keyboard_tab Data Act 2023/2854 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artikel 4 De rechten en plichten van gebruikers en gegevenshouders wat betreft het raadplegen, gebruiken en beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst
- 2 Artikel 5 Het recht van de gebruiker om gegevens te delen met derden
- 1 Artikel 14 Verplichting om gegevens beschikbaar te stellen op grond van uitzonderlijke noodzaak
- 1 Artikel 17 Verzoeken om gegevens beschikbaar te stellen
- 1 Artikel 18 Naleving van verzoeken om gegevens
- 1 Artikel 22 Wederzijdse bijstand en grensoverschrijdende samenwerking
- 1 Artikel 25 Contractvoorwaarden betreffende een overstap
- 2 Artikel 33 Essentiële eisen inzake interoperabiliteit van gegevens, van mechanismen en diensten voor het delen van gegevens alsook van gemeenschappelijke Europese dataruimten
- 2 Artikel 35 Interoperabiliteit voor dataverwerkingsdiensten
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
DELEN VAN GEGEVENS TUSSEN BEDRIJVEN EN CONSUMENTEN EN TUSSEN BEDRIJVEN ONDERLING
HOOFDSTUK III
VERPLICHTINGEN VOOR GEGEVENSHOUDERS DIE KRACHTENS HET UNIERECHT VERPLICHT ZIJN OM GEGEVENS BESCHIKBAAR TE STELLEN
HOOFDSTUK IV
ONEERLIJKE CONTRACTUELE BEDINGEN MET BETREKKING TOT DE TOEGANG TOT EN HET GEBRUIK VAN GEGEVENS TUSSEN ONDERNEMINGEN
HOOFDSTUK V
GEGEVENS BESCHIKBAAR STELLEN AAN OVERHEIDSINSTANTIES, DE COMMISSIE, DE EUROPESE CENTRALE BANK EN ORGANEN VAN DE UNIE OP GROND VAN UITZONDERLIJKE NOODZAAK
HOOFDSTUK VI
OVERSTAPPEN NAAR EEN ANDERE DATAVERWERKINGSDIENST
HOOFDSTUK VII
INTERNATIONALE OVERHEIDSTOEGANG EN OVERDRACHT VAN NIET-PERSOONSGEBONDEN GEGEVENS
HOOFDSTUK VIII
INTEROPERABILITEIT
HOOFDSTUK IX
UITVOERING EN HANDHAVING
HOOFDSTUK X
SUI-GENERIS-RECHT KRACHTENS RICHTLIJN 96/9/EG
HOOFDSTUK XI
SLOTBEPALINGEN
- gegevens 116
- voor 65
- artikel 64
- gegevenshouder 64
- verzoek 41
- door 40
- commissie 39
- zijn 38
- gebruiker 38
- niet 38
- worden 37
- overeenkomstig 36
- wordt 35
- europese 29
- derde 28
- grond 27
- indien 27
- naar 26
- lid 24
- stellen 24
- unie 23
- delen 22
- dataverwerkingsdiensten 21
- beschikbaar 20
- andere 20
- bedoelde 19
- centrale 19
- bank 19
- geval 19
- eisen 19
- stelt 18
- technische 17
- verordening 17
- klant 17
- autoriteit 16
- bevoegde 16
- kennis 16
- normen 16
- geen 16
- overheidsinstantie 16
- lidstaat 15
- daarvan 15
- onverwijld 15
- maatregelen 15
- geharmoniseerde 15
- deze 14
- zoals 14
- orgaan 14
- gemeenschappelijke 14
- heeft 14
Artikel 4
De rechten en plichten van gebruikers en gegevenshouders wat betreft het raadplegen, gebruiken en beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst
1. Indien de gebruiker geen rechtstreekse toegang heeft tot de gegevens via het verbonden product of de gerelateerde dienst, stellen gegevenshouders de eenvoudig beschikbare gegevens, alsook de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onmiddellijk, met dezelfde kwaliteit als de voor de gegevenshouder beschikbare gegevens, gemakkelijk, veilig, kosteloos, in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat ter beschikking van de gebruiker, voor zover dat relevant en technisch haalbaar is, en gebeurt deze terbeschikkingstelling continu en in realtime. Voor zover technisch haalbaar, gebeurt dit op eenvoudig elektronisch verzoek.
2. Gebruikers en gegevenshouders kunnen de toegang tot gegevens of het gebruik of verder delen daarvan contractueel beperken of verbieden indien een dergelijke verwerking de beveiligingsvereisten van het verbonden product, zoals vastgesteld in het Unie- of nationaal recht, zou kunnen ondermijnen, met ernstige negatieve gevolgen voor de gezondheid, veiligheid of beveiliging van natuurlijke personen. De sectorale autoriteiten kunnen in dat verband gebruikers en houders van gegevens technische expertise verstrekken. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit artikel, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.
3. Onverminderd het recht van de gebruiker om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan de gebruiker met betrekking tot elk geschil met de gegevenshouder over de in lid 2 bedoelde contractuele beperkingen of verboden:
| a) | overeenkomstig artikel 37, lid 5, punt b), een klacht indienen bij de bevoegde autoriteit, of |
| b) | met de gegevenshouder overeenkomen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1. |
4. Gegevenshouders maken het maken van keuzes of de uitoefening van de rechten op grond van dit artikel van gebruikers niet onnodig moeilijk door bijvoorbeeld de keuzemogelijkheden voor de gebruiker op een niet-neutrale manier te presenteren of door de autonomie, besluitvorming of vrije keuze van de gebruikers te ondermijnen of te belemmeren via de structuur, het ontwerp, de functie of de gebruikswijze van een digitale gebruikersinterface of een deel daarvan.
5. Om na te gaan of een natuurlijke of rechtspersoon als gebruiker op grond van lid 1 kan worden aangemerkt, mag een gegevenshouder van die persoon niet verlangen dat die persoon informatie verstrekt die verder gaat dan nodig is. Gegevenshouders bewaren geen informatie, met name loggegevens, over de toegang van de gebruiker tot de gevraagde gegevens die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de gebruiker en voor de beveiliging en het onderhoud van de data-infrastructuur.
6. Bedrijfsgeheimen worden bewaard en worden alleen bekendgemaakt op voorwaarde dat de gegevenshouder en de gebruiker voorafgaand aan de bekendmaking alle noodzakelijke maatregelen nemen om de vertrouwelijkheid ervan te waarborgen, met name ten aanzien van derden. De gegevenshouder, of de houder van het bedrijfsgeheim wanneer deze niet de gegevenshouder is, identificeert de gegevens die als bedrijfsgeheim worden beschermd, onder meer in de relevante metagegevens, en komt met de gebruiker evenredige technische en organisatorische maatregelen overeen, zoals modelcontractvoorwaarden, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes, die noodzakelijk zijn om de vertrouwelijkheid van de gedeelde gegevens te waarborgen, met name ten aanzien van derden.
7. Indien er geen overeenstemming wordt bereikt over de in lid 6 bedoelde noodzakelijke maatregelen, of indien de gebruiker de op grond van lid 6 overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, kan de gegevenshouder het delen van als bedrijfsgeheim aangemerkte gegevens tegenhouden of, naargelang van het geval, opschorten. Het besluit van de gegevenshouder wordt naar behoren gemotiveerd en onverwijld schriftelijk aan de gebruiker meegedeeld. In dergelijke gevallen stelt de gegevenshouder de op grond van artikel 37 aangewezen bevoegde autoriteit in kennis van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en vermeldt hij welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd.
8. In uitzonderlijke omstandigheden, wanneer de gegevenshouder die houder is van een bedrijfsgeheim kan aantonen dat hij door de bekendmaking van bedrijfsgeheimen, ondanks de door de gebruiker op grond van lid 6 van dit artikel genomen technische en organisatorische maatregelen, zeer waarschijnlijk ernstige economische schade zal lijden, kan die gegevenshouder per geval een verzoek om toegang tot de specifieke gegevens in kwestie weigeren. Dat bewijs wordt naar behoren onderbouwd op basis van objectieve elementen, met name de afdwingbaarheid van de bescherming van bedrijfsgeheimen in derde landen, de aard en het niveau van vertrouwelijkheid van de gevraagde gegevens, en de mate waarin het om een uniek en nieuw verbonden product gaat, en wordt onverwijld schriftelijk aan de gebruiker verstrekt. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit lid, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.
9. Onverminderd het recht van een gebruiker om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan een gebruiker het besluit van een gegevenshouder om het delen van gegevens op grond van de leden 7 en 8 te weigeren, tegen te houden of op te schorten aanvechten door:
| a) | overeenkomstig artikel 37, lid 5, punt b), een klacht in te dienen bij de bevoegde autoriteit, die onverwijld beslist of en onder welke voorwaarden het delen van gegevens aanvangt of wordt hervat, of |
| b) | met de gegevenshouder overeen te komen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1. |
10. De gebruiker mag gegevens die zijn verkregen naar aanleiding van een in lid 1 bedoeld verzoek niet gebruiken om een verbonden product te ontwikkelen dat concurreert met het verbonden product waaruit de gegevens afkomstig zijn, noch met datzelfde oogmerk gegevens delen met een derde, en mag die gegevens evenmin gebruiken om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van de fabrikant of, in voorkomend geval, de gegevenshouder.
11. De gebruiker mag geen dwangmiddelen gebruiken of misbruik maken van leemten in de technische infrastructuur van een gegevenshouder die bedoeld is om de gegevens te beschermen, teneinde toegang tot gegevens te verkrijgen.
12. Indien de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, worden persoonsgegevens die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd, door de gegevenshouder alleen ter beschikking gesteld van de gebruiker indien er een geldige rechtsgrond voor verwerking bestaat uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG wordt voldaan.
13. Een gegevenshouder gebruikt alleen eenvoudig beschikbare gegevens die niet-persoonsgebonden gegevens zijn op basis van een overeenkomst met de gebruiker. Een gegevenshouder gebruikt dergelijke gegevens niet om inzichten in de economische situatie, de activa of de productiemethoden van de gebruiker of het gebruik van het product of de dienst door de gebruiker te verwerven, op enige andere wijze die de commerciële positie van die gebruiker op de markten waarop deze actief is, zouden kunnen ondermijnen.
14. Gegevenshouders stellen niet-persoonsgebonden productgegevens niet beschikbaar aan derden voor andere commerciële of niet-commerciële doeleinden dan de uitvoering van hun overeenkomst met de gebruiker. In voorkomend geval verplichten gegevenshouders derden er contractueel toe de van hen ontvangen gegevens niet verder te delen.
Artikel 5
Het recht van de gebruiker om gegevens te delen met derden
1. Op verzoek van een gebruiker of van een namens een gebruiker optredende partij stelt de gegevenshouder eenvoudig beschikbare gegevens, alsmede de desbetreffende metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onmiddellijk, met dezelfde kwaliteit als de voor de gegevenshouder beschikbare gegevens, gemakkelijk, veilig, kosteloos voor de gebruiker, in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat ter beschikking van een derde partij, en gebeurt deze terbeschikkingstelling voor zover dat relevant en technisch haalbaar is continu en in realtime. De gegevens worden door de gegevenshouder beschikbaar gesteld aan de derde overeenkomstig de artikelen 8 en 9.
2. Lid 1 is niet van toepassing op eenvoudig beschikbare gegevens in het kader van het testen van nieuwe verbonden producten, stoffen of processen die nog niet in de handel zijn gebracht, tenzij hun gebruik door een derde contractueel is toegestaan.
3. Een onderneming die overeenkomstig artikel 3 van Verordening (EU) 2022/1925 als poortwachter is aangewezen, is geen in aanmerking komende derde uit hoofde van dit artikel en mag derhalve niet:
| a) | een gebruiker op enigerlei wijze vragen of commercieel stimuleren, onder meer door financiële of andere vergoedingen te bieden, om gegevens die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1, beschikbaar te stellen voor een van zijn diensten; |
| b) | een gebruiker verzoeken of commercieel stimuleren om de gegevenshouder te verzoeken gegevens beschikbaar te stellen voor een van zijn diensten overeenkomstig lid 1 van dit artikel; |
| c) | van een gebruiker gegevens ontvangen die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1. |
4. Om na te gaan of een natuurlijke of rechtspersoon voor de toepassing van lid 1 kan worden aangemerkt als gebruiker of als derde, mag van de gebruiker of de derde niet worden verlangd dat hij informatie verstrekt die verder gaat dan nodig is. Gegevenshouders bewaren geen informatie over de toegang van de derde tot de gevraagde gegevens die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de derde en voor de beveiliging en het onderhoud van de data-infrastructuur.
5. De derde mag geen dwangmiddelen gebruiken of misbruik maken van leemten in de technische infrastructuur van een gegevenshouder die bedoeld is om de gegevens te beschermen, teneinde toegang tot gegevens te verkrijgen.
6. Een gegevenshouder mag geen eenvoudig beschikbare gegevens gebruiken om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van of het gebruik door de derde op enige andere wijze die de commerciële positie van de derde op de markten waarop de derde actief is, zou kunnen ondermijnen, tenzij de derde voor dat gebruik toestemming heeft verleend en de technische mogelijkheid heeft om die toestemming te allen tijde gemakkelijk in te trekken.
7. Wanneer de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, worden persoonsgegevens die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd alleen door de gegevenshouder ter beschikking gesteld van de derde indien er een geldige rechtsgrond voor verwerking bestaat uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG is voldaan.
8. Het verzuim van de gegevenshouder en de derde om regelingen voor het doorgeven van de gegevens overeen te komen, mag de uitoefening van de rechten van het datasubject uit hoofde van Verordening (EU) 2016/679 en met name het recht op overdraagbaarheid van gegevens uit hoofde van artikel 20 van die verordening, niet belemmeren, beletten of verstoren.
9. Bedrijfsgeheimen worden alleen bewaard en bekendgemaakt aan derden voor zover deze openbaarmaking strikt noodzakelijk is om het tussen de gebruiker en de derde overeengekomen doel te verwezenlijken. De gegevenshouder, of de houder van het bedrijfsgeheim indien deze niet de gegevenshouder is, identificeert de gegevens die als bedrijfsgeheim worden beschermd, onder meer in de relevante metagegevens, en komt met de derde alle evenredige technische en organisatorische maatregelen overeen die noodzakelijk zijn om de vertrouwelijkheid van de gedeelde gegevens te waarborgen, zoals modelcontractvoorwaarden, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes.
10. Indien er geen overeenstemming is over de in lid 9 van dit artikel bedoelde noodzakelijke maatregelen of als de derde de op grond van lid 9 van dit artikel overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, kan de gegevenshouder het delen van als bedrijfsgeheim aangemerkte gegevens tegenhouden of, naargelang van het geval, opschorten. Het besluit van de gegevenshouder wordt naar behoren gemotiveerd en onverwijld schriftelijk aan de derde meegedeeld. In dergelijke gevallen stelt de gegevenshouder de op grond van artikel 37 aangewezen bevoegde autoriteit in kennis van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en vermeldt hij welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd.
11. In uitzonderlijke omstandigheden, wanneer de gegevenshouder die houder is van een bedrijfsgeheim kan aantonen dat hij door de bekendmaking van bedrijfsgeheimen, ondanks de door de derde op grond van lid 9 van dit artikel genomen technische en organisatorische maatregelen, zeer waarschijnlijk ernstige economische schade zal lijden, kan die gegevenshouder per geval een verzoek om toegang tot de specifieke gegevens in kwestie weigeren. Dat bewijs wordt naar behoren onderbouwd op basis van objectieve elementen, met name de afdwingbaarheid van de bescherming van bedrijfsgeheimen in derde landen, de aard en het niveau van vertrouwelijkheid van de gevraagde gegevens, en de mate waarin het om een uniek en nieuw verbonden product gaat, en wordt onverwijld schriftelijk aan de derde verstrekt. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit lid, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.
12. Onverminderd het recht van derden om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan een derde het besluit van een gegevenshouder om het delen van gegevens op grond van de leden 10 en 11 te weigeren, tegen te houden of op te schorten aanvechten door:
| a) | overeenkomstig artikel 37, lid 5, punt b), een klacht in te dienen bij de bevoegde autoriteit, die onverwijld beslist of en onder welke voorwaarden het delen van gegevens aanvangt of wordt hervat, of |
| b) | met de gegevenshouder overeen te komen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1. |
13. Het in lid 1 bedoelde recht doet geen afbreuk aan de rechten van andere datasubjecten krachtens het toepasselijke Unie- en nationale recht inzake de bescherming van persoonsgegevens.
Artikel 14
Verplichting om gegevens beschikbaar te stellen op grond van uitzonderlijke noodzaak
Indien een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie aantoont dat er sprake is van een uitzonderlijke noodzaak, zoals uiteengezet in artikel 15, om gebruik te maken van bepaalde gegevens, waaronder de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, haar/zijn wettelijke verplichtingen in het algemeen belang uit te voeren, stellen gegevenshouders die rechtspersonen maar geen overheidsinstanties zijn, en die die gegevens in bezit hebben, ze op naar behoren gemotiveerd verzoek beschikbaar.
Artikel 17
Verzoeken om gegevens beschikbaar te stellen
1. Wanneer overheidsinstanties, de Commissie, de Europese Centrale Bank of een orgaan van de Unie om gegevens overeenkomstig artikel 14, verzoeken:
| a) | specificeren zij de vereiste gegevens, met inbegrip van de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken; |
| b) | tonen zij aan dat wordt voldaan aan de noodzakelijke voorwaarden voor het bestaan van een uitzonderlijke noodzaak als bedoeld in artikel 15, op grond waarvan om de gegevens wordt verzocht; |
| c) | geven zij een toelichting op het doel van het verzoek, het beoogde gebruik van de gevraagde gegevens, ook indien een derde in voorkomend geval overeenkomstig lid 4 van dit artikel daarom heeft verzocht, de duur van dat gebruik en, in voorkomend geval, de wijze waarop de verwerking van persoonsgegevens tegemoetkomt aan de uitzonderlijke noodzaak; |
| d) | geven zij indien mogelijk aan wanneer de gegevens naar verwachting zullen worden gewist door alle partijen die er toegang toe hebben; |
| e) | onderbouwen zij de keuze van de gegevenshouder tot wie het verzoek zich richt; |
| f) | vermelden zij de andere overheidsinstanties of de Commissie, de Europese Centrale Bank of organen van de Unie en de derden waarmee de verkregen gegevens naar verwachting zullen worden gedeeld; |
| g) | indien om persoonsgegevens wordt verzocht, specificeren zij welke technische en organisatorische maatregelen nodig en evenredig zijn om de gegevensbeschermingsbeginselen en de nodige waarborgen toe te passen, zoals pseudonimisering, en of de gegevenshouder anonimisering kan toepassen voordat hij de gegevens beschikbaar stelt; |
| h) | vermelden zij de wettelijke bepaling waarbij aan de verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie de specifieke taak van algemeen belang wordt toegewezen waarvoor de gegevens wordt gevraagd; |
| i) | specificeren zij de termijn waarbinnen de gegevens beschikbaar moeten worden gesteld en de in artikel 18, lid 2, bedoelde termijn waarbinnen de gegevenshouder het verzoek kan afwijzen of om wijziging ervan kan verzoeken; |
| j) | stellen zij alles in het werk om te voorkomen dat een verzoek om gegevens wordt ingewilligd als dat zou leiden tot aansprakelijkheid van de gegevenshouders voor inbreuken op het Unierecht of nationale recht. |
2. Een verzoek om gegevens op grond van lid 1 van dit artikel:
| a) | wordt schriftelijk ingediend en uitgedrukt in duidelijke, beknopte en eenvoudige taal die voor de gegevenshouder begrijpelijk is; |
| b) | vermeldt specifiek om welk soort gegevens het gaat en komt overeen met de gegevens waarover de gegevenshouder ten tijde van het verzoek de controle heeft; |
| c) | staat in verhouding tot de uitzonderlijke noodzaak en is naar behoren gemotiveerd, wat betreft de mate van detail en het volume van de gevraagde gegevens en de frequentie van de toegang tot de gevraagde gegevens; |
| d) | eerbiedigt de legitieme doelstellingen van de gegevenshouder en zorgt voor de bescherming van bedrijfsgeheimen overeenkomstig artikel 19, lid 3, en de kosten en inspanningen die nodig zijn om de gegevens beschikbaar te stellen; |
| e) | heeft betrekking op niet-persoonsgebonden gegevens, en alleen als wordt aangetoond dat dit ontoereikend is om te voldoen aan de uitzonderlijke noodzaak om gegevens te gebruiken, overeenkomstig artikel 15, lid 1, punt a), behelst het persoonsgegevens in gepseudonimiseerde vorm en stelt het de technische en organisatorische maatregelen vast die moeten worden genomen om de gegevens te beschermen; |
| f) | stelt de gegevenshouder in kennis van de sancties die overeenkomstig artikel 40 door de in artikel 37 aangewezen bevoegde autoriteit moeten worden opgelegd in geval van niet-naleving van het verzoek; |
| g) | wordt, indien het verzoek door een overheidsinstantie wordt ingediend, toegezonden aan de in artikel 37 bedoelde gegevenscoördinator van de lidstaat waar de verzoekende overheidsinstantie is gevestigd, die het verzoek onverwijld online beschikbaar stelt, tenzij de datacoördinator van oordeel is dat een dergelijke publicatie een risico voor de openbare veiligheid zou opleveren; |
| h) | wordt, wanneer het verzoek door de Commissie, de Europese Centrale Bank of een orgaan van de Unie wordt gedaan, onverwijld online beschikbaar gesteld; |
| i) | wordt, indien om persoonsgegevens wordt verzocht, onverwijld gemeld bij de toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de toepassing van Verordening (EU) 2016/679 in de lidstaat waar de overheidsinstantie is gevestigd. |
De Europese Centrale Bank en de organen van de Unie stellen de Commissie in kennis van hun verzoeken.
3. Een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie stelt de op grond van dit hoofdstuk verkregen gegevens niet beschikbaar voor hergebruik zoals gedefinieerd in artikel 2, punt 2, van Verordening (EU) 2022/868 of artikel 2, punt 11, van Richtlijn (EU) 2019/1024. Verordening (EU) 2022/868 en Richtlijn (EU) 2019/1024 zijn niet van toepassing op de gegevens die overheidsinstanties op grond van dit hoofdstuk hebben verkregen.
4. Lid 3 van dit artikel belet een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie niet om op grond van dit hoofdstuk verkregen gegevens uit te wisselen met een andere overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie met het oog op de vervulling van de taken zoals bedoeld in artikel 15, zoals vermeld in het verzoek overeenkomstig lid 1, punt f), van dit artikel, of om de gegevens beschikbaar te stellen aan een derde in gevallen waarin door middel van een openbaar beschikbare overeenkomst technische inspecties of andere taken aan die derde zijn gedelegeerd. De verplichtingen van overheidsinstanties overeenkomstig artikel 19, met name waarborgen ter bescherming van de vertrouwelijkheid van bedrijfsgeheimen, gelden ook voor dergelijke derden. Wanneer overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie gegevens uit hoofde van dit lid doorgeven of beschikbaar stellen, stellen zij de gegevenshouder van wie de gegevens zijn ontvangen onverwijld daarvan in kennis.
5. Indien de gegevenshouder van mening is dat zijn rechten uit hoofde van dit hoofdstuk zijn geschonden door het doorgeven of het beschikbaar stellen van gegevens, kan hij een klacht indienen bij de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.
6. De Commissie ontwikkelt een modelformulier voor verzoeken overeenkomstig dit artikel.
Artikel 18
Naleving van verzoeken om gegevens
1. Een gegevenshouder die een verzoek ontvangt om gegevens beschikbaar te stellen uit hoofde van dit hoofdstuk, stelt de gegevens onverwijld ter beschikking van de verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie, rekening houdend met de benodigde technische, organisatorische en juridische maatregelen.
2. Onverminderd specifieke behoeften in verband met de beschikbaarheid van gegevens zoals omschreven in het Unie- of nationale recht, kan een gegevenshouder het verzoek afwijzen of verzoeken om wijziging van een verzoek om gegevens beschikbaar te stellen uit hoofde van dit hoofdstuk, onverwijld en in elk geval binnen vijf werkdagen na ontvangst van een verzoek om de gegevens die noodzakelijk zijn om te reageren op een algemene noodsituatie en onverwijld en in elk geval binnen 30 werkdagen na ontvangst van een dergelijk verzoek in andere gevallen van uitzonderlijke noodzaak, om de volgende redenen:
| a) | de gegevenshouder heeft geen controle over de gevraagde gegevens; |
| b) | er is eerder een soortgelijk verzoek met hetzelfde doel ingediend door een andere overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie, en de gegevenshouder is niet in kennis gesteld van de wissing van de gegevens overeenkomstig artikel 19, lid 1, punt c); |
| c) | het verzoek voldoet niet aan de voorwaarden van artikel 17, leden 1 en 2. |
3. Indien de gegevenshouder besluit het verzoek af te wijzen of te verzoeken het te wijzigen overeenkomstig lid 2, punt b), vermeldt hij de identiteit van de overheidsinstantie of de Commissie, de Europese Centrale Bank of het orgaan van de Unie waardoor eerder een verzoek met hetzelfde doel is ingediend.
4. Indien de gegevens persoonsgegevens bevatten, anonimiseert de gegevenshouder de gegevens naar behoren, tenzij er persoonsgegevens moeten worden verstrekt om het verzoek om gegevens van een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie in te willigen. In dergelijke gevallen pseudonimiseert de gegevenshouder de gegevens.
5. Indien de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie de weigering van een gegevenshouder om de gevraagde gegevens te verstrekken wenst aan te vechten, of indien de gegevenshouder het verzoek wenst aan te vechten en de zaak niet kan worden opgelost door een gepaste wijziging van het verzoek, wordt de zaak voorgelegd aan de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.
Artikel 22
Wederzijdse bijstand en grensoverschrijdende samenwerking
1. Overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie werken samen en staan elkaar bij om dit hoofdstuk op consistente wijze uit te voeren.
2. Alle gegevens die in het kader van de verzochte bijstand worden uitgewisseld en verstrekt overeenkomstig lid 1, mogen niet worden gebruikt op een wijze die onverenigbaar is met het doel waarvoor zij zijn gevraagd.
3. Indien een overheidsinstantie voornemens is om gegevens te verzoeken van een gegevenshouder die in een andere lidstaat is gevestigd, stelt zij eerst de op grond van artikel 37 aangewezen bevoegde autoriteit in die lidstaat van haar voornemen in kennis. Deze vereiste geldt ook voor verzoeken van de Commissie, de Europese Centrale Bank en organen van de Unie. Het verzoek wordt onderzocht door de bevoegde autoriteit van de lidstaat waar de gegevenshouder gevestigd is.
4. Nadat de relevante bevoegde autoriteit het verzoek heeft onderzocht in het licht van de in artikel 17 vastgestelde vereisten, neemt zij onverwijld een van de volgende maatregelen:
| a) | zij stuurt het verzoek door naar de gegevenshouder en adviseert, indien van toepassing, de verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie over de eventuele noodzaak om samen te werken met overheidsinstanties van de lidstaat waar de gegevenshouder is gevestigd, teneinde de administratieve lasten voor de gegevenshouder bij het voldoen aan het verzoek te verminderen; |
| b) | zij wijst het verzoek om naar behoren gemotiveerde redenen af overeenkomstig dit hoofdstuk; |
De verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank en het orgaan van de Unie houden rekening met het advies en de redenen die de betrokken bevoegde autoriteit overeenkomstig de eerste alinea heeft verstrekt alvorens verdere maatregelen te nemen, zoals het opnieuw indienen van het verzoek, indien van toepassing.
HOOFDSTUK VI
OVERSTAPPEN NAAR EEN ANDERE DATAVERWERKINGSDIENST
Artikel 25
Contractvoorwaarden betreffende een overstap
1. De rechten van de klant en de verplichtingen van de aanbieder van dataverwerkingsdiensten met betrekking tot het overstappen naar andere aanbieders van dergelijke diensten of, indien van toepassing, naar een on-premises-ICT-infrastructuur worden duidelijk vastgelegd in een schriftelijk contract. De aanbieder van dataverwerkingsdiensten stelt die overeenkomst vóór de ondertekening daarvan ter beschikking van de klant op een manier waardoor deze de overeenkomst kan opslaan en reproduceren.
2. Onverminderd Richtlijn (EU) 2019/770 bevat het in lid 1 van dit artikel bedoelde contract ten minste het volgende:
| a) | bepalingen op grond waarvan de klant, op verzoek, kan overstappen naar een dataverwerkingsdienst die wordt aangeboden door een andere aanbieder van dataverwerkingsdiensten of op grond waarvan de klant alle exporteerbare data, en digitale activa kan overdragen naar een on-premises-ICT-infrastructuur, onverwijld en in geen geval na de verplichte overgangsperiode van maximaal 30 dagen, die aanvangt na de maximale opzegtermijn bedoeld in punt d), waarbinnen de dienstverleningsovereenkomst van toepassing blijft en waarbinnen de aanbieder van dataverwerkingsdiensten:
|
| b) | een verplichting voor de aanbieder van dataverwerkingsdiensten om ondersteuning te bieden voor de exitstrategie van de klant in het kader van de gecontracteerde diensten, onder meer door alle relevante informatie te verstrekken; |
| c) | een clausule waarin wordt bepaald dat de overeenkomst wordt geacht te zijn beëindigd en dat de klant in kennis wordt gesteld van de beëindiging, in een van de volgende gevallen:
|
| d) | een maximale opzegtermijn voor het initiëren van het overstapproces, die niet meer dan twee maanden bedraagt; |
| e) | een volledige specificatie van alle categorieën gegevens en digitale activa die tijdens het overstapproces kunnen worden overgedragen, waaronder ten minste alle exporteerbare data; |
| f) | een exhaustieve specificatie van de categorieën gegevens die specifiek zijn voor de interne werking van de dataverwerkingsdiensten van de aanbieder en die geen deel mogen uitmaken van de in punt e) van dit lid bedoelde exporteerbare data wanneer er een risico op schending van bedrijfsgeheimen van de aanbieder bestaat, op voorwaarde dat dergelijke uitzonderingen het in artikel 23 bedoelde overstapproces niet belemmeren of vertragen; |
| g) | een minimumtermijn voor het opvragen van gegevens van ten minste 30 kalenderdagen, beginnend na de beëindiging van de overgangsperiode die is overeengekomen tussen de klant en de aanbieder van dataverwerkingsdiensten, overeenkomstig punt a), van dit lid en lid 4; |
| h) | een clausule die garandeert dat alle exporteerbare data en digitale activa die rechtstreeks door de klant worden gegenereerd of die rechtstreeks betrekking hebben op de klant, volledig worden gewist na het verstrijken van de in punt g) bedoelde opvragingstermijn of na het verstrijken van een alternatieve overeengekomen termijn na de datum waarop de in punt g) bedoelde opvragingstermijn verstrijkt, op voorwaarde dat het overstapproces met succes is voltooid; |
| i) | overstapkosten die door aanbieders van dataverwerkingsdiensten in rekening kunnen worden gebracht overeenkomstig artikel 29. |
3. Het in lid 1 bedoelde contract bevat bedingen op grond waarvan de klant de aanbieder van dataverwerkingsdiensten bij de beëindiging van de in lid 2, punt d), bedoelde maximale kennisgevingsperiode in kennis kan stellen van zijn besluit om een of meer van de volgende handelingen te verrichten:
| a) | overstappen naar een andere aanbieder van dataverwerkingsdiensten, in welk geval de klant de nodige gegevens over die aanbieder verstrekt; |
| b) | overschakelen op een on-premises-ICT-infrastructuur; |
| c) | zijn exporteerbare data en digitale activa wissen. |
4. Wanneer de verplichte maximale overgangsperiode als bedoeld in lid 2, punt a), technisch niet haalbaar is, stelt de aanbieder van dataverwerkingsdiensten de klant daarvan in kennis binnen 14 werkdagen na het overstapverzoek, rechtvaardigt hij de technische onhaalbaarheid naar behoren en vermeldt hij een alternatieve overgangsperiode, die niet langer mag zijn dan zeven maanden. Overeenkomstig lid 1 wordt de continuïteit van de dienstverlening gewaarborgd gedurende de gehele alternatieve overgangsperiode.
5. Onverminderd lid 4 bevat het in lid 1 bedoelde contract bedingen die de klant het recht verlenen de overgangsperiode eenmaal te verlengen met een periode die de klant voor zijn eigen doeleinden geschikter acht.
Artikel 33
Essentiële eisen inzake interoperabiliteit van gegevens, van mechanismen en diensten voor het delen van gegevens alsook van gemeenschappelijke Europese dataruimten
1. Deelnemers aan dataruimten die gegevens of datadiensten aanbieden aan andere deelnemers, voldoen aan de volgende essentiële eisen om de interoperabiliteit van gegevens, van mechanismen en diensten voor gegevensdeling alsook van gemeenschappelijke Europese dataruimten die doel- of sectorspecifieke of sectoroverschrijdende interoperabele kaders voor gemeenschappelijke normen en praktijken op het gebied van het delen van gegevens of gezamenlijke dataverwerking vormen met het oog op onder meer de ontwikkeling van nieuwe producten en diensten, wetenschappelijk onderzoek of initiatieven van het maatschappelijk middenveld:
| a) | de inhoud van de dataset, gebruiksbeperkingen, licenties, gegevensverzamelingsmethoden, gegevenskwaliteit en onzekerheid worden voldoende beschreven, indien van toepassing, in een machineleesbaar formaat om de ontvanger in staat te stellen de gegevens te vinden, te raadplegen en te gebruiken; |
| b) | de datastructuren, dataformaten, vocabularia, classificatieschema’s, taxonomieën en codelijsten worden, indien beschikbaar, op een voor het publiek toegankelijke en consistente wijze beschreven; |
| c) | de technische middelen om toegang te krijgen tot de gegevens, zoals application programming interfaces, en de bijbehorende gebruiksvoorwaarden en kwaliteit van de dienstverlening worden voldoende beschreven om automatische toegang tot en overdracht van gegevens tussen partijen mogelijk te maken, ook continu, in de vorm van bulksgewijze downloads of in realtime in een machineleesbaar formaat, indien dat technisch haalbaar is en de goede werking van het verbonden product niet belemmert; |
| d) | indien van toepassing wordt er voorzien in de middelen om de interoperabiliteit mogelijk te maken van instrumenten voor het automatiseren van de uitvoering van gegevensdelingsovereenkomsten, zoals slimme contracten. |
De eisen kunnen een generiek karakter hebben of betrekking hebben op specifieke sectoren, waarbij ten volle rekening wordt gehouden met de samenhang met eisen die voortvloeien uit ander Unie- of nationaal recht.
2. De Commissie is bevoegd overeenkomstig artikel 45 van deze verordening gedelegeerde handelingen vast te stellen om deze verordening aan te vullen, door de in lid 1 van dit artikel vastgelegde essentiële eisen nader te specificeren wat betreft die eisen welke door hun aard niet het beoogde effect kunnen sorteren tenzij zij nader worden gespecificeerd in bindende rechtshandelingen van de Unie, en teneinde de technologische en marktontwikkelingen naar behoren weer te geven.
De Commissie houdt bij de vaststelling van gedelegeerde handelingen rekening met het advies van het Europees Comité voor gegevensinnovatie overeenkomstig artikel 42, punt c), iii).
3. De deelnemers aan dataruimten die gegevens of datadiensten aanbieden aan andere deelnemers aan dataruimten die voldoen aan de geharmoniseerde normen of delen daarvan, waarvan de referentie in het Publicatieblad van de Europese Unie is bekendgemaakt, worden geacht te voldoen aan de in lid 1 vastgelegde essentiële eisen, voor zover die eisen worden gedekt door deze geharmoniseerde normen of delen daarvan.
4. De Commissie verzoekt op grond van artikel 10 van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties geharmoniseerde normen op te stellen die voldoen aan de in lid 1 van dit artikel vastgelegde essentiële eisen.
5. De Commissie kan door middel van uitvoeringshandelingen gemeenschappelijke specificaties vaststellen voor een of alle van de in lid 1 vastgelegde essentiële eisen, indien aan de volgende voorwaarden is voldaan:
| a) | de Commissie heeft overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties verzocht een geharmoniseerde norm op te stellen die voldoet aan de in lid 1 van dit artikel vastgelegde eisen en:
|
| b) | er werd geen referentie van geharmoniseerde normen overeenkomstig Verordening (EU) nr. 1025/2012 bekendgemaakt in het Publicatieblad van de Europese Unie voor de desbetreffende in lid 1 van dit artikel vastgelegde essentiële eisen, en een dergelijke referentie zal naar verwachting niet binnen een redelijke termijn worden bekendgemaakt. |
Die uitvoeringshandelingen worden volgens de in artikel 46, lid 2, bedoelde onderzoeksprocedure vastgesteld.
6. Alvorens een in lid 5 van dit artikel bedoelde ontwerpuitvoeringshandeling op te stellen, stelt de Commissie het in artikel 22 van Verordening (EU) nr. 1025/2012 bedoelde comité ervan in kennis dat zij van oordeel is dat aan de voorwaarden van lid 5 van dit artikel is voldaan.
7. Bij het opstellen van de ontwerpuitvoeringshandeling zoals bedoeld in lid 5 houdt de Commissie rekening met het advies van het Europees Comité voor gegevensinnovatie en met de standpunten van andere relevante organen of deskundigengroepen en raadpleegt zij alle relevante belanghebbenden.
8. De deelnemers aan dataruimten die gegevens of datadiensten aan andere deelnemers aan dataruimten aanbieden die voldoen aan de gemeenschappelijke specificaties zoals vastgesteld bij de in lid 5 bedoelde uitvoeringshandelingen of delen daarvan, worden geacht in overeenstemming te zijn met de essentiële in lid 1 vastgelegde eisen voor zover die eisen door de gemeenschappelijke specificaties of delen daarvan gedekt zijn.
9. Wanneer een Europese normalisatieorganisatie een geharmoniseerde norm vaststelt en deze aan de Commissie voorstelt met het oog op de bekendmaking van de referentie ervan in het Publicatieblad van de Europese Unie, beoordeelt de Commissie de geharmoniseerde norm overeenkomstig Verordening (EU) nr. 1025/2012. Wanneer de referentie van een geharmoniseerde norm in het Publicatieblad van de Europese Unie wordt bekendgemaakt, trekt de Commissie de in lid 5 van dit artikel bedoelde uitvoeringshandelingen of delen daarvan die dezelfde essentiële eisen dekken als die die zijn gedekt door die geharmoniseerde norm, in.
10. Wanneer een lidstaat van oordeel is dat een gemeenschappelijke specificatie niet volledig aan de in lid 1 vastgelegde essentiële eisen voldoet, stelt deze lidstaat de Commissie daarvan in kennis door het indienen van een gedetailleerde toelichting. De Commissie beoordeelt die gedetailleerde toelichting en kan in voorkomend geval de uitvoeringshandeling tot vaststelling van de betrokken gemeenschappelijke specificatie wijzigen.
11. De Commissie kan richtsnoeren vaststellen, rekening houdend met het voorstel van het Europees Comité voor gegevensinnovatie overeenkomstig artikel 30, punt h), van Verordening (EU) 2022/868 tot vaststelling van interoperabele kaders voor gemeenschappelijke normen en praktijken voor de werking van gemeenschappelijke Europese dataruimten.
Artikel 35
Interoperabiliteit voor dataverwerkingsdiensten
1. Open interoperabiliteitsspecificaties en geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten voldoen aan het volgende:
| a) | zij bereiken, voor zover technisch haalbaar, interoperabiliteit tussen verschillende dataverwerkingsdiensten die hetzelfde type dienst dekken; |
| b) | zij verbeteren de overdraagbaarheid van digitale activa tussen verschillende dataverwerkingsdiensten die hetzelfde type dienst dekken; |
| c) | zij faciliteren, voor zover technisch haalbaar, de functionele gelijkwaardigheid tussen de in artikel 30, lid 1, bedoelde dataverwerkingsdiensten die hetzelfde type dienst dekken; |
| d) | zij hebben geen negatieve gevolgen voor de veiligheid en integriteit van dataverwerkingsdiensten; |
| e) | zij zijn zodanig ontworpen dat zij technische vooruitgang en de opneming van nieuwe functies en innovatie in dataverwerkingsdiensten mogelijk maken. |
2. Open interoperabiliteitsspecificaties en geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten pakken de volgende aspecten naar behoren aan:
| a) | de aspecten van cloudinteroperabiliteit in het vervoer, syntactische interoperabiliteit, semantische data-interoperabiliteit, gedragsinteroperabiliteit en beleidsinteroperabiliteit; |
| b) | de overdraagbaarheidsaspecten van cloudgegevens inzake syntactische en semantische overdraagbaarheid van gegevens en overdraagbaarheid van het gegevensbeleid; |
| c) | de cloudtoepassingsaspecten van applicatiesyntactische overdraagbaarheid, applicatie-instructieportabiliteit, overdraagbaarheid van applicatiemetagegevens, overdraagbaarheid van applicatiegedrag en overdraagbaarheid van het applicatiebeleid. |
3. Open interoperabiliteitsspecificaties voldoen aan bijlage II bij Verordening (EU) nr. 1025/2012.
4. Na rekening te hebben gehouden met relevante internationale en Europese normen en initiatieven op het gebied van zelfregulering, kan de Commissie overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties verzoeken geharmoniseerde normen op te stellen die voldoen aan de in de leden 1 en 2 van dit artikel vastgelegde essentiële eisen.
5. De Commissie kan door middel van uitvoeringshandelingen gemeenschappelijke specificaties vaststellen op basis van open interoperabiliteitsspecificaties die alle in de leden 1 en 2 vastgelegde essentiële eisen dekken.
6. Bij de opstelling van de in lid 5 van dit artikel bedoelde ontwerpuitvoeringshandeling houdt de Commissie rekening met de standpunten van de in artikel 37, lid 5, punt h), bedoelde relevante bevoegde autoriteiten en andere relevante instanties of deskundigengroepen en raadpleegt zij naar behoren alle relevante belanghebbenden.
7. Wanneer een lidstaat van oordeel is dat een gemeenschappelijke specificatie niet volledig aan de in de leden 1 en 2 vastgelegde essentiële eisen voldoet, stelt deze lidstaat de Commissie daarvan in kennis door het indienen van een gedetailleerde toelichting. De Commissie beoordeelt die gedetailleerde informatie en kan in voorkomend geval de uitvoeringshandeling tot vaststelling van de betrokken gemeenschappelijke specificatie wijzigen.
8. Voor de toepassing van artikel 30, lid 3, maakt de Commissie door middel van uitvoeringshandelingen, in een centraal Unieregister voor normen voor de interoperabiliteit van dataverwerkingsdiensten, de referentie bekend van geharmoniseerde normen en gemeenschappelijke specificaties voor de interoperabiliteit van dataverwerkingsdiensten.
9. De in dit artikel bedoelde uitvoeringshandelingen worden vastgesteld volgens de in artikel 46, lid 2, bedoelde onderzoeksprocedure.
whereas