidsinstantie gehouden om van die bevoegdheid gebruik te maken, in plaats van de bevoegdheid uit de verordening. Als de wettelijke grondslag zo’n bevoegdheid bevat, maar die niet in werking is gesteld, dient eerst de regering te worden verzocht om die bevoegdheid in werking te stellen. Als de regering dit weigert, noopt dat tot de conclusie dat niet aan het noodzakelijkheidsvereiste wordt voldaan en dat daarmee ook onvoldoende grondslag aanwezig is voor een gegevensverzoek onder de verordening.

Indien de gegevenshouder van mening is dat het verzoek niet aan deze voorwaarden voldoet, kan deze het gegevensverzoek weigeren of verzoeken om aanpassing.³⁰ Als de overheidsinstantie niet akkoord gaat met die weigering of aanpassing, wordt het verzoek voorgelegd aan de AP die is aangewezen als bevoegde autoriteit op dit onderdeel. Tegen het besluit van de AP is vervolgens beroep bij de rechter mogelijk.

24. Deze leden vragen voorts of de regering bereid is samen met andere landen hier een protocol voor op te stellen, zodat vooraf gecontroleerd kan worden hoe de bepalingen uit hoofdstuk V worden geïnterpreteerd en worden ingezet, en welke instanties een rol spelen. Zulke verstrekkende bevoegdheden dienen volgens deze leden goed gecontroleerd te worden door het parlement.

De samenwerking tussen de toezichthouders van de lidstaten is door de Europese Commissie vormgegeven in het Europees Comité voor Gegevensinnovatie. In dit Comité vindt de discussie plaats over hoe bepalingen uit de verordening, dus ook van hoofdstuk V, dienen te worden geïnterpreteerd door de toezichthouders. Het kabinet is van mening dat het aan dit Comité is om te bepalen of een dergelijk protocol noodzakelijk is en indien dit het geval is een dergelijk protocol op te stellen.

25. De leden van de NSC-fractie constateren dat de verordening voorziet in verplichtingen tot het delen van gegevens met overheden en derden. Deze leden willen de regering vragen hoe wordt voorkomen dat deze verplichtingen leiden tot onbedoelde inbreuken op de privacy van burgers. Wordt in dergelijke gevallen standaard ingezet op privacyverhogende maatregelen zoals pseudonimisering, dataminimalisatie of andere technische en organisatorische waarborgen? Hoe wordt gecontroleerd of deze ook daadwerkelijk worden toegepast?

Het kabinet deelt de opvatting dat voorkomen moet worden dat onbedoelde inbreuken worden gepleegd op de privacy van burgers. Hoofdstuk V van de verordening bevat daartoe diverse maatregelen. Dit hoofdstuk is alleen van toepassing op uitzonderlijke situaties. Indien overheidsinstanties op een andere manier aan de gegevens kunnen komen die zij nodig hebben, dan is die (andere) route voorgeschreven en is gebruikmaking van hoofdstuk V van de verordening geen optie (zie in dit verband ook het antwoord op vraag 23). Slechts als de desbetreffende overheidsinstantie niet in staat is dergelijke gegevens tijdig en doeltreffend op een andere manier en in gelijkwaardige omstandigheden te verkrijgen, is een beroep op hoofdstuk V van de verordening eventueel mogelijk. Vervolgens vereist de verordening dat in beginsel enkel niet-persoonsgebonden gegevens worden opgevraagd. Voor niet-noodsituaties behoort het opvragen van persoonsgegevens op grond van artikel 15, eerste lid, onderdeel b, van de verordening überhaupt niet tot de mogelijkheden. Voor noodsituaties bestaat die mogelijkheid wel, maar alleen als de overheidsinstantie aantoont dat het gebruik van persoonsgegevens daarvoor noodzakelijk is en anonimisering geen optie is. In dat geval is pseudonimisering verplicht.³¹ De overheidsorganisatie specificeert vervolgens hoe de persoonsgegevens zullen worden gebruikt, welke technische en organisatorische maatregelen zullen worden genomen om de gegevens te beschermen en stelt de AP op de hoogte van dit verzoek. Op die manier wordt bij iedere stap van het proces ingezet op de meest privacyrespecterende methode. De AP heeft als toezichthouder de bevoegdheid om de opgevraagde gegevens in te zien en daarmee te controleren of de waarborgen goed zijn toegepast.

26. De leden van de PVV-fractie merken op dat in het verslag van het schriftelijk overleg over de dataverordening en het bijbehorende BNC-fiche van 18 mei 2022³² aangekondigde inspanning, naar aanleiding van de door de regering gedeelde zorgen dat de gedeelde bevoegdheid om in gevallen van uitzonderlijke noodzaak data op te vragen bij datahouders mogelijk te verstrekkend is en drukt op de rechtsbescherming, onvoldoende navolging heeft gekregen. Deze leden zouden gaarne vernemen hoe deze potentieel onwenselijke en verstrekkende gevolgen voorkomen gaan worden en hoe de systematiek voor het opvragen van gegevens dusdanig ingericht gaat worden dat voorkomen wordt dat deze de rechtsbescherming aantast.

Het kabinet heeft zich bij de onderhandelingen over de verordening inderdaad ingezet op aanpassing van hoofdstuk V van de verordening om deze zorgen weg te nemen. Dat heeft geleid tot diverse verbeteringen op het gebied van rechtsbescherming. Zo is in de uiteindelijk aangenomen versie van de verordening het gebruik van persoonsgegevens uitgesloten in andere gevallen dan noodsituaties, is nader uitgewerkt onder wat voor omstandigheden sprake is van een uitzonderlijke noodzaak, kan alleen een beroep worden gedaan op deze bepalingen indien alternatieven niet mogelijk zijn gebleken, en zijn de verplichtingen ten aanzien van bescherming en beveiliging van persoonsgegevens uitgebreid en aangescherpt. Bovendien moet de bevoegde autoriteit (AP) altijd worden geïnformeerd indien een verzoek om persoonsgegevens wordt gedaan. Daarmee is het niveau van rechtsbescherming voldoende verbeterd.

De verordening heeft een systeem van rechtsbescherming waarin de gegevenshouder zich kan verzetten tegen het verzoek, een overheidsinstantie de weigering kan aanvechten via de toezichthouder, de toezichthouder ook op eigen initiatief de verzoeken kan beoordelen en daarnaast de gang via de rechter niet wordt geblokkeerd. Het is dus hoe dan ook mogelijk voor de datahouder om zijn rechtsbescherming te gelde te maken.

3.5. Het vergemakkelijken van overstappen tussen dataverwerkingsdiensten

27. De leden van de GroenLinks-PvdA-fractie steunen van harte de bepalingen die de dataportabiliteit en interoperabiliteit tussen diensten aanjagen. Het is van het grootste belang dat de marktmacht van niet-Europese grote bedrijven in de digitale sector wordt verbroken. Kan worden toegelicht hoe de dataverordening gaat helpen om de digitale soevereiniteit van Nederland beter te borgen?

De verordening heeft het bevorderen van digitale soevereiniteit niet als expliciet doel. Als gebruikers van clouddiensten hun afhankelijkheid van een aanbieder willen verminderen door over te stappen of door diensten van verschillende aanbieders te combineren, maakt de verordening dat wel makkelijker.

De bepalingen uit de verordening gericht op dataverwerkingsdiensten, in de praktijk ook wel cloud- of edgediensten genoemd, moeten in beginsel gezien worden als marktregulering met als doel het bevorderen van concurrentie op de markt voor cloud- of edgediensten. Deze bepalingen gelden voor alle in de Europese Unie actieve partijen die cloud- of edgediensten leveren, ongeacht de herkomst van deze partijen.

28. Wordt het door de dataverordening makkelijker om de afhankelijkheid van grote bedrijven als Microsoft, Google en Amazon in de publieke sector te verkleinen?

Ja. De verordening maakt het makkelijker voor gebruikers van clouddiensten, ook in de publieke sector, om over te stappen naar een andere aanbieder of om diensten van verschillende aanbieders te combineren. Daarmee wordt het makkelijker voor organisaties in de publieke sector die dat willen om (een deel van hun) clouddiensten onder te brengen bij andere aanbieders.

29. Graag vernemen deze leden meer over de rol die de dataverordening speelt in het (herziene) cloudbeleid en de ambities van het demissionaire kabinet. Zij herinneren de regering eraan dat de Kamer meermaals in meerderheid heeft uitgesproken de digitale soevereiniteit te bevorderen. Wanneer verwacht u dat de eisen op het gebied van portabiliteit en interoperabiliteit naar behoren functioneren en daadwerkelijk leiden tot een eerlijke concurrentie in onder andere de cloudmarkt?

De verordening beoogt de totstandkoming van een beter werkende markt voor cloud- en edgediensten, zoals ook aangegeven in de kabinetsreactie op de Initiatiefnota van de leden Six Dijkstra en Kathmann over “Wolken aan de horizon”.³³ De bepalingen uit de verordening op gebied van clouddiensten zijn goeddeels gericht op aanbieders van dataverwerkingsdiensten en verplichten deze partijen om belemmeringen voor overstappen en het combineren van clouddiensten van verschillende aanbieders weg te nemen. Dit sorteert al effect, aangezien verschillende aanbieders, waaronder Microsoft en Google, geen overstapkosten meer in rekening brengen.³⁴ Zodra de verordening en de uitvoeringswet in werking treden kunnen toezichthouders de naleving van de verordening ook handhaven.

De verordening zal niet van de ene op de andere dag grote veranderingen in de markt bewerkstelligen, maar levert door het wegnemen van anti-competitief gedrag op termijn wel een belangrijke bijdrage aan verbetering van het functioneren van de markt. Om daadwerkelijk een goed functionerende cloudmarkt tot stand te brengen zet het kabinet in Europees verband ook in op maatregelen om innovatie te stimuleren, zoals het Important Project of Common European Interest on Cloud Infrastructure and Services.³⁵ Ook onderzoekt het kabinet andere mogelijkheden om de sector te ondersteunen middels bijvoorbeeld herziening van de Europese aanbestedingsrichtlijn en samenwerkingsinitiatieven.

30. De leden van de GroenLinks-PvdA-fractie vragen waarom pas in 12 januari 2027 de bepaling geldt dat er geen overstapkosten mogen worden verrekend. Tot die tijd ‘mogen’ aanbieders verlaagde overstapkosten in rekening brengen. Bedoelt de regering hier dat zij daartoe verplicht zijn?

Het is gebruikelijk om bij regelgeving met verstrekkende effecten op verdienmodellen van het bedrijfsleven een bepaalde overgangsperiode in het leven te roepen. Sommige aanbieders van clouddiensten zullen hun diensten en bedrijfsvoering moeten aanpassen om op een kostenefficiënte wijze aan de verplichtingen uit de verordening te voldoen. Tot 12 januari 2027 mogen aanbieders alleen kosten in rekening brengen die rechtstreeks verband houden met het betrokken overstapproces. Aanbieders mogen er ook voor kiezen om minder of geen kosten in rekening te brengen.

31. De leden van de GroenLinks-PvdA-fractie vragen om nader in te gaan op de toegang van landen buiten de EU tot EU-gegevens. Vooral in de cloudsector zien deze leden grote risico’s met de Amerikaanse wet- en regelgeving waar de grootste cloudleveranciers onder vallen. Acht de regering het publiceren van informatie hierover op de website voldoende? Deelt u de mening dat het wenselijk is dat deze informatie onafhankelijk en toegankelijk wordt gecommuniceerd? Zij vragen om nader in te gaan op mogelijkheden om de informatie over wetgeving, zoals de CLOUD Act, proactief, onafhankelijk en toegankelijk aan te bieden aan gebruikers. Tevens is het van belang dat onafhankelijk wordt vastgesteld of de grootste aanbieders daadwerkelijk effectieve maatregelen hebben genomen om risico’s af te dekken, zo stellen deze leden.

Het kabinet onderschrijft dat het niet wenselijk is dat data onrechtmatig worden verwerkt door partijen buiten de EU. Voor zover het clouddiensten betreft is dit standpunt verder uitgewerkt in de kabinetsreactie op de Initiatiefnota van de leden Six Dijkstra en Kathmann over “Wolken aan de horizon” die op 17 januari 2025 aan uw Kamer toegezonden is.³⁶

Artikel 28 van de verordening regelt welke informatie aanbieders van dataverwerkingsdiensten, zoals clouddiensten, op hun website beschikbaar en actueel moeten houden. Het kabinet vindt de verplichting om informatie te publiceren over de jurisdictie waar de dienstverlener onder valt nuttig. De verordening gaat echter verder dan alleen informatieverplichtingen. Hoofdstuk VII van de verordening verplicht clouddienstverleners om adequate technische, organisatorische en contractuele maatregelen te nemen om internationale overheidstoegang tot of de doorgifte van niet-persoonsgebonden gegevens die in de Unie zijn opgeslagen, te voorkomen indien een dergelijke toegang of doorgifte in strijd zou zijn met het Unie- of nationale recht van de betrokken lidstaat. Op deze verplichtingen zal ook door de ACM toezicht worden gehouden.

In het kader van de aankomende Europese Data Unie Strategie zal het kabinet inzetten op verduidelijking van het internationaal databeleid van de EU, met daarin aandacht voor de bescherming van niet-persoonlijke data en de verplichtingen uit hoofdstuk VII van de verordening.

3.6. Internationale overheidstoegang en overdracht van niet-persoonsgebonden gegevens

32. De leden van de GroenLinks-PvdA-fractie vragen de regering om terughoudend te zijn met doorgifte van EU-gegevens aan landen buiten de EU. De bescherming van fundamentele Europese rechten en de commerciële belangen van het Europese bedrijfsleven wegen voor deze leden zwaar. Deze leden vragen de regering om te zijner tijd de Europese richtsnoeren, die worden opgesteld om internationale gegevensdeling mogelijk te maken, aan de Kamer te versturen en te voorzien van een zienswijze. Kunnen lidstaten bezwaar maken tegen dergelijke afspraken die de Europese Commissie maakt met landen buiten de EU?

Onder de verordening stelt de Commissie de richtsnoeren op met advies van het Europees Comité voor Gegevensinnovatie. De ACM neemt namens Nederland deel aan het Europees Comité voor Gegevensinnovatie. De Commissie kan richtsnoeren opstellen voor de beoordeling van de vraag of aan de voorwaarden uit de verordening voor internationale overheidstoegang- en overdracht wordt voldaan (artikel 32, derde lid, van de verordening). Het gaat niet om afspraken die de Europese Commissie maakt met landen buiten de EU om gegevensdeling mogelijk te maken. Richtsnoeren zijn niet-bindende besluiten die de grote lijnen van een onderwerp uitzetten, in dit geval hoe aanbieders van clouddiensten aan de bepalingen uit hoofdstuk VII van de verordening kunnen voldoen. De Commissie bespreekt het concept-richtsnoer met de lidstaten, die dan hun zienswijze kenbaar kunnen maken. Het kabinet is bereid om de richtsnoeren die het Europees Comité voor Gegevensinnovatie ontwikkelt voor hoofdstuk VII van de verordening te delen met de Kamer.

3.7. Interoperabiliteit

33. De leden van de GroenLinks-PvdA-fractie steunen het bevorderen van interoperabiliteit van harte. Deze leden dringen er op aan om snel te komen tot breed gedragen standaarden. Welke rol wil Nederland spelen in het bepalen van deze standaarden? Welke expertise hebben we hiervoor beschikbaar en hoe gaat de regering die optimaal benutten?

Om interoperabiliteit mogelijk te maken zijn breed gedragen normen en standaarden van groot belang.³⁷ Daarom heeft de overheid een duidelijke voorkeur voor het gebruik van het Europese normalisatiesysteem en geharmoniseerde normen ten opzichte van het voorschrijven van interoperabiliteitseisen door de overheid. Nederland speelt een rol in deze trajecten via het door de overheid aangewezen Nederlandse Normalisatieinstituut (NEN).

Door deelname aan de nationale normcommissie en Europese werkgroepen kunnen alle partijen uit het Nederlandse veld met expertise en een belang hun inbreng leveren. Dit garandeert een goede aansluiting bij de technologische ontwikkelingen en een breed draagvlak bij de toepassing. Het kabinet stimuleert brede deelname vanuit het Nederlandse veld van belanghebbenden, ook vanuit het mkb. Het Ministerie van Economische Zaken financiert daarom de NEN-normcommissie data en cloud.³⁸

De Interoperable Europe Act³⁹ speelt ook een rol in het creëren van draagvlak voor standaarden. Deze verordening legt de Europese Commissie een aantal verplichtingen op wanneer zij eisen stelt inzake de interoperabiliteit. Zo zal er een impactassessment moeten worden uitgevoerd waarbij stakeholders moeten worden betrokken en waar reeds vastgestelde standaarden in overweging moeten worden genomen uitgelijnd met het European Interoperability Framework.

4. Inhoud Uitvoeringswet

34. De leden van de GroenLinks-PvdA-fractie vragen om nader te onderbouwen waarom de taken rondom de dataverordening belegd zijn bij de minister van Economische Zaken en niet een andere bewindspersoon. Zijn er andere EU-lidstaten die deze taken anders beleggen?

Het grootste deel van de verordening betreft regulering van de interne markt. Daar het, met uitzondering van Hoofdstuk V, om inherent economische wetgeving gaat is ervoor gekozen de algemene beleidsverantwoordelijkheid bij de Minister van Economische Zaken neer te leggen. De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor de uitvoering van het beschikbaar stellen van gegevens aan overheidsinstanties in gevallen van uitzonderlijke noodzaak (hoofdstuk V en verwante artikelen), aangezien dit aansluit bij de beleidsverantwoordelijkheid van deze bewindspersoon. De Staatssecretaris voor Rechtsbescherming is verantwoordelijk voor databankregelgeving en daarom voor hoofdstuk X van de verordening, die het sui-generis-recht zoals bedoeld in artikel 7 van de Databankenrichtlijn in bepaalde situaties niet van toepassing verklaart. In verschillende andere lidstaten is de algemene uitvoering van de verordening ook bij de ministeries van economische zaken of vergelijkbare instanties belegd. Afhankelijk van de nationale politieke omstandigheden maken lidstaten hier keuzes in.

4.1. Aanwijzen bevoegde autoriteiten

35. De leden van de GroenLinks-PvdA-fractie begrijpen de keuze voor zowel de Autoriteit Consument en Markt (ACM) als de Autoriteit Persoonsgegevens (AP) als nationale toezichthouders. Wel vragen zij om toe te lichten of de regering een andere verdeling van taken over de hoofdstukken en bepalingen uit de dataverordening heeft overwogen. Kunt worden aangegeven aangeven op welke punten zowel de ACM als de AP de juiste expertise in huis hebben? Hoe heeft de regering de afweging gemaakt om de taken bij de ene of de andere toezichthouder te beleggen? Wegens de grote overlap tussen prioriteiten en taken willen de leden nauwkeurig beoordelen hoe de rollen zijn verdeeld. Zij vragen om samenwerking en het delen van expertise tussen de instanties zo goed mogelijk te faciliteren.

Het kabinet heeft verschillende manieren om het toezicht te organiseren overwogen gedurende de totstandkoming van de uitvoeringswet, maar is uiteindelijk van mening dat de voorgestelde toezichtsystematiek de meest efficiënte en effectieve wijze is om het toezicht op deze verordening in Nederland te organiseren. De huidige toezichtsystematiek is uiteindelijk in overleg met de toezichthouders en andere belanghebbenden ontstaan en wordt door alle betrokken partijen, waaronder de ACM en de AP, gezien als de beste manier om effectieve uitvoering van de verordening mogelijk te maken. In paragraaf 4.1 van de memorie van toelichting wordt uitgebreid ingegaan op de verdeling van toezicht tussen de ACM en de AP.

Al gedurende de onderhandelingen van de verordening zijn de ACM en AP betrokken bij dit wetgevingsdossier en in de periode vanaf 2022 is er regelmatig en intensief ambtelijk contact geweest tussen de betrokken departementen en toezichthouders om de organisatie van het toezicht op deze verordening op te zetten. Op basis van verschillende criteria, zoals ervaring en expertise van de toezichthouders, aansluiting bij het bestaande doelstellingen en absorptievermogen, zijn de taken toebedeeld aan de ACM en de AP. De ACM en de AP hebben ook beide een uitvoerings- en handhaafbaarheidstoets gedaan en achten de uitvoeringswet in de huidige vorm uitvoerbaar.

Hierbij is volop aandacht geweest voor de context, namelijk de veelheid aan digitale regelgeving die de laatste jaren in Europees verband is ontstaan waarvoor de ACM en de AP in Nederland ook als (beoogd) toezichthouder opereren. Ook is er sprake geweest van verschillende andere afwegingen, zoals de wens om versnippering van het toezicht te voorkomen.

De ACM en de AP zijn verschillende organisaties. De verordening is gericht op marktordening en daarom is het voor markttoezichthouder ACM het meest werkbaar om dat toezicht te organiseren. Ook heeft de ACM ervaring met consumentenbescherming, telecommunicatie en andere digitale wetgeving als de Digitalemarktenverordening, de Digitaledienstenverordening en de Datagovernanceverordening. Daarom is ACM hier ook coördinerend toezichthouder. Bij vraagstukken over datadelen is er een mogelijkheid dat deze betrekking hebben op de verwerking van persoonsgegevens. De verordening maakt duidelijk dat de AVG van toepassing blijft en de AVG-toezichthouder bevoegd is voor het toezicht op de toepassing van de verordening voor zover het bescherming van persoonsgegevens betreft. Toezichthouders zien dat voor de juiste werking van de verordening, goede samenwerking essentieel is.

Samenwerking tussen de toezichthouders wordt georganiseerd middels een samenwerkingsprotocol. De uitvoeringswet draagt de toezichthouders op om een samenwerkingsprotocol op te stellen. Deze werkwijze biedt de toezichthouders voldoende flexibiliteit en onafhankelijkheid en is in lijn met het advies van de Afdeling advisering van de Raad van State over de Uitvoeringswet datagovernanceverordening.⁴⁰ In dit advies gaf de Afdeling aan dat samenwerking tussen de ACM en de AP bij voorkeur via een samenwerkingsprotocol georganiseerd wordt in plaats van via wettelijke bepalingen.

36. De leden van de D66-fractie nemen kennis van de keuze om de AP slechts bevoegd te verklaren voor persoonsgegevensverwerking en uitzonderlijke overheidstoegang, en niet voor andere onderdelen van de dataverordening waarbij mogelijk gemengde datasets worden verwerkt. De AP heeft kritiek op deze beperkte aanwijzing. Waarom is deze kritiek niet nader gewogen? Deelt de regering de opvatting dat bij gemengde datasets het risico op conflicterende oordelen van de AP en de ACM reëel is?

De AP acht het, zoals aangegeven in haar wetgevingstoets en haar uitvoerings- en handhavingstoets, noodzakelijk om te worden aangewezen als bevoegd toezichthouder op zowel artikel 6, eerste lid, van de verordening voor zover er sprake is van de verwerking van persoonsgegevens, als op artikel 6, tweede lid, onder b, van de verordening. Dit voorstel is door het kabinet overgenomen in de artikelen 3 en 5 van de Uitvoeringswet, zoals toegelicht in paragraaf 4.1 van het algemeen deel van de memorie van toelichting.

Als een dataset ‘gemengd’ is en dus persoonsgegevens bevat, valt de verwerking van deze dataset onder de AVG. De AP is verantwoordelijk voor het toezicht op de verordening wat de bescherming van persoonsgegevens betreft⁴¹ en blijft bevoegd voor het toezicht op de AVG. De verordening geeft de ACM geen bevoegdheid te oordelen over de toepassing van gegevensbeschermingswetgeving zoals de AVG. In de beantwoording van vraag 44 ga ik in op de samenwerking tussen de ACM en de AP voor de uitvoering van deze verordening.

4.2. Taken en bevoegdheden bevoegde autoriteiten

37. De leden van de GroenLinks-PvdA-fractie benadrukken dat het goed behandelen van klachten een nationale aangelegenheid is. Het is aan de overheid om te zorgen dat gebruikers zich kunnen beroepen op hun recht. Hoe stelt u de toezichthouders in staat om tijdig te reageren op klachten? Wat zijn de consequenties als niet tijdig wordt gereageerd op een klacht? Gaat de regering regelmatig in gesprek met de toezichthouders om te bezien of zij voldoende zijn uitgerust voor hun taken?

In de Uitvoerings- en handhaafbaarheidstoetsen (UHT’s) die door de ACM en de AP zijn gedaan is aangegeven welke middelen de toezichthouders naar eigen inschatting nodig hebben om effectief toezicht te houden op de verordening. Onder effectief toezicht wordt in dat geval ook het tijdig reageren op klachten⁴² verstaan. Er zijn op incidentele basis in 2024 en 2025 middelen verstrekt aan de ACM en de AP om het toezicht effectief in te richten. Vanaf 2026 worden er op structurele basis middelen verstrekt aan de ACM en de AP, in lijn met de UHT's.

Wanneer toezichthouders niet tijdig reageren op een klacht kan dit leiden tot een situatie waarin het toezicht op de verordening minder effectief dan wenselijk wordt geacht door belanghebbenden. Indien een toezichthouder te laat of niet op een klacht reageert, dan heeft de klager recht op een doeltreffende voorziening in rechte of op toetsing door een onpartijdige instantie met de nodige expertise (artikel 39, tweede lid, van de verordening).

Aangezien de ACM en de AP onafhankelijke toezichthouders zijn zal niet naar aanleiding van individuele klachten contact plaatsvinden tussen het kabinet en de toezichthouders. Het kabinet heeft regelmatig contact met de toezichthouders. Daarin zal ook worden gesproken over de effectiviteit van het toezicht en de mate waarin de ACM en de AP voor hun taak zijn toegerust.

38. De leden van de GroenLinks-PvdA-fractie vragen om vooraf duidelijkheid te bieden over de wijze waarop nationale toezichthouders sancties opleggen. Welk regime van sanctionering, berisping en bevelen gaat Nederland hanteren? Kunt u de toezichthouders vragen of zij bereid zijn dit te publiceren, zodat er zekerheid is van de gevolgen als een organisatie de dataverordening niet naleeft?

In de paragraaf 4.2 van de memorie van toelichting gaat het kabinet nader in op het sanctieregime van het wetsvoorstel. Om handhaving van de verordening effectief te maken verplicht de verordening dat lidstaten financiële sancties vaststellen, waaronder dwangsommen, voor inbreuken op de verordening. De sancties moeten doeltreffend, evenredig en afschrikkend zijn en rekening houden met de aanbevelingen van het Europees Comité voor gegevensinnovatie en de criteria uit artikel 40, derde lid, van de verordening. De sanctiebepaling in het wetsvoorstel geeft hier invulling aan.

De ACM wijkt in beginsel niet af van haar Beleidsregel Prioritering van handhavingsonderzoeken uit 2023.⁴³ De ACM publiceert voorts elk jaar een document waarin zij de focus van haar werkzaamheden uitlegt. In 2025 is daar ook een specificatie voor uitgebracht met betrekking op de digitale economie.⁴⁴ Hierin staan ook elementen die raken aan toezicht op de verordening. In 2025 wordt door de ACM een toezichtvisie op de verordening opgesteld. Wanneer in 2026 weer een document wordt gepubliceerd met daarin een toezichtfocus, dan zal de toezichtvisie op de verordening daar ook in worden meegenomen.

De AP heeft bij brief van 3 maart 2025⁴⁵ gereageerd op een bredere evaluatie door een externe commissie. In deze brief is vermeld dat de conclusie van de commissie dat er een nadrukkelijke verduidelijking nodig is van het AP-beleid over normen en handhaving, ter harte wordt genomen. In navolging van deze conclusie is de AP op dit moment bezig met het opstellen van handhavingsbeleid.

De AP houdt toezicht op verschillende regelingen waaronder de Algemene verordening gegevensbescherming, de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en op basis van dit wetsvoorstel ook de verordening. Het handhavingsbeleid van de AP gaat niet in op elk van de specifieke regelingen in, maar biedt inzicht in het totaalpakket van handhavingsinstrumenten waarover de AP beschikt en hun onderlinge verhouding. Daarbij moet een balans worden gevonden tussen enerzijds rechtszekerheid voor organisaties en burgers, en anderzijds het toezichtbelang van het voorkomen van anticiperend (berekenend) gedrag. Naar verwachting wordt het handhavingsbeleid eind 2025 door de AP gepubliceerd.

39. De leden van de D66-fractie constateren dat de voorgestelde regeling geen verplichting bevat tot voorafgaande afstemming tussen de AP en de ACM, maar slechts uitgaat van samenwerking via protocollen. De AP acht dit onvoldoende om onrechtmatige verwerking van persoonsgegevens te voorkomen. Waarom is niet gekozen voor een verplichting om de AP te informeren bij voornemens tot gegevensdeling die mogelijk persoonsgegevens raken?

De opzet van samenwerking tussen de ACM en de AP middels samenwerkingsprotocollen is in nauwe samenwerking met zowel de ACM als de AP tot stand gekomen en wordt nader toegelicht in de beantwoording van vraag 35 en vraag 44. Deze werkwijze biedt de toezichthouders voldoende flexibiliteit en onafhankelijkheid en is in lijn met het advies van de Afdeling advisering van de Raad van State over de Uitvoeringswet datagovernanceverordening.⁴⁶ In dit advies gaf de Afdeling aan dat samenwerking tussen de ACM en de AP bij voorkeur via een samenwerkingsprotocol georganiseerd wordt in plaats van via wettelijke bepalingen.⁴⁷ Het kabinet herkent niet het beeld dat de AP de beoogde uitvoeringswet onvoldoende zou vinden om onwettige verwerking van persoonsgegevens te voorkomen. De AP heeft naar aanleiding van het verslag van uw Kamer aangegeven geen bezwaren te hebben tegen het wetsvoorstel zoals dat nu voorligt in uw Kamer en ziet haar toezichttaak als uitvoerbaar.

4.3. Certificering geschillenbeslechtingsorgaan

40. De leden van de GroenLinks-PvdA-fractie vragen om toe te lichten hoe Nederland de geschillenbeslechting gaat inrichten. Wanneer verwacht u dat dit orgaan is ingericht en functioneert?

Overweging 52 van de verordening verheldert dat lidstaten niet verplicht zijn om een gecertificeerd geschillenbeslechtingsorgaan te hebben. In Nederland gevestigde partijen die zich willen laten certificeren als geschillenbeslechtingsorgaan kunnen nadat de Uitvoeringswet Dataverordening in werking treedt de ACM verzoeken tot certificatie. Vooralsnog heb ik geen signalen van in Nederland gevestigde partijen dat zij dit van plan zijn. Gebruikers, gegevenshouders en gegevensontvangers kunnen meldingen of handhavingsverzoeken bij de toezichthouders indienen, bij een geschillenbeslechtingsorgaan dat in een andere lidstaat is gecertificeerd terecht en hun recht halen via de rechter.

4.4. Advisering bij internationale overheidstoegang en overdracht van niet-persoonsgebonden gegevens en reageren op gemeenschappelijke specificaties

41. De leden van de GroenLinks-PvdA-fractie vragen om scherper te formuleren wanneer u een advies opstelt samen met de autoriteiten. Is dit alleen op verzoek, of gaat u ook ongevraagd advies aanleveren waar u dat nodig acht? De leden vragen om adviezen, zover als mogelijk, openbaar te maken en aan de Kamer te doen toekomen.

Het Ministerie van Economische Zaken zal in het kader van Hoofdstuk VII van de verordening alleen reageren op verzoeken van in Nederland gevestigde partijen. De werkwijze wordt in overleg met de ACM nader uitgewerkt. De ACM blijft als toezichthouder op dit onderdeel van de verordening verantwoordelijk voor de uitleg van de bepalingen en het toezicht op de naleving ervan. De taken van het Ministerie van Economische Zaken in het kader van Hoofdstuk VII van de verordening zien op algemene informatievoorziening aan individuele bedrijven over hoe zij aan de verplichtingen uit de verordening kunnen voldoen. Het kabinet is niet voornemens deze informatie die voor specifieke bedrijven is bedoeld te delen met uw Kamer. Wanneer informatie die wordt verstrekt van algemeen belang is zal het kabinet in overleg met de ACM bezien hoe deze informatie openbaar kan worden gemaakt en met de Kamer worden gedeeld.

4.5. Rechtsbescherming

42. De leden van de GroenLinks-PvdA-fractie vinden het van groot belang dat gebruikers zich kunnen beroepen op hun digitale rechten. Deze leden vragen om oog te houden voor de toegankelijkheid van deze mogelijkheid en om de ervaringen van gebruikers die hier gebruik van maken regelmatig op te halen zodat verbeteringen kunnen worden doorgevoerd. Zo kunnen drempels worden gevonden en weggenomen.

Eén van de prioriteiten van het kabinet tijdens de onderhandelingen was dat de gebruiks- en toegangsrechten voor gebruikers van internet-of-things(IoT)-producten
in de praktijk werken.⁴⁸ Het kabinet zal regelmatig met de ACM en de AP in gesprek gaan over de toepassing van de verordening en zal daarbij zeker aandacht hebben voor signalen die zij van gebruikers ontvangen. Bij de evaluatie van de verordening zal de Europese Commissie het effect van de verordening op het gebruik van gegevens in de economie en de toegankelijkheid en het gebruik van verschillende categorieën en soorten gegevens beoordelen.

5. Verhouding tot ander recht

5.1. Algemene verordening gegevensbescherming en ePrivacy-richtlijn

43. De leden van de GroenLinks-PvdA-fractie hechten grote waarde aan de bescherming van privacy. Deze leden vragen om in dit kader in te gaan op de status van geaggregeerde gegevens. Wanneer heel veel (gepseudonimiseerde) gegevens samen worden gevoegd, kan er dan sprake zijn van gegevens die op zichzelf niet gevoelig zijn maar na aggregatie wél onder de AVG vallen? Zij vragen de regering om goed te onderbouwen wanneer er sprake is van persoonsgegevens, welke mate van pseudonimisering u voldoende acht, en hoe deze gegevens – los van elkaar én samengevoegd – mogen worden gebruikt en gedeeld. Onzekerheid over deze definities kan leiden tot handelingsverlegenheid bij organisaties en bedrijven. Dit achten de leden in strijd met de doelen van de dataverordening.

Verwerking van persoonsgegevens is gereguleerd in de AVG en valt onder het toezicht van de AP. Ik deel de opvatting van deze leden dat het belangrijk is dat er duidelijkheid is over begrippen uit de AVG zoals pseudonimisering en anonimisering. Het is echter niet aan het kabinet om definities uit de AVG verder in te vullen. De Europese Raad voor Gegevensbescherming (EDPB) ziet erop toe dat de AVG consequent wordt toegepast en bevordert de samenwerking tussen de gegevensbeschermingsautoriteiten van de EU. De EDPB heeft recent richtsnoeren uitgebracht over pseudonimisering⁴⁹ en heeft in haar werkprogramma 2024-2025 opgenomen om richtsnoeren over anonimisering te ontwikkelen.⁵⁰ De verordening laat de AVG onverlet. De verordening verandert dus niets aan de status van geaggregeerde gegevens.

44. De leden van de D66-fractie vragen of het klopt dat er een situatie kan voordoen waarin de ACM verplicht tot gegevensdeling, terwijl de AP dit op grond van de AVG onrechtmatig acht. Indien dit juist is, moet dan niet worden voorzien in een coördinatiemechanisme of escalatiemodel in zulke gevallen?

Het klopt dat de ACM en de AP vanuit hun taken en bevoegdheden op basis van de verordening en de AVG soms allebei zullen moeten oordelen over een bepaalde gegevensverwerking. Juridisch is de verhouding tussen de verordening en de AVG dat de AVG onverlet van toepassing blijft. Een verwerking van persoonsgegevens kan niet rechtmatig zijn als niet aan de AVG wordt voldaan.

Om dit ook goed in de praktijk te brengen zullen de ACM en de AP samenwerken. Zoals in de memorie van toelichting is uiteengezet acht het kabinet het niet wenselijk om deze nieuwe vorm van samenwerking op voorhand al te formaliseren.⁵¹ De voorgestelde werkwijze is in lijn met het advies van de Afdeling advisering van de Raad van State over de Uitvoeringswet datagovernanceverordening.⁵² In dit advies stelde de Afdeling dat samenwerking tussen de ACM en de AP bij voorkeur via een samenwerkingsprotocol georganiseerd wordt in plaats van via wettelijke bepalingen. Het is belangrijk de ACM en de AP de ruimte hebben zelf invulling te geven aan deze samenwerking. De ACM en de AP werken momenteel aan een vernieuwd samenwerkingsprotocol. Het kabinet zal bij de evaluatie van de verordening ook het toezicht door de ACM en de AP evalueren, en daarbij ook de samenwerking betrekken.

5.2. Datagovernanceverordening, digitalemarktenverordening, digitaledienstenverordening, verordening artificiële intelligentie en ‘Platform-to-Business’ verordening

45. De leden van de GroenLinks-PvdA-fractie vragen de regering om te reflecteren op de dataverordening in het licht van de aangekondigde Omnibus-wetgeving. Deze leden vrezen dat de samenhang van het totale pakket aan datawetgeving, waaronder ook de AI Act en de AVG, dreigt te verdwijnen door het herzien van Europese wet- en regelgeving. Zij menen dat de feitelijke bescherming van het privacyrecht in Europa niet mag worden aangetast door deregulering. Kan de regering ingaan op de zorgen van deze leden? Verandert de scope of ambitie van de dataverordening als de Europese Commissie wetgeving samenvoegt in één Omnibus-pakket?

Het kabinet volgt met interesse de ontwikkelingen rondom de mogelijke herziening van digitaliseringswetgeving. Een uitgangspunt bij het herzien van Europese wetgeving moet wat het kabinet betreft zijn dat dit de samenhang ten goede komt. Daarnaast moeten ook ervaringen van toezichthouders en ondertoezichtgestelden een uitgangspunt vormen voor de herziening.

Op dit moment is nog niet duidelijk op welke wetgeving een herziening betrekking zou hebben. Op het gebied van data-wetgeving is er een viertal wetten met duidelijke samenhang, namelijk de Dataverordening, Datagovernanceverordening, de Verordening voor het vrije verkeer van niet-persoonsgebonden gegevens⁵³ en de Open Data Richtlijn⁵⁴. Het stroomlijnen van deze regelgeving, bijvoorbeeld door toe te werken naar eenduidige begrippen, zou niet hoeven afdoen aan het ambitieniveau van deze regelgeving, en kan juist de effectiviteit van deze regelgeving bestendigen.

Naast de genoemde regelgeving is de afgelopen jaren meer wetgeving met betrekking tot het digitale domein tot stand gekomen. Behalve de AI verordening en de AVG gaat het ook om regelgeving op het gebied van cyberveiligheid zoals de NIS-2 richtlijn⁵⁵ en Cyberbeveiligingsverordening⁵⁶ en wetgeving als de Digitalemarktenverordening en de Digitaledienstenverordening. Het kabinet ziet vooralsnog geen aanleiding om al deze regelgeving samen te voegen in een omnibus-wet gezien de verschillende doelstellingen van de regelgeving. Daarnaast is een groot deel van deze regelgeving pas recent in werking getreden, waardoor een gedegen evaluatie of effectmeting nog niet plaats heeft kunnen vinden.

De Europese Data Unie Strategie, die in 2026 wordt verwacht, zal meer helderheid verschaffen over het stroomlijnen van de regelgeving met betrekking tot data. Wanneer er meer informatie beschikbaar is over de ontwikkelingen op dit gebied en de Nederlandse beïnvloedingsactiviteiten starten, dan is het kabinet bereid dit te delen met uw Kamer.

Daarnaast biedt de evaluatie van de Datagovernanceverordening uitgangspunten voor een eventuele herziening. De ministeries van Economische Zaken en Binnenlandse Zaken en Koninkrijksrelaties zullen hier in de tweede helft van 2025 samen met de betrokken toezichthouders inbreng op leveren.

5.3. Richtlijn bedrijfsgeheimen

46. De leden van de GroenLinks-PvdA-fractie vragen de regering om nader in te gaan op de proportionele technische en organisatorische maatregelen die dienen te worden uitgewerkt om bedrijfsgeheimen te beschermen.

De verordening verplicht gegevenshouders gegevens die worden gegenereerd door het gebruik van een verbonden apparaat beschikbaar te stellen aan gebruikers en derden. Het kan zo zijn dat deze gegevens bedrijfsgeheimen bevatten. Om te zorgen dat gegevensdeling zoals beoogd onder de verordening dan toch mogelijk is terwijl de bescherming van bedrijfsgeheimen geborgd blijft moeten gegevenshouders en gebruikers of derden in eerste instantie maatregelen overeenkomen.⁵⁷ Vaak zal een onderdeel hiervan zijn dat de partijen contractvoorwaarden overeenkomen die de verplichtingen met betrekking tot bescherming van bedrijfsgeheimen vastleggen. De Europese Commissie zal voor 12 september 2025 met modelcontractvoorwaarden over de bescherming van bedrijfsgeheimen komen.⁵⁸ Welke aanvullende maatregelen verder nodig zijn zal variëren op basis van het betreffende apparaat en de betreffende gegevens en bedrijfsgeheimen. Dit kunnen bijvoorbeeld aanvullende cybersecuritymaatregelen zijn om te voorkomen dat bepaalde gegevens verder worden gedeeld of derden inzicht in de gegevens kunnen krijgen.

5.4. Contractenrecht en consumentenrecht

47. De leden van de GroenLinks-PvdA-fractie willen meer weten over het recht op geïnformeerde toestemming van gebruikers. Deze leden zijn benieuwd hoe dit wordt gerespecteerd met de ingang van de dataverordening. Hoe worden burgers gewezen op het feit dat er nieuwe regels gelden voor het delen van hun gegevens? Wanneer zijn gebruikers volgens de regering op een toegankelijke en duidelijke manier gewezen op de doorgevoerde wijzigingen? Zij wijzen erop dat gebruikers op de hoogte moeten zijn van hun rechten en de mogelijkheid om zich daarop te beroepen.

Het kabinet benadrukt dat de rechten die burgers op grond van de AVG hebben met betrekking tot privacy en gegevensbescherming ook onder de verordening onverminderd van kracht zijn. De verordening bevat in aanvulling daarop verschillende verplichtingen voor aanbieders van producten, gegevenshouders en derden om gebruikers te informeren over het gebruik van gegevens en gegevens alleen te gebruiken voor overeengekomen doeleinden.⁵⁹ De verordening legt daarmee specifieker vast dan nu het geval is hoe gebruikers van verbonden apparaten moeten worden geïnformeerd over de verwerking van gegevens uit verbonden apparaten. Dat vergroot de informatiepositie van gebruikers van verbonden apparaten.

Het is aan de ACM als toezichthouder om te beoordelen of bedrijven aan deze informatieverplichtingen voldoen en bij geschillen is de beoordeling uiteindelijk aan de rechter. Vanuit haar taak als datacoördinator om datageletterdheid te bevorderen zal de ACM zich in brede zin ook inzetten voor communicatie richting eindgebruikers over de mogelijkheden die de verordening biedt.

Voor wijzigingen van voorwaarden wordt aangesloten bij wat ten aanzien van de aanpassing van algemene voorwaarden is geregeld in het consumentenrecht. Elke wijziging van de overeenkomst vereist de geïnformeerde toestemming van de gebruiker. Volgens het Nederlandse recht is daaraan ook voldaan als de gegevenshouder in zijn voorwaarden, waarmee de gebruiker bij het aangaan van de overeenkomst heeft ingestemd, een wijzigingsbeding heeft opgenomen. Daarbij geldt wel de eis dat de wijziging redelijk moet zijn. Ook moeten de nieuwe voorwaarden kenbaar zijn gemaakt aan de gebruiker en moeten zij na de vaste looptijd ingaan. Indien de gegevenshouder zich niet aan deze eisen houdt, kan de gebruiker de aanpassing in de overeenkomst laten vernietigen, waarmee zij ongeldig wordt.

48. De leden van de GroenLinks-PvdA-fractie vragen wat de gevolgen van de dataverordening zijn voor bedrijven die zich onderscheiden door een hogere mate van consumentenbescherming aan te bieden. Het kan zijn dat bedrijven een dienst willen aanbieden die extra waarborgen biedt op het gebied van privacy en gegevensdeling. Kan het zijn dat de keuzevrijheid van gebruikers afneemt doordat de Dataverordening bepaalt dat gegevens deelbaar moeten zijn, ook als een bedrijf zich juist profileert door een hoge mate van (consumenten)bescherming? Is dit risico reëel en zo ja, hoe wordt het ondervangen?

De verordening zorgt dat het voor aanbieders van verbonden apparaten, derden en aanbieders van dataverwerkingsdiensten de norm wordt om transparant te zijn richting gebruikers over gegevensgebruik en gebruikers meer controle te geven over het gebruik van gegevens. Bedrijven kunnen zich binnen die norm nog steeds onderscheiden door een hogere mate van privacy of bescherming te bieden. Bedrijven zullen op verzoek van de gebruiker in sommige gevallen andere partijen toegang tot gegevens moeten geven. Dit belemmert bedrijven niet om hun eigen producten en diensten, inclusief de deling van gegevens met derden, in te richten met een hoger dan voorgeschreven mate van privacy en bescherming.

49. De leden van de GroenLinks-PvdA-fractie waarderen dat de dataverordening probeert om donkere patronen en misleidende ontwerptechnieken worden ingezet om gebruikers te beïnvloeden. Deze leden vragen om uit te leggen wat de gevolgen zijn voor diensten die hier gebruik van maken zodra de dataverordening van kracht is. Betekent dit dat er op afzienbare termijn geen donkere patronen en misleidende ontwerptechnieken meer mogen worden toegepast om gebruikers te beïnvloeden? Zij vragen of u dit kan toelichten aan de hand van het recente besluit van Meta om gebruikersinformatie te gebruiken voor het trainen van een eigen AI-model, waar gebruikers alleen op een omslachtige manier bezwaar tegen konden maken. Is de werkwijze van Meta met terugwerkende kracht in strijd met de dataverordening?

De bepalingen met betrekking tot donkere patronen en misleidende ontwerptechnieken zijn van toepassing op gegevenshouders van gegevens uit verbonden producten en gerelateerde diensten en derden die toegang hebben tot gegevens uit verbonden producten. De diensten die Meta aanbiedt zoals Facebook en Instagram zijn geen aan verbonden producten gerelateerde diensten en Meta komt als poortwachter niet in aanmerking als derde onder hoofdstuk II van de verordening. Deze bepalingen zullen dus in principe niet van toepassing zijn op de diensten waarvan Meta gebruikersinformatie wilde gebruiken. In het algemeen is het niet aan mij om te beoordelen of in een individueel geval sprake is van inbreuk op de verordening. Dat is aan de toezichthouder, in het geval van de verordening de ACM, en bij geschillen uiteindelijk aan de rechter.

50. De leden van de GroenLinks-PvdA-fractie zijn benieuwd hoe de modelcontracten voor gegevensdelingsovereenkomsten tot stand gaan komen. Welke rol heeft de regering samen met de toezichthouders om gebruikers te informeren over dergelijke (Europese) modelovereenkomsten en bij te dragen aan het opstellen daarvan?

De Europese Commissie stelt de modelcontractvoorwaarden en standaardcontractbepalingen op in overleg met experts en belanghebbenden. Het Europees Comité voor Gegevensinnovatie, waaraan ACM deelneemt, kan de Europese Commissie hierin adviseren. Het Comité is voor wat betreft de verordening nog niet van start gegaan. Het ligt in de lijn der verwachting dat de samenwerking op een vergelijkbare manier wordt vormgegeven als bij de Datagovernanceverordening. In dit kader bestaat het Comité uit een algemeen formeel overleg, waarin de Europese Commissie voorstellen kan doen waarover gestemd kan worden door onder andere de ACM. Daarnaast worden in diverse werkgroepen binnen het Comité door toezichthouders, zoals de ACM, afspraken gemaakt op het gebied van bijvoorbeeld interpretatie van wetgeving en procesmatige vraagstukken.

5.5. Staatsnoodrecht

51. De leden van de GroenLinks-PvdA-fractie herhalen de noodzaak om vooraf duidelijkheid te scheppen over de wijze waarop het staatsnoodrecht wordt ingezet met oog op deze verordening. Deze leden ontvangen graag een duidelijke uitleg of een draaiboek voor hoe en op welke momenten de bevoegdheden uit hoofdstuk V worden ingezet, zoals eerder ook beschreven.

Hiervoor verwijs ik u graag naar de beantwoording van vraag 23.

6. Gevolgen

6.1. Regeldruk

52. De leden van de PVV-fractie lezen dat het Adviescollege Toetsing Regeldruk (ATR) het dossier niet heeft geselecteerd voor een formeel advies, omdat de uitvoeringswet zelf geen gevolgen op het gebied van regeldruk zou hebben. Toch stelt de Raad voor de Rechtspraak dat, hoewel de afzonderlijke uitvoeringswetten (i.e.: de Uitvoeringswet datagovernanceverordening, de Uitvoeringswet digitaledienstenverordening en de Uitvoeringswet digitalemarktenverordening) niet per definitie leiden tot een toename van de regeldruk, dit cumulatief met de voorliggende Uitvoeringswet wél tot substantiële werklastverzwaring kan leiden. Deze leden willen graag weten of de regering deze zorg deelt en wat het gaat doen om deze werklastverzwaring tegen te gaan.

Ik erken dat het geheel aan digitale wetgeving effecten met zich mee kan brengen voor de rechtspraak. In zijn advies geeft de Raad voor de Rechtspraak aan voornemens te zijn om de balans hiervan op te maken en daarop nog terug te komen. Ik ben bereid om over dit thema het gesprek aan te gaan met de Raad voor de Rechtspraak.

53. De leden van de GroenLinks-PvdA-fractie vragen de regering om toe te lichten waarop de aannames voor de kosten en baten van de dataverordening zijn gebaseerd. Kan zij een ruwe inschatting maken van de voordelen die deze verordening heeft voor de Nederlandse economie?

De aannames voor de kosten en baten van de verordening zijn gebaseerd op het impact assessment van de Europese Commissie.⁶⁰ In dit impact assessment zijn de kosten en baten niet per land uitgesplist. Redelijkerwijs valt wel te verwachten dat Nederland hier min of meer evenredig in meedeelt. Nederland loopt vergeleken met andere EU-landen voor met betrekking tot digitalisering en specifiek gebruik van clouddiensten.⁶¹ De verordening heeft verschillende voordelen voor de Nederlandse economie. Allereerst ontsluit het voorstel data voor Nederlandse bedrijven waar ze nu nog niet bij kunnen. Denk aan gebruikers van slimme apparaten zoals industriële machines, tractoren en consumentenelektronica. Door de toegangs- en gebruiksrechten die deze partijen krijgen kunnen slimme apparaten makkelijker gerepareerd worden en kunnen Nederlandse bedrijven nieuwe verdienmodellen ontwikkelen. Ook de bepalingen op het gebied van cloud hebben economische voordelen.

54. Krijgt Nederland zelf ook middelen toegewezen door de Europese Commissie om de implementatie bij publieke organisaties en het bedrijfsleven op gang te brengen? Zo ja, hoeveel en hoe gaat de regering deze besteden?

Er zijn vanuit de Europese Commissie geen middelen beschikbaar om implementatie mogelijk te maken. De middelen voor de uitvoering van de verordening komen uit de begrotingen van het Ministerie van Economische Zaken en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

55. De leden van de NSC-fractie vragen in hoeverre de regering ondersteuning of richtsnoeren voorziet voor organisaties die moeten voldoen aan beide wettelijke kaders. Op welke manier wordt gezorgd dat de uitvoering van de dataverordening leidt tot zo min mogelijk onduidelijkheid en verhoogde regeldruk?

Het is aan de toezichthouders om te voorzien in richtsnoeren en communicatie richting ondertoezichtgestelden. In aanloop naar de inwerkingtreding hebben de ministeries van Economische Zaken en Binnenlandse Zaken en Koninkrijksrelaties gezorgd voor communicatie over de verordening om zo eventuele onduidelijkheden weg te nemen. Dit middels onder meer een pagina op ondernemersplein⁶², een webinar en presentaties bij verschillende branche- en belangenverenigingen. Op de samenwerking tussen de ACM en de AP en hun rollen in het toezicht op basis van de verordening en de AVG wordt ingegaan in de beantwoording van vraag 35 en vraag 44.

6.2. Gevolgen/uitvoeringslasten voor overheidsorganisaties

56. De leden van de GroenLinks-PvdA-fractie vragen de regering om duidelijk te maken hoe de hoogte van de aanvullende middelen voor de taken van de ACM en de AP worden vastgesteld. Hierbij brengen zij in herinnering dat toezichthouders regelmatig aangeven dat hun middelen te beperkt zijn om hun wettelijke taak naar behoren uit te voeren.

In de Uitvoerings- en handhavingstoetsen (UHT) die door de ACM en AP zijn gedaan is aangegeven over welke middelen de toezichthouders naar eigen inschatting dienen te beschikken om effectief toezicht te houden op de verordening. Er zijn op incidentele basis in 2024 en 2025 middelen verstrekt aan de ACM en de AP om een effectief toezichtregime in te richten. Vanaf 2026 worden er op structurele basis middelen verstrekt aan de ACM en de AP. Het Ministerie van Economische Zaken zal in lijn met de uitgebrachte UHT's de AP structureel middelen toekennen voor 11 fte en de ACM voor 16,25 fte. Voor het onderdeel van de verordening waar het Ministerie van Binnenlandse Zaken voor verantwoordelijk is (Hoofdstuk V) is met de AP overeengekomen structureel middelen voor 5 fte beschikbaar te stellen. Er zal regelmatig met de toezichthouders worden geëvalueerd of de toegekende middelen afdoende zijn om effectief toezicht op de verordening mogelijk te maken.

57. Kunt de regering toelichten hoe andere lidstaten de hoogte van deze middelen vaststellen en hoe Nederland overeenkomt of afwijkt van die systematiek?

In beginsel maken lidstaten allemaal een eigen keuze over de inrichting van het toezicht op Europese verordeningen wanneer dit toezicht bij de lidstaten wordt belegd. Dat betekent dat lidstaten ook allemaal een eigen systematiek hanteren om vast te stellen hoeveel middelen de aangewezen toezichthouders krijgen. De hoeveelheid beschikbare middelen hangt af van onder andere de nationale economische en politieke context binnen een lidstaat en hangt ook samen met de grootte van het aantal bedrijven dat onder het toezicht valt. Aangezien er geen eenduidige systematiek is kan Nederland daar ook niet mee overeenkomen of afwijken.

58. De leden van de D66-fractie lezen dat de ministeries van Economische Zaken en Binnenlandse Zaken en Koninkrijksrelaties zorg zullen dragen voor de structurele financiering van de uitvoering en handhaving van de verordening. Deze leden vragen in hoeverre de AP op dit moment al over voldoende middelen beschikt om haar taken in algemene zin en onder deze verordening — met name toezicht op internationale datastromen en overheidsverzoeken — effectief uit te voeren. Welke ordegrootte aan structurele middelen is nodig en op welke termijn wordt hierover duidelijkheid geboden?

De AP heeft in haar UHT aangegeven over hoeveel middelen zij naar eigen zeggen dient te beschikken om effectief toezicht te houden op de verordening. Hierbij gaat het specifiek om middelen voor het toezicht op de verordening en niet om middelen in algemene zin, bijvoorbeeld voor het toezicht op de AVG.

Het Ministerie van Economische Zaken is met de AP overeengekomen om in lijn met de UHT structureel middelen toe te kennen voor 11 fte. Het Ministerie van Binnenlandse Zaken is met AP overeengekomen structureel middelen voor 5 fte beschikbaar te stellen. Deze hoeveelheid extra medewerkers is nodig om toezicht te houden, voorlichting te kunnen geven, (internationale) onderzoeken uit te voeren, te handhaven, klachten op te pakken en samen te werken met de ACM.

Er is duidelijkheid geboden aan de AP dat deze middelen structureel ter beschikking worden gesteld. Het is de verwachting dat deze hoeveelheid fte voldoende is om de taken op basis van de beoogde Uitvoeringswet dataverordening te vervullen.

7. Evaluatie

59. De leden van de GroenLinks-PvdA-fractie willen weten of de regering een deadline hanteert voor de uiterlijke publicatie van de nationale evaluatie.

Het kabinet zal voorafgaand aan de evaluatie van de Europese Commissie de verordening en de uitvoeringswet evalueren. De Europese Commissie zal uiterlijk 12 september 2028 verslag uitbrengen over de evaluatie. Ik verwacht rond die tijd ook aan de Kamer te kunnen rapporteren wat er uit de nationale evaluatie is gekomen.

8. Advies en consultatie

8.1. Internetconsultatie

60. De leden van de GroenLinks-PvdA-fractie delen de zorgen over grijze gebieden in de normuitleg. Er zijn wel degelijk situaties waarin een uitleg vanuit het privacyperspectief kan botsen met een uitleg vanuit commercieel perspectief. De dataverordening dient beide belangen. Dient de dataverordening volgens u overwegend het belang van rechtsbescherming, of commercie? Verwacht u dat deze afweging wordt doorvertaald in de normuitleg die de toezichthouders hanteren? Zij waken ervoor dat pas achteraf duidelijk wordt hoe bepaalde definities worden uitgelegd zodra er precedent is geschept. Onzekerheden over de normuitleg tast namelijk de positie van beide toezichthouders aan, omdat zij verantwoordelijk worden voor keuzes die wat deze leden betreft politiek zijn. Daarom vragen deze leden om bij de toezichthouders na te gaan of dit risico naar hun oordeel voldoende is weggenomen.

Het kabinet wil in het licht van de vraag van deze leden benadrukken dat rechtsbescherming en handelsbevordering geen tegenstrijdige beleidsdoelen zijn. Vaak gaan deze concepten zelfs hand in hand. Zo draagt wetgeving op het gebied van consumentenbescherming bij aan rechtsbescherming en daarmee ook aan een groter vertrouwen van consumenten in onze economie en markten. Dat komt onze economie ook ten goede.

De verordening doet geen afbreuk aan de AVG. Bescherming van persoonsgegevens is juist een voorwaarde die in de verordening is ingebouwd. In dit licht is de verordening bij uitstek regelgeving die bijdraagt aan doelstellingen op zowel het gebied van rechtsbescherming als handelsbevordering. Om recht te doen aan deze samenloop is dan ook bewust gekozen voor een combinatie van toezicht door de ACM en de AP.

De gekozen manier van samenwerken tussen de ACM en de AP is in nauwe samenwerking met de toezichthouders vastgelegd. Zoals toegelicht in de beantwoording van vraag 35 en vraag 44 is hierbij bewust om de toezichthouders deze samenwerking zelf vorm te laten geven. De ACM en de AP werken momenteel aan een nieuw samenwerkingsprotocol voor het toezicht op deze verordening. Het toezicht op de verordening zal regelmatig met de toezichthouders worden besproken. Het kabinet zal daarin ook dit punt over belangenafweging bij normuitleg meenemen.

61. De leden van de NSC-fractie vragen de regering om een nadere uitleg over de samenhang met de AVG. In hoeverre voorziet de regering mogelijke overlappingen of spanningen tussen de verplichtingen uit de rataverordening en de AVG, bijvoorbeeld bij het delen van gegevens die (deels) persoonsgegevens bevatten? Hoe wordt geborgd dat de toepassing van de dataverordening niet leidt tot strijd met privacyregels of tot onbedoelde schending van rechten van betrokkenen?

Hiervoor verwijs ik deze leden graag naar de beantwoording van vraag 44. Juridisch is de verhouding tussen de verordening en de AVG dat de AVG onverlet van toepassing is. Om dit goed in de praktijk te brengen zullen de ACM en de AP intensief moeten samenwerken. De ACM en de AP werken momenteel aan een vernieuwd samenwerkingsprotocol om dat vorm te geven.

8.2. Uitvoerbaarheid- en handhaafbaarheidstoets ACM

62. De leden van de GroenLinks-PvdA-fractie vernemen graag of de tekstuele wijzigingen in de Nederlandse versie van de dataverordening inmiddels zijn doorgevoerd.

De door de ACM voorgestelde tekstuele wijzigingen om vertaalfouten te adresseren worden door het kabinet overgebracht aan de Europese Commissie. Het kabinet wacht de reactie van de Europese Commissie daarop af. In principe worden alleen fouten gecorrigeerd als zij kunnen leiden tot een foutieve interpretatie van de tekst.

8.3. Uitvoerbaarheid- en handhaafbaarheidstoets AP

63. De leden van de GroenLinks-PvdA-fractie verwachten dat de taken van de AP zullen vereisen dat er meer middelen beschikbaar worden gesteld door de ministeries van Economische Zaken en Binnenlandse Zaken en Koninkrijksrelaties. Deze leden vragen waarom deze niet vooraf gedekt kunnen worden met een structurele verhoging van het budget, met de kennis dat de AP al jarenlang kampt met een financieringsprobleem.

Het kabinet kent de AP structureel extra middelen toe om de verordening uit te voeren. De beantwoording van vraag 56 en vraag 58 gaan in op de hoogte van de toegekende middelen en hoe deze is bepaald.

8.4. Wetgevingstoets AP

64. De leden van de GroenLinks-PvdA-fractie vinden het opmerkelijk dat de voorstellen van de AP niet worden gehonoreerd. Als toezichthouder die uiteindelijk moet toezien op de wet, weegt het advies van de AP zwaar. Heeft de regering overwogen om de bepalingen wel op te nemen of heeft u alternatieve oplossingen onderzocht? Zo ja, kunnen deze beschreven worden? Kan de regering bij de AP bevestigen dat hun bezwaren nu naar wens zijn weggenomen?

De AP heeft naar aanleiding van het verslag van uw Kamer aangegeven geen bezwaren te hebben tegen het wetsvoorstel zoals dat nu voorligt in uw Kamer en ziet haar toezichttaak als goed uitvoerbaar. De AP heeft eerder in haar wetgevingstoets en UHT aangegeven bezwaar te hebben tegen het voorgestelde artikel uit de Uitvoeringswet over de samenwerking tussen de ACM en de AP waar er sprake is van verwerking van persoonsgegevens. In de beantwoording van vraag 35 en vraag 44 ga ik in op de samenwerking tussen de AP en de ACM en waarom die is vormgegeven zoals beoogd in de uitvoeringswet. Dit is in nauw overleg met de AP en de ACM tot stand gekomen. Ook paragraaf 8.4 van de memorie van toelichting gaat uitgebreid in op de overwegingen naar aanleiding van de toetsen die AP heeft uitgevoerd.

8.5. Advies Raad voor de Rechtspraak

65. De leden van de GroenLinks-PvdA-fractie vragen om na te gaan bij de Raad voor de Rechtspraak of het derde punt dat zij heeft meegegeven met uw uitleg voldoende is afgedaan. Deze leden betwijfelen of dit grijze gebied overlaten aan de normuitleg van toezichthouders niet te voorkomen is door vooraf al een norm vast te stellen en dit per wet of in de memorie van toelichting te bekrachtigen. Heeft de regering dit overwogen, en waarom kiest zij ervoor de normuitleg over te laten aan de toezichthouders? Bovendien vragen de leden om welwillend te staan tegenover het toekennen van middelen voor de Raad voor de Rechtspraak, in het geval dat blijkt dat er extra middelen nodig zijn voor alle taken rondom digitale wetgeving.

In reactie op de vraag van deze leden of het derde punt uit het advies voldoende is afgedaan stelt de Raad voor de Rechtspraak dat omwille van de leesbaarheid hij verdere verduidelijking aanraadt, maar dat het aan de wetgever is de adviezen wel of niet over te nemen. De Raad heeft aangegeven dat dit geen onoverkomelijk punt betreft. De mogelijke dubbele rol van een aanbieder van een verbonden product die tevens gegevenshouder is volgt rechtstreeks uit de verordening. Aangezien de verordening een geharmoniseerd kader betreft mogen lidstaten geen aanvullende nationale voorschriften vaststellen of handhaven over aangelegenheden die binnen het toepassingsgebied van de verordening vallen, tenzij dat uitdrukkelijk is bepaald.⁶³ Daarom kan er niet in de Nederlandse uitvoeringswet een andere invulling van deze rollen worden vastgelegd dan in de verordening. Het kabinet heeft dit dus ook niet overwogen. Het is aan de toezichthouder, in dit geval de ACM, om de normen uit de verordening uit te leggen en toe te passen.

Zoals aangegeven in de beantwoording van vraag 52 ben ik bereid in gesprek te gaan met de Raad voor de Rechtspraak over de effecten van het geheel aan digitale wetgeving op de rechtspraak.

66. De leden van de NSC-fractie merken op dat de memorie van toelichting geen nadere invulling wordt gegeven aan de begrippen ‘uitzonderlijke omstandigheden’ en ‘ernstige economische schade’ zoals genoemd in artikel 4, achtste lid en artikel 5, elfde lid van de verordening. Dit ondanks een verzoek van de Raad voor de Rechtspraak. Deze leden willen de regering verzoeken om een toelichting op deze keuze te geven. Waarom is ervoor gekozen geen verdere duiding aan deze begrippen te geven, en acht het kabinet dit in lijn met het streven naar rechtszekerheid?

De Raad voor de Rechtspraak vraagt om verduidelijking hoe ‘uitzonderlijke omstandigheden’ en ‘ernstige economische schade’ kunnen worden vastgesteld als een partij zowel aanbieder van een verbonden product als gegevenshouder is. Daarmee vraagt de Raad voor de Rechtspraak niet om verduidelijking van de termen zelf. Op dit punt uit het advies van de Raad voor de Rechtspraak ga ik in de beantwoording van vraag 65 in. De termen ‘uitzonderlijke omstandigheden’ en ‘ernstige economische schade’ worden in overweging 31 van de verordening nader toegelicht. Hier ga ik in de beantwoording van vraag 14 op in. Er kan niet in de Nederlandse uitvoeringswet een andere invulling van deze termen worden vastgelegd dan in de verordening.

9. Overgangsrecht en inwerkingtreding

67. De leden van de GroenLinks-PvdA-fractie willen weten wat de verwachting is voor wanneer de nationale wet in werking kan treden. Deze leden twijfelen of 12 september 2025 haalbaar is. Welke gevolgen zijn er als deze niet tijdig in werking treedt? Betekent dit dat de toezichthouders geen taken kunnen uitvoeren rondom de Dataverordening? Zijn de deadlines van 12 september 2026 en 12 september 2027 nog haalbaar als de wet niet op tijd wordt doorgevoerd?

De regels uit de verordening treden hoe dan ook in werking op 12 september 2025. Als de uitvoeringswet dan nog niet in werking is getreden hebben de toezichthouders geen bevoegdheden om toezicht te houden en de naleving van de verordening te handhaven. Zij kunnen dan onder andere geen formele onderzoeken starten, klachten in behandeling nemen of sancties opleggen. Ook voordat de uitvoeringswet is werking is getreden, maar wel na inwerkingtreding van de verordening, kunnen geschillen over naleving van de verordening al worden voorgelegd aan een gecertificeerd geschillenbeslechtingsorgaan of aan de rechter. De deadlines van 12 september 2026 en 12 september 2027 zoals in de verordening opgenomen staan vast en kunnen niet worden verschoven.

Het kabinet heeft zich tot het uiterste ingespannen gedaan om het voorstel voor de uitvoeringswet zo snel mogelijk met de betrokken partijen af te stemmen en vervolgens aan uw Kamer te doen toekomen. Het kabinet waardeert dat uw Kamer de behandeling van het wetsvoorstel zo voortvarend heeft opgepakt. In lijn met de voortvarende aanpak van uw Kamer heb ik ook de beantwoording van de vragen zo snel mogelijk ter hand genomen. Gezien de aankomende inwerkingtreding van de regels uit de verordening hoopt het kabinet dat dat deze voortvarende lijn kan worden voortgezet bij de verdere behandeling, die dan hopelijk spoedig kan worden afgerond.

OVERIG

68. De leden van de PVV-fractie constateren dat in de beantwoording op vragen uit de Eerste Kamer⁶⁴, op pagina 14, de minister toezegde het parlement op de gebruikelijke momenten en conform de afspraken te zullen informeren over het onderhandelingsproces op de dataverordening, waarin ook zou worden ingegaan op de voortgang met betrekking tot de bevoegdheid voor publieke instanties om data op te vragen in geval van “uitzonderlijke noodzaak”. Graag zouden deze leden de hieraan gelieerde stukken willen ontvangen.

De toegezegde stukken zijn reeds verzonden aan uw Kamer in het verslag van de formele Telecomraad van 6 december 2022⁶⁵, de Kamerbrief Voortgang onderhandelingen Dataverordening⁶⁶ en de geannoteerde agenda van de formele Telecomraad van 2 juni 2023.⁶⁷

69. Tot slot hebben de leden van de PVV-fractie kennisgenomen van de oproep uit het Rapport van Draghi om de overregulering aan te pakken die innovatie in de weg staat. Constaterende dat de vrees bestaat dat de dataverordening juist innovatie in de weg staat door derde partijen eenvoudiger toegang te verlenen tot data van concurrenten, waardoor het verdienmodel aangetast wordt en daarmee de daaruit voortvloeiende budgetten die innovatie mogelijk maken, willen deze leden graag weten of de minister het kabinetsstandpunt zal innemen dat ook de dataverordening heroverwogen dient te worden en wat de minister gaat doen om dit standpunt uit te dragen bij de Europese Commissie.

Zoals in de kabinetsreactie op het Draghi-rapport uiteengezet zet het kabinet zich in voor het verminderen van regeldruk voor bedrijven en ondernemers, zodat ruimte ontstaat voor innovaties die kunnen bijdragen aan een duurzamere toekomst.⁶⁸ Het kabinet ziet de verordening vooral als kans om innovaties op het gebied van datagebruik en clouddiensten mogelijk te maken, en ziet geen aanleiding het standpunt van deze leden dat de verordening over te nemen moet worden heroverwogen.

De Minister van Economische Zaken,

---

1. Kamerstukken II 2018/19, 26643, nr. 594.↩︎

2. Kamerstukken II 2017/18, 26643, nr. 541.↩︎

3. Mededeling van de Europees Commissie van 19 februari 2020 over een Europese datastrategie (de “Europese datastrategie”) COM(2020)66.↩︎

4. Mededeling van de Europees Commisise van 19 februari 2020 over een Europese datastrategie (de “Europese datastrategie”) COM(2020)66.↩︎

5. ISO/IEC DIS 20151 - Information technology — Cloud computing and distributed platforms — Dataspace concepts and characteristics↩︎

6. Kamerstukken II 2021/22, 22112, nr. 3395.↩︎

7. SWIPO (Switching Cloud Providers and Porting Data) is een door de Commissie gefaciliteerd initiatief dat vrijwillige gedragscodes ontwikkelt voor het overdragen van data en wisselen tussen dataverwerkingsdiensten↩︎

8. Kamerstukken II 2022/23, 21501-33, nr. 1008.↩︎

9. Memorie van toelichting, pagina 7.↩︎

10. Kamerstuk 22 112, nr. 3411↩︎

11. De verordening heeft het over micro- of kleine bedrijven zoals aangemerkt in artikel 3 van de bijlage bij Aanbeveling 2003/361/EG.↩︎

12. De verordening heeft het over middelgrote, micro- of kleine bedrijven zoals aangemerkt in artikel 3 van de bijlage bij Aanbeveling 2003/361/EG.↩︎

13. Kamerstukken II 2022/23, 21501-33, nr. 1008.↩︎

14. Artikelen 3, eerste lid, en 4, eerste lid, van de verordening.↩︎

15. Artikel 3, derde lid, onderdeel c, van de verordening.↩︎

16. Artikel 5, eerste lid, van de verordening.↩︎

17. Artikelen 5, vijfde lid, en 6 van de verordening.↩︎

18. Artikelen 4, achtste lid, en 5, elfde lid, van de verordening.↩︎

19. Voor de definitie van bedrijfsgeheim zie artikel 2, punt 18, van de verordening jo. artikel 2, punt 1, van Richtlijn (EU) 2016/943. Die definitie is geïmplementeerd in artikel 1 van de Wet bescherming bedrijfsgeheimen.↩︎

20. Kamerstukken II 2018/19, 26643, nr. 594.↩︎

21. Artikelen 7, tweede lid, 8, tweede lid, en 12, tweede lid, van de verordening.↩︎

22. Artikelen 3, eerste lid, 4, eerste, vierde, dertiende en veertiende lid, en 6 van de verordening.↩︎

23. De verordening heeft het over micro- of kleine bedrijven zoals aangemerkt in artikel 3 van de bijlage bij Aanbeveling 2003/361/EG.↩︎

24. Kamerbrief over start van IPCEI Cloud Infrastructure and Services (CIS) | Kamerstuk | Rijksoverheid.nl↩︎

25. Artikel 14 in samenhang met artikel 15, eerste lid, onderdeel a, van de verordening.↩︎

26. Als bedoeld in artikel 15 van de verordening (en meer specifiek een algemene noodsituatie als bedoeld in het eerste lid, onderdeel a, daarvan).↩︎

27. Artikel 17, eerste lid, onderdeel b, in samenhang met artikel 18, tweede lid, onderdeel c, van de verordening.↩︎

28. Artikel 17, eerste lid, onderdeel c, van de verordening.↩︎

29. Artikel 17, eerste lid, onderdeel h, van de verordening.↩︎

30. Artikel 18, tweede lid, onderdeel c, van de verordening.↩︎

31. Artikel 18, vierde lid, van de verordening.↩︎

32. Kamerstuk 22112, nr. 3411.↩︎

33. Kamerstukken II 2024/25, 36574, nr. 3.↩︎

34. Amazon AWS Joins Google Cloud In Removing Egress Costs↩︎

35. Kamerbrief over start van IPCEI Cloud Infrastructure and Services (CIS) | Kamerstuk | Rijksoverheid.nl↩︎

36. Kamerstukken II 2024/25, 36574, nr. 3.↩︎

37. Met de term norm worden zowel normen als standaarden bedoeld.↩︎

38. Nieuwe Europese normalisatiegroep voor data en cloud.↩︎

39. Verordening (EU) 2024/903 van het Europees Parlement en de Raad van 13 maart 2024 tot vaststelling van maatregelen voor een hoog niveau van interoperabiliteit van de overheidssector in de Unie (verordening Interoperabel Europa).↩︎

40. Kamerstukken II 2023/24, 36451, nr. 4, onderdeel 3, onder a.↩︎

41. Artikel 37, derde lid, van de verordening.↩︎

42. Het begrip «klacht» heeft in de verordening een autonome betekenis, die moet worden onderscheiden van het begrip «klacht» in de Algemene wet bestuursrecht (hierna: Awb). Zie paragraaf 4.2 van de memorie van toelichting.↩︎

43. Staatscourant 2023, 15184 | Overheid.nl > Officiële bekendmakingen↩︎

44. Focus op digitale economie | ACM↩︎

45. Reactie AP op evaluatie aan voorzitter Tweede Kamer | Autoriteit Persoonsgegevens↩︎

46. Kamerstukken II 2023/24, 36451, nr. 4, onderdeel 3, onder a.↩︎

47. Kamerstukken II 2023/24, 36451, nr. 4, onderdeel 3, onder a.↩︎

48. Kamerstukken II 2022/23, 21501-33, nr. 1008.↩︎

49. https://www.edpb.europa.eu/system/files/2025-01/edpb_guidelines_202501_pseudonymisation_en.pdf↩︎

50. https://www.edpb.europa.eu/system/files/2024-10/edpb_work_programme_2024-2025_en.pdf↩︎

51. Zie paragrafen 4.2 en 8.3 van de memorie van toelichting.↩︎

52. Kamerstukken II 2023/24, 36451, nr. 4, onderdeel 3, onder a.↩︎

53. Verordening (EU) 2018/1807 van het Europees Parlement en de Raad van 14 november 2018 inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie.↩︎

54. Richtlijn (EU) 2019/1024 van het Europees Parlement en de Raad van 20 juni 2019 inzake open data en het hergebruik van overheidsinformatie.↩︎

55. Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148↩︎

56. Verordening (EU) 2024/2847 van het Europees Parlement en de Raad van 23 oktober 2024 betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen en tot wijziging van Verordeningen (EU) nr. 168/2013 en (EU) 2019/1020 en Richtlijn (EU) 2020/1828 (Verordening cyberweerbaarheid)↩︎

57. Artikelen 4, zesde lid, en 5, negende lid, van de verordening.↩︎

58. Zie artikel 41 van de verordening.↩︎

59. Artikelen 3, tweede en derde lid, en 6, eerste lid, van de verordening.↩︎

60. Impact Assessment report and support studies accompanying the Proposal for a Data Act | Shaping Europe’s digital future↩︎

61. De Europese Commissie (2024) the Digital Economy and Society Index 2024, zie DESI dashboard for the Digital Decade (2023 onwards) - Digital Decade DESI visualisation tool↩︎

62. Data Act: eerlijke toegang tot gegevens voor burgers, bedrijven en overheden | Ondernemersplein↩︎

63. Zie overweging 4 van de verordening.↩︎

64. Kamerstuk 36127, nr. B↩︎

65. Kamerstukken II 2022/23, 21501-30, nr. 1001.↩︎

66. Kamerstukken II 2022/23, 21501-30, nr. 1008.↩︎

67. Kamerstukken II 2022/23, 21501-30, nr. 1029.↩︎

68. Kamerstukken II 2024/25, 21501-30, nr. 614.↩︎