Data Act 2023/2854 NL

1)	“gegevens”: elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluids-, visuele of audiovisuele opnames;

2)	“metagegevens”: een gestructureerde beschrijving van de inhoud of het gebruik van gegevens die het vinden en gebruiken van die gegevens vergemakkelijkt;

3)	“persoonsgegevens”: persoonsgegevens zoals gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679;

4)	“niet-persoonsgebonden gegevens”: andere gegevens dan persoonsgegevens;

“verbonden product”: een goed dat gegevens over het gebruik of de omgeving ervan verkrijgt, genereert of verzamelt, en dat productgegevens kan doorgeven via een elektronische-communicatiedienst, fysieke verbinding of apparaattoegang, en waarvan de hoofdfunctie niet het opslaan, verwerken of doorgeven van gegevens namens anderen dan de gebruiker is;

“gerelateerde dienst”: een andere digitale dienst dan een elektronische-communicatiedienst, waaronder software, die op het moment van aankoop, huur of lease zodanig met het product verbonden is dat de afwezigheid ervan het verbonden product zou beletten een of meer van zijn functies uit te voeren, of die vervolgens door de fabrikant of een derde met het product wordt verbonden om functies aan het product toe te voegen, of de functies van het verbonden product te updaten of aan te passen;

“verwerking”: een bewerking of een geheel van bewerkingen die al dan niet op geautomatiseerde wijze op gegevens of datasets worden uitgevoerd, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaken door middel van doorgeven, verspreiden of anderszins ter beschikking stellen, op een lijn brengen of combineren, afschermen, wissen of vernietigen van gegevens;

“dataverwerkingsdienst”: een digitale aan een klant aangeboden dienst die alomtegenwoordige en on-demand netwerktoegang mogelijk maakt tot een gedeelde pool van configureerbare, schaalbare en elastische computercapaciteit van gecentraliseerde, gedistribueerde of sterk gedistribueerde aard, die snel ter beschikking kan worden gesteld en worden vrijgegeven met minimale beheersinspanningen of tussenkomst van een dienstverlener;

9)	“dienst van hetzelfde type”: een reeks dataverwerkingsdiensten met dezelfde primaire doelstelling, hetzelfde dataverwerkingsdienstenmodel en dezelfde voornaamste functionaliteiten;

10)	“databemiddelingsdienst”: databemiddelingsdienst zoals gedefinieerd in artikel 2, punt 11, van Verordening (EU) 2022/868;

11)	“datasubject”: betrokkene zoals bedoeld in artikel 4, punt 1, van Verordening (EU) 2016/679;

12)	“gebruiker”: een natuurlijke of rechtspersoon die een verbonden product in eigendom heeft, of aan wie contractueel tijdelijke rechten zijn overgedragen om dat verbonden product te gebruiken, of die gerelateerde diensten ontvangt;

13)

“gegevenshouder”: een natuurlijke of rechtspersoon die overeenkomstig deze verordening, het toepasselijke Unierecht of het overeenkomstig het Unierecht vastgestelde nationale recht, het recht of de verplichting heeft gegevens te gebruiken en ter beschikking te stellen, waaronder — in gevallen waar dat contractueel is overeengekomen — productgegevens of gegevens van een gerelateerde dienst die deze natuurlijke of rechtspersoon heeft opgevraagd of gegenereerd tijdens de verlening van een gerelateerde dienst;

14)

“gegevensontvanger”: een natuurlijke of rechtspersoon die handelt voor doeleinden die verband houden met diens handels-, bedrijfs-, ambachts- of beroepsactiviteit, die niet de gebruiker van een verbonden product of gerelateerde dienst is en aan wie gegevens beschikbaar worden gesteld door de gegevenshouder, met inbegrip van een derde op verzoek van de gebruiker aan de gegevenshouder of in overeenstemming met een wettelijke verplichting uit hoofde van Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving;

15)

“productgegevens”: door het gebruik van een verbonden product gegenereerde gegevens die door de fabrikant zo ontworpen zijn dat ze kunnen worden opgevraagd via een elektronische-communicatiedienst, fysieke verbinding of apparaattoegang, door een gebruiker, gegevenshouder of derde, waaronder waar nodig, de fabrikant;

16)

“gegevens van een gerelateerde dienst”: gegevens die de digitalisering vertegenwoordigen van handelingen van de gebruiker of van gebeurtenissen die gerelateerd zijn aan het verbonden product, die intentioneel door de gebruiker zijn geregistreerd of als een bijproduct van de handeling van de gebruiker zijn gegenereerd tijdens het verlenen van een gerelateerde dienst door de aanbieder;

17)

“eenvoudig beschikbare gegevens”: productgegevens en gegevens van een gerelateerde dienst die een gegevenshouder rechtmatig verkrijgt of rechtmatig kan verkrijgen van het verbonden product of de gerelateerde dienst, zonder daarvoor een onevenredig grote inspanning te moeten leveren die verder zou gaan dan een eenvoudige handeling;

18)	“bedrijfsgeheim”: bedrijfsgeheim zoals gedefinieerd in artikel 2, punt 1, van Richtlijn (EU) 2016/943;

19)	“houder van het bedrijfsgeheim”: houder van het bedrijfsgeheim zoals gedefinieerd in artikel 2, punt 2, van Richtlijn (EU) 2016/943;

20)	“profilering”: profilering zoals gedefinieerd in artikel 4, punt 4, van Verordening (EU) 2016/679;

21)	“op de markt aanbieden”: het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een verbonden product met het oog op distributie, consumptie of gebruik op de markt van de Unie;

22)	“in de handel brengen”: het voor het eerst in de Unie op de markt aanbieden van een verbonden product;

23)	“consument”: een natuurlijke persoon die handelt met doeleinden die geen verband houden met de handels-, bedrijfs-, ambachts- of beroepsactiviteit van die persoon;

24)	“onderneming”: een natuurlijke of rechtspersoon die handelt volgens onder deze verordening vallende overeenkomsten en praktijken, met doeleinden die gerelateerd zijn aan diens handels-, bedrijfs-, ambachts- of beroepsactiviteit;

25)	“kleine onderneming”: een kleine onderneming zoals gedefinieerd in artikel 2, lid 2, van de bijlage bij Aanbeveling 2003/361/EG;

26)	“micro-onderneming”: een micro-onderneming zoals gedefinieerd in artikel 2, lid 3, van de bijlage bij Aanbeveling 2003/361/EG;

27)	“organen van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of op grond van handelingen die zijn vastgesteld op basis van het Verdrag betreffende de Europese Unie, het VWEU of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie;

28)	“overheidsinstantie”: nationale, regionale en lokale autoriteiten van de lidstaten, publiekrechtelijke instellingen van de lidstaten of samenwerkingsverbanden bestaande uit één of meer van dergelijke autoriteiten of één of meer van dergelijke instellingen;

29)

“algemene noodsituatie”: een in de tijd beperkte uitzonderlijke situatie, zoals een noodsituatie op het gebied van de volksgezondheid, een noodsituatie die voortvloeit uit natuurrampen, of een door de mens veroorzaakte grote ramp, met inbegrip van een groot cyberveiligheidsincident, dat negatieve gevolgen heeft voor de bevolking van de Unie, van een lidstaat of van een deel daarvan, met een risico op ernstige en blijvende gevolgen voor de levensomstandigheden of de economische stabiliteit, de financiële stabiliteit of een aanzienlijke en onmiddellijke verslechtering van de economische activa in de Unie of in de betrokken lidstaat, en die wordt vastgesteld of officieel wordt afgekondigd overeenkomstig de relevante Unie- of nationaalrechtelijke procedures;

30)	“klant”: een natuurlijke of rechtspersoon die een contractuele relatie is aangegaan met een aanbieder van dataverwerkingsdiensten, met als doel gebruik te maken van een of meer dataverwerkingsdiensten;

31)	“virtuele assistenten”: software die opdrachten, taken of vragen kan verwerken, onder meer op basis van audio, schriftelijke input, gebaren of bewegingen, en die, op basis van die opdrachten, taken of vragen toegang biedt tot andere diensten of de functies van verbonden producten bestuurt;

32)	“digitale activa”: elementen in digitale vorm, inclusief toepassingen, waarvoor de klant het gebruiksrecht heeft, onafhankelijk van de contractuele relatie met de dataverwerkingsdienst die hij voornemens is te verlaten om over te stappen;

33)	“on-premises ICT-infrastructuur”: ICT-infrastructuur en computermiddelen die eigendom zijn van of worden gehuurd of geleased door de klant en zich in het datacentrum van de klant zelf bevinden en door de klant of een derde worden geëxploiteerd;

34)

“overstappen”: het proces waarbij een oorspronkelijke aanbieder van dataverwerkingsdiensten, een klant van een dataverwerkingsdienst en, waar van toepassing, een bestemmingsaanbieder van dataverwerkingsdiensten zijn betrokken, waarbij de klant van een dataverwerkingsdienst van dataverwerkingsdienst verandert en een andere dataverwerkingsdienst van hetzelfde type of een andere dienst begint te gebruiken, die wordt aangeboden door een andere aanbieder van dataverwerkingsdiensten, of een on-premises ICT-infrastructuur begint te gebruiken, onder meer door het extraheren, transformeren en uploaden van de gegevens;

35)

“gegevensextractiekosten”: gegevensoverdrachttarieven die in rekening worden gebracht aan klanten om via het netwerk hun gegevens uit de ICT-infrastructuur van een aanbieder van dataverwerkingsdiensten te extraheren naar de systemen van een andere aanbieder of naar een on-premises ICT-infrastructuur;

36)

“overstapkosten”: andere kosten dan de standaardvergoedingen voor dienstverlening of boetes voor voortijdige beëindiging, opgelegd door een aanbieder van dataverwerkingsdiensten aan een klant voor de bij deze verordening voorgeschreven acties betreffende het overstappen naar het systeem van een andere aanbieder of naar een on-premises ICT-infrastructuur, met inbegrip van gegevensextractiekosten;

37)

“functionele gelijkwaardigheid”: op basis van de exporteerbare data en digitale activa van de klant een minimumniveau van functionaliteit herstellen in de omgeving van een nieuwe dataverwerkingsdienst van hetzelfde type na het overstapproces, waarbij de nieuwe dataverwerkingsdienst een materieel vergelijkbaar resultaat oplevert met gebruikmaking van dezelfde input voor gedeelde kenmerken die in het kader van de overeenkomst aan de klant wordt geleverd;

38)

“exporteerbare data”, voor de toepassing van de artikelen 23 tot en met 31 en artikel 35: de input- en outputgegevens, met inbegrip van metagegevens, die direct of indirect worden gegenereerd, of worden medegegenereerd, door het gebruik door de klant van de dataverwerkingsdienst, met uitzondering van activa of gegevens die beschermd zijn door intellectuele-eigendomsrechten of die een bedrijfsgeheim vormen, van aanbieders van dataverwerkingsdiensten of derden;

39)

“slim contract”: een computerprogramma dat wordt gebruikt voor de geautomatiseerde uitvoering van een overeenkomst of een deel daarvan, waarbij gebruik wordt gemaakt van een opeenvolging van elektronische databestanden en waarbij de integriteit daarvan en de nauwkeurigheid van hun chronologische volgorde worden gewaarborgd;

40)	“interoperabiliteit”: het vermogen van twee of meer dataruimten of communicatienetwerken, systemen, verbonden producten, toepassingen, dataverwerkingsdiensten of componenten om gegevens uit te wisselen en te gebruiken teneinde hun functies te vervullen;

41)	“open interoperabiliteitsspecificatie”: een technische specificatie op het gebied van informatie- en communicatietechnologie, die prestatiegericht is op het bereiken van interoperabiliteit tussen dataverwerkingsdiensten;

42)	“gemeenschappelijke specificaties”: een document dat geen norm is en dat technische oplossingen bevat om te voldoen aan bepaalde voorschriften en verplichtingen zoals vastgelegd uit hoofde van deze verordening;

43)	“geharmoniseerde norm”: geharmoniseerde norm zoals gedefinieerd in artikel 2, punt 1, c), van Verordening (EU) nr. 1025/2012.

HOOFDSTUK II

DELEN VAN GEGEVENS TUSSEN BEDRIJVEN EN CONSUMENTEN EN TUSSEN BEDRIJVEN ONDERLING

Artikel 3

Verplichting om productgegevens en gegevens van gerelateerde diensten toegankelijk te maken voor de gebruiker

1. Verbonden producten worden zodanig ontworpen en vervaardigd, en gerelateerde diensten worden zodanig ontworpen en verleend, dat de productgegevens en gegevens van een gerelateerde dienst, met inbegrip van de relevante metagegevens die nodig zijn om die gegevens te gebruiken en te interpreteren, standaard, gemakkelijk, veilig, kosteloos en in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat en, voor zover relevant en technisch haalbaar, rechtstreeks toegankelijk zijn voor de gebruiker.

2. Alvorens een overeenkomst te sluiten voor de aankoop, huur of leasing van een verbonden product, verstrekt de verkoper, verhuurder of leasegever, die tevens de fabrikant kan zijn, de gebruiker ten minste de volgende informatie op duidelijke en begrijpelijke wijze:

a)	het type, formaat en geraamde volume productgegevens die het verbonden product kan genereren;

b)	of het verbonden product in staat is continu en in realtime gegevens te genereren;

c)	of het verbonden product in staat is gegevens op het apparaat of op een server op afstand op te slaan, indien van toepassing met inbegrip van de beoogde bewaringstermijn;

d)	hoe de gebruiker de gegevens kan raadplegen, opvragen of, in voorkomend geval, wissen, met inbegrip van de technische middelen om dit te doen, alsmede de gebruiksvoorwaarden en de kwaliteit van de dienstverlening daarvan.

3. Alvorens een overeenkomst te sluiten voor de verlening van een gerelateerde dienst, verstrekt de leverancier van een dergelijke gerelateerde dienst de gebruiker minstens de volgende informatie op duidelijke en begrijpelijke wijze:

de aard, het geraamde volume en de frequentie van verzameling van productgegevens die de potentiële gegevenshouder geacht wordt te verkrijgen en, in voorkomend geval, de regelingen voor de gebruiker om toegang te krijgen tot die gegevens of deze op te vragen, met inbegrip van de regelingen van de potentiële gegevenshouder inzake gegevensopslag en de duur van de bewaring;

de aard en het geraamde volume van de te genereren gegevens van een gerelateerde dienst, alsmede de regelingen voor de gebruiker om toegang te krijgen tot die gegevens of deze op te vragen, met inbegrip van de regelingen van de potentiële gegevenshouder inzake gegevensopslag en de duur van de bewaring;

c)	of de potentiële gegevenshouder verwacht eenvoudig beschikbare gegevens zelf te gebruiken en de doeleinden waarvoor die gegevens zullen worden gebruikt, en of hij al dan niet voornemens is een of meer derden toe te staan de gegevens te gebruiken voor met de gebruiker overeengekomen doeleinden;

d)	de identiteit van de potentiële gegevenshouder, zoals zijn handelsnaam en het geografische adres waar hij is gevestigd en, in voorkomend geval, van andere gegevensverwerkende partijen;

e)	de communicatiemiddelen die de gebruiker in staat stellen snel contact op te nemen met de potentiële gegevenshouder en efficiënt met hem te communiceren;

f)	de manier waarop de gebruiker kan verzoeken om de gegevens te delen met een derde en, in voorkomend geval, het delen van gegevens kan stopzetten;

g)	het recht van de gebruiker om bij de op grond van artikel 37 aangewezen bevoegde autoriteit klacht in te dienen over een vermeende inbreuk op de bepalingen van dit hoofdstuk;

de vraag of een potentiële gegevenshouder de houder is van bedrijfsgeheimen die vervat zijn in de gegevens die toegankelijk zijn via het verbonden product of die worden gegenereerd tijdens de verlening van een gerelateerde dienst, en, wanneer de potentiële gegevenshouder niet de houder van de bedrijfsgeheimen is, de identiteit van de houder van het bedrijfsgeheim;

i)	de duur van de overeenkomst tussen de gebruiker en de potentiële gegevenshouder, alsmede de regelingen voor het beëindigen van deze overeenkomst.

Artikel 4

De rechten en plichten van gebruikers en gegevenshouders wat betreft het raadplegen, gebruiken en beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst

1. Indien de gebruiker geen rechtstreekse toegang heeft tot de gegevens via het verbonden product of de gerelateerde dienst, stellen gegevenshouders de eenvoudig beschikbare gegevens, alsook de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onmiddellijk, met dezelfde kwaliteit als de voor de gegevenshouder beschikbare gegevens, gemakkelijk, veilig, kosteloos, in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat ter beschikking van de gebruiker, voor zover dat relevant en technisch haalbaar is, en gebeurt deze terbeschikkingstelling continu en in realtime. Voor zover technisch haalbaar, gebeurt dit op eenvoudig elektronisch verzoek.

2. Gebruikers en gegevenshouders kunnen de toegang tot gegevens of het gebruik of verder delen daarvan contractueel beperken of verbieden indien een dergelijke verwerking de beveiligingsvereisten van het verbonden product, zoals vastgesteld in het Unie- of nationaal recht, zou kunnen ondermijnen, met ernstige negatieve gevolgen voor de gezondheid, veiligheid of beveiliging van natuurlijke personen. De sectorale autoriteiten kunnen in dat verband gebruikers en houders van gegevens technische expertise verstrekken. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit artikel, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.

3. Onverminderd het recht van de gebruiker om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan de gebruiker met betrekking tot elk geschil met de gegevenshouder over de in lid 2 bedoelde contractuele beperkingen of verboden:

a)	overeenkomstig artikel 37, lid 5, punt b), een klacht indienen bij de bevoegde autoriteit, of

b)	met de gegevenshouder overeenkomen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1.

4. Gegevenshouders maken het maken van keuzes of de uitoefening van de rechten op grond van dit artikel van gebruikers niet onnodig moeilijk door bijvoorbeeld de keuzemogelijkheden voor de gebruiker op een niet-neutrale manier te presenteren of door de autonomie, besluitvorming of vrije keuze van de gebruikers te ondermijnen of te belemmeren via de structuur, het ontwerp, de functie of de gebruikswijze van een digitale gebruikersinterface of een deel daarvan.

5. Om na te gaan of een natuurlijke of rechtspersoon als gebruiker op grond van lid 1 kan worden aangemerkt, mag een gegevenshouder van die persoon niet verlangen dat die persoon informatie verstrekt die verder gaat dan nodig is. Gegevenshouders bewaren geen informatie, met name loggegevens, over de toegang van de gebruiker tot de gevraagde gegevens die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de gebruiker en voor de beveiliging en het onderhoud van de data-infrastructuur.

6. Bedrijfsgeheimen worden bewaard en worden alleen bekendgemaakt op voorwaarde dat de gegevenshouder en de gebruiker voorafgaand aan de bekendmaking alle noodzakelijke maatregelen nemen om de vertrouwelijkheid ervan te waarborgen, met name ten aanzien van derden. De gegevenshouder, of de houder van het bedrijfsgeheim wanneer deze niet de gegevenshouder is, identificeert de gegevens die als bedrijfsgeheim worden beschermd, onder meer in de relevante metagegevens, en komt met de gebruiker evenredige technische en organisatorische maatregelen overeen, zoals modelcontractvoorwaarden, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes, die noodzakelijk zijn om de vertrouwelijkheid van de gedeelde gegevens te waarborgen, met name ten aanzien van derden.

7. Indien er geen overeenstemming wordt bereikt over de in lid 6 bedoelde noodzakelijke maatregelen, of indien de gebruiker de op grond van lid 6 overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, kan de gegevenshouder het delen van als bedrijfsgeheim aangemerkte gegevens tegenhouden of, naargelang van het geval, opschorten. Het besluit van de gegevenshouder wordt naar behoren gemotiveerd en onverwijld schriftelijk aan de gebruiker meegedeeld. In dergelijke gevallen stelt de gegevenshouder de op grond van artikel 37 aangewezen bevoegde autoriteit in kennis van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en vermeldt hij welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd.

8. In uitzonderlijke omstandigheden, wanneer de gegevenshouder die houder is van een bedrijfsgeheim kan aantonen dat hij door de bekendmaking van bedrijfsgeheimen, ondanks de door de gebruiker op grond van lid 6 van dit artikel genomen technische en organisatorische maatregelen, zeer waarschijnlijk ernstige economische schade zal lijden, kan die gegevenshouder per geval een verzoek om toegang tot de specifieke gegevens in kwestie weigeren. Dat bewijs wordt naar behoren onderbouwd op basis van objectieve elementen, met name de afdwingbaarheid van de bescherming van bedrijfsgeheimen in derde landen, de aard en het niveau van vertrouwelijkheid van de gevraagde gegevens, en de mate waarin het om een uniek en nieuw verbonden product gaat, en wordt onverwijld schriftelijk aan de gebruiker verstrekt. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit lid, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.

9. Onverminderd het recht van een gebruiker om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan een gebruiker het besluit van een gegevenshouder om het delen van gegevens op grond van de leden 7 en 8 te weigeren, tegen te houden of op te schorten aanvechten door:

a)	overeenkomstig artikel 37, lid 5, punt b), een klacht in te dienen bij de bevoegde autoriteit, die onverwijld beslist of en onder welke voorwaarden het delen van gegevens aanvangt of wordt hervat, of

b)	met de gegevenshouder overeen te komen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1.

10. De gebruiker mag gegevens die zijn verkregen naar aanleiding van een in lid 1 bedoeld verzoek niet gebruiken om een verbonden product te ontwikkelen dat concurreert met het verbonden product waaruit de gegevens afkomstig zijn, noch met datzelfde oogmerk gegevens delen met een derde, en mag die gegevens evenmin gebruiken om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van de fabrikant of, in voorkomend geval, de gegevenshouder.

11. De gebruiker mag geen dwangmiddelen gebruiken of misbruik maken van leemten in de technische infrastructuur van een gegevenshouder die bedoeld is om de gegevens te beschermen, teneinde toegang tot gegevens te verkrijgen.

12. Indien de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, worden persoonsgegevens die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd, door de gegevenshouder alleen ter beschikking gesteld van de gebruiker indien er een geldige rechtsgrond voor verwerking bestaat uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG wordt voldaan.

13. Een gegevenshouder gebruikt alleen eenvoudig beschikbare gegevens die niet-persoonsgebonden gegevens zijn op basis van een overeenkomst met de gebruiker. Een gegevenshouder gebruikt dergelijke gegevens niet om inzichten in de economische situatie, de activa of de productiemethoden van de gebruiker of het gebruik van het product of de dienst door de gebruiker te verwerven, op enige andere wijze die de commerciële positie van die gebruiker op de markten waarop deze actief is, zouden kunnen ondermijnen.

14. Gegevenshouders stellen niet-persoonsgebonden productgegevens niet beschikbaar aan derden voor andere commerciële of niet-commerciële doeleinden dan de uitvoering van hun overeenkomst met de gebruiker. In voorkomend geval verplichten gegevenshouders derden er contractueel toe de van hen ontvangen gegevens niet verder te delen.

Artikel 5

Het recht van de gebruiker om gegevens te delen met derden

1. Op verzoek van een gebruiker of van een namens een gebruiker optredende partij stelt de gegevenshouder eenvoudig beschikbare gegevens, alsmede de desbetreffende metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onmiddellijk, met dezelfde kwaliteit als de voor de gegevenshouder beschikbare gegevens, gemakkelijk, veilig, kosteloos voor de gebruiker, in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat ter beschikking van een derde partij, en gebeurt deze terbeschikkingstelling voor zover dat relevant en technisch haalbaar is continu en in realtime. De gegevens worden door de gegevenshouder beschikbaar gesteld aan de derde overeenkomstig de artikelen 8 en 9.

2. Lid 1 is niet van toepassing op eenvoudig beschikbare gegevens in het kader van het testen van nieuwe verbonden producten, stoffen of processen die nog niet in de handel zijn gebracht, tenzij hun gebruik door een derde contractueel is toegestaan.

3. Een onderneming die overeenkomstig artikel 3 van Verordening (EU) 2022/1925 als poortwachter is aangewezen, is geen in aanmerking komende derde uit hoofde van dit artikel en mag derhalve niet:

a)	een gebruiker op enigerlei wijze vragen of commercieel stimuleren, onder meer door financiële of andere vergoedingen te bieden, om gegevens die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1, beschikbaar te stellen voor een van zijn diensten;

b)	een gebruiker verzoeken of commercieel stimuleren om de gegevenshouder te verzoeken gegevens beschikbaar te stellen voor een van zijn diensten overeenkomstig lid 1 van dit artikel;

c)	van een gebruiker gegevens ontvangen die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1.

4. Om na te gaan of een natuurlijke of rechtspersoon voor de toepassing van lid 1 kan worden aangemerkt als gebruiker of als derde, mag van de gebruiker of de derde niet worden verlangd dat hij informatie verstrekt die verder gaat dan nodig is. Gegevenshouders bewaren geen informatie over de toegang van de derde tot de gevraagde gegevens die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de derde en voor de beveiliging en het onderhoud van de data-infrastructuur.

5. De derde mag geen dwangmiddelen gebruiken of misbruik maken van leemten in de technische infrastructuur van een gegevenshouder die bedoeld is om de gegevens te beschermen, teneinde toegang tot gegevens te verkrijgen.

6. Een gegevenshouder mag geen eenvoudig beschikbare gegevens gebruiken om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van of het gebruik door de derde op enige andere wijze die de commerciële positie van de derde op de markten waarop de derde actief is, zou kunnen ondermijnen, tenzij de derde voor dat gebruik toestemming heeft verleend en de technische mogelijkheid heeft om die toestemming te allen tijde gemakkelijk in te trekken.

7. Wanneer de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, worden persoonsgegevens die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd alleen door de gegevenshouder ter beschikking gesteld van de derde indien er een geldige rechtsgrond voor verwerking bestaat uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG is voldaan.

8. Het verzuim van de gegevenshouder en de derde om regelingen voor het doorgeven van de gegevens overeen te komen, mag de uitoefening van de rechten van het datasubject uit hoofde van Verordening (EU) 2016/679 en met name het recht op overdraagbaarheid van gegevens uit hoofde van artikel 20 van die verordening, niet belemmeren, beletten of verstoren.

9. Bedrijfsgeheimen worden alleen bewaard en bekendgemaakt aan derden voor zover deze openbaarmaking strikt noodzakelijk is om het tussen de gebruiker en de derde overeengekomen doel te verwezenlijken. De gegevenshouder, of de houder van het bedrijfsgeheim indien deze niet de gegevenshouder is, identificeert de gegevens die als bedrijfsgeheim worden beschermd, onder meer in de relevante metagegevens, en komt met de derde alle evenredige technische en organisatorische maatregelen overeen die noodzakelijk zijn om de vertrouwelijkheid van de gedeelde gegevens te waarborgen, zoals modelcontractvoorwaarden, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes.

10. Indien er geen overeenstemming is over de in lid 9 van dit artikel bedoelde noodzakelijke maatregelen of als de derde de op grond van lid 9 van dit artikel overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, kan de gegevenshouder het delen van als bedrijfsgeheim aangemerkte gegevens tegenhouden of, naargelang van het geval, opschorten. Het besluit van de gegevenshouder wordt naar behoren gemotiveerd en onverwijld schriftelijk aan de derde meegedeeld. In dergelijke gevallen stelt de gegevenshouder de op grond van artikel 37 aangewezen bevoegde autoriteit in kennis van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en vermeldt hij welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd.

11. In uitzonderlijke omstandigheden, wanneer de gegevenshouder die houder is van een bedrijfsgeheim kan aantonen dat hij door de bekendmaking van bedrijfsgeheimen, ondanks de door de derde op grond van lid 9 van dit artikel genomen technische en organisatorische maatregelen, zeer waarschijnlijk ernstige economische schade zal lijden, kan die gegevenshouder per geval een verzoek om toegang tot de specifieke gegevens in kwestie weigeren. Dat bewijs wordt naar behoren onderbouwd op basis van objectieve elementen, met name de afdwingbaarheid van de bescherming van bedrijfsgeheimen in derde landen, de aard en het niveau van vertrouwelijkheid van de gevraagde gegevens, en de mate waarin het om een uniek en nieuw verbonden product gaat, en wordt onverwijld schriftelijk aan de derde verstrekt. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit lid, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.

12. Onverminderd het recht van derden om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan een derde het besluit van een gegevenshouder om het delen van gegevens op grond van de leden 10 en 11 te weigeren, tegen te houden of op te schorten aanvechten door:

a)	overeenkomstig artikel 37, lid 5, punt b), een klacht in te dienen bij de bevoegde autoriteit, die onverwijld beslist of en onder welke voorwaarden het delen van gegevens aanvangt of wordt hervat, of

b)	met de gegevenshouder overeen te komen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1.

13. Het in lid 1 bedoelde recht doet geen afbreuk aan de rechten van andere datasubjecten krachtens het toepasselijke Unie- en nationale recht inzake de bescherming van persoonsgegevens.

Artikel 6

Verplichtingen van derden die op verzoek van de gebruiker gegevens ontvangen

1. Een derde verwerkt de hem overeenkomstig artikel 5 ter beschikking gestelde gegevens uitsluitend voor de doeleinden en onder de voorwaarden die met de gebruiker zijn overeengekomen, en met inachtneming van het Unierecht en het nationale recht inzake de bescherming van persoonsgegevens, met inbegrip van de rechten van het datasubject wat persoonsgegevens betreft. De derde wist de gegevens wanneer zij niet langer noodzakelijk zijn voor het overeengekomen doel, tenzij in verband met niet-persoonsgebonden gegevens anders met de gebruiker is overeengekomen.

2. De derde:

maakt de uitoefening van het maken van keuzes of rechten uit hoofde van artikel 5 en dit artikel door gebruikers niet onnodig moeilijk door onder meer keuzemogelijkheden op niet-neutrale wijze aan de gebruiker te presenteren, hen te dwingen, te misleiden of te manipuleren, of door de autonomie, besluitvorming of keuzes van de gebruiker te ondermijnen, onder meer met behulp van een digitale gebruikersinterface met de gebruikers of een deel daarvan;

b)	gebruikt, niettegenstaande artikel 22, lid 2, punten a) en c), van Verordening (EU) 2016/679, de ontvangen gegevens niet voor de profilering, tenzij dit noodzakelijk is om de door de gebruiker gevraagde dienst te verlenen;

stelt de ontvangen gegevens niet ter beschikking van een andere derde, tenzij de gegevens beschikbaar worden gesteld op grond van een overeenkomst met de gebruiker en op voorwaarde dat de andere derde alle tussen de gegevenshouder en de derde overeengekomen noodzakelijke maatregelen neemt om de vertrouwelijkheid van bedrijfsgeheimen te waarborgen;

d)	stelt de ontvangen gegevens niet ter beschikking van een onderneming die als poortwachter is aangewezen overeenkomstig artikel 3 van Verordening (EU) 2022/1925;

gebruikt de ontvangen gegevens niet om een product te ontwikkelen dat concurreert met het verbonden product waaruit de ontvangen gegevens afkomstig zijn, of deelt de gegevens niet voor dat doel met een andere derde partij; derden gebruiken ook geen niet-persoonsgebonden productgegevens of gegevens van een gerelateerde dienst die hun ter beschikking zijn gesteld om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van, of het gebruik door, de gegevenshouder;

f)	gebruikt de ontvangen gegevens niet op een wijze die negatieve gevolgen heeft voor de veiligheid van het verbonden product of de gerelateerde dienst;

g)	neemt de specifieke maatregelen die overeenkomstig artikel 5, lid 9, met de gegevenshouder of de houder van bedrijfsgeheimen zijn overeengekomen in acht en ondermijnt de vertrouwelijkheid van bedrijfsgeheimen niet;

h)	belet gebruikers die consumenten zijn niet, onder meer op grond van een overeenkomst, om de gegevens die zij ontvangen ter beschikking te stellen van andere partijen.

Artikel 7

Reikwijdte van de verplichtingen tot het delen van gegevens tussen bedrijven en consumenten en tussen bedrijven onderling

1. De verplichtingen van dit hoofdstuk zijn niet van toepassing op gegevens die zijn gegenereerd door het gebruik van verbonden producten die zijn vervaardigd of ontworpen of gerelateerde diensten die zijn verleend door micro- of kleine ondernemingen, mits die ondernemingen geen partnerondernemingen of verbonden ondernemingen zoals gedefinieerd in artikel 3 van de bijlage bij Aanbeveling 2003/361/EG hebben die niet als micro- of kleine onderneming kunnen worden aangemerkt, en voor zover de micro- en kleine ondernemingen niet in onderaanneming een verbonden product vervaardigen of ontwerpen of een gerelateerde dienst verlenen.

Hetzelfde geldt voor minder dan een jaar voor gegevens die worden gegenereerd via het gebruik van verbonden producten die zijn vervaardigd of gerelateerde diensten die worden verleend door een onderneming die voor minder dan een jaar uit hoofde van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG als middelgrote onderneming kan is aangemerkt, of voor de verbonden producten voor minder dan een jaar na de datum waarop zij door een middelgrote onderneming in de handel zijn gebracht.

2. Contractuele bepalingen die de gebruiker benadelen omdat ze de toepassing van zijn rechten uitsluiten, daarvan afwijken of zijn rechten uit hoofde van dit hoofdstuk aantasten, zijn niet bindend voor de gebruiker.

HOOFDSTUK III

VERPLICHTINGEN VOOR GEGEVENSHOUDERS DIE KRACHTENS HET UNIERECHT VERPLICHT ZIJN OM GEGEVENS BESCHIKBAAR TE STELLEN

Artikel 11

Technische beschermingsmaatregelen inzake het ongeoorloofd gebruik of de ongeoorloofde openbaarmaking van gegevens

1. Een gegevenshouder kan passende technische beschermingsmaatregelen treffen, zoals slimme contracten en encryptie, om ongeoorloofde toegang tot gegevens, waaronder metagegevens, te voorkomen en de naleving van de artikelen 5, 6, 8 en 9 en de overeengekomen contractvoorwaarden voor het beschikbaar stellen van gegevens te waarborgen. Dergelijke technische beschermingsmaatregelen mogen geen onderscheid maken tussen gegevensontvangers, noch het recht van de gebruiker belemmeren om een kopie te verkrijgen, gegevens op te vragen, te gebruiken of te raadplegen, dan wel gegevens aan derden te verstrekken overeenkomstig artikel 5, of enig recht van een derde uit hoofde van het Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving. Gebruikers, derden of gegevensontvangers mogen dergelijke technische beschermingsmaatregelen niet wijzigen of schrappen, tenzij de gegevenshouder daarmee instemt.

2. In de in lid 3 bedoelde omstandigheden voldoet de derde of gegevensontvanger onverwijld aan de verzoeken van de gegevenshouder en, indien van toepassing en indien zij niet dezelfde persoon zijn, de houder van het bedrijfsgeheim of de gebruiker om:

a)	de door de gegevenshouder beschikbaar gestelde gegevens en kopieën daarvan te wissen;

een einde te maken aan het produceren, aanbieden, in de handel brengen of gebruiken van goederen, afgeleide gegevens of diensten die zijn geproduceerd op basis van de via die gegevens verkregen kennis, of aan het invoeren, uitvoeren of opslaan van inbreukmakende goederen voor die doeleinden, en inbreukmakende goederen te vernietigen, indien er een ernstig risico bestaat dat het onrechtmatige gebruik van die gegevens de gegevenshouder, de houder van het bedrijfsgeheim of de gebruiker ernstige schade zal berokkenen of indien een dergelijke maatregel niet onevenredig zou zijn in het licht van de belangen van de gegevenshouder, de houder van het bedrijfsgeheim of de gebruiker;

c)	de gebruiker in kennis te stellen van het ongeoorloofde gebruik of de ongeoorloofde openbaarmaking van de gegevens en van de maatregelen die zijn genomen om een einde te maken aan het ongeoorloofde gebruik of de ongeoorloofde openbaarmaking van de gegevens;

d)	de partij die lijdt onder het misbruik of de openbaarmaking van dergelijke onrechtmatig geraadpleegde of gebruikte gegevens schadeloos te stellen.

3. Lid 2 is van toepassing indien een derde of een gegevensontvanger

a)	met het oog op het verkrijgen van gegevens valse informatie aan een gegevenshouder heeft verstrekt, misleidende middelen of dwangmiddelen heeft ingezet of leemten in de technische infrastructuur van de gegevenshouder ter bescherming van de gegevens heeft misbruikt;

b)	de gegevens die ter beschikking zijn gesteld, voor ongeoorloofde doeleinden heeft gebruikt, zoals de ontwikkeling van een concurrerend verbonden product in de zin van artikel 6, lid 2, punt e);

c)	gegevens onrechtmatig aan een andere partij heeft verstrekt;

d)	de overeenkomstig artikel 5, lid 9, overeengekomen technische en organisatorische maatregelen niet heeft gehandhaafd; of

e)	door de gegevenshouder op grond van lid 1 van dit artikel toegepaste technische beschermingsmaatregelen zonder toestemming van de gegevenshouder heeft gewijzigd of geschrapt;

4. Lid 2 is ook van toepassing indien een gebruiker de door de gegevenshouder toegepaste technische beschermingsmaatregelen wijzigt of schrapt of de technische en organisatorische maatregelen die de gebruiker in overleg met de gegevenshouder of de houder van het bedrijfsgeheim, indien deze niet de gegevenshouder is, heeft genomen, niet handhaaft, om bedrijfsgeheimen te beschermen, alsmede ten aanzien van elke andere partij die de gegevens van de gebruiker ontvangt door middel van een inbreuk op deze verordening.

5. Wanneer de gegevensontvanger inbreuk maakt op artikel 6, lid 2, punt a) of b), hebben gebruikers dezelfde rechten als gegevenshouders op grond van lid 2 van dit artikel.

Artikel 12

Reikwijdte van de verplichtingen voor gegevenshouders die krachtens het Unierecht verplicht zijn om gegevens beschikbaar te stellen

1. Dit hoofdstuk is van toepassing wanneer een gegevenshouder in relaties tussen ondernemingen krachtens artikel 5, krachtens het toepasselijke Unierecht of krachtens toepasselijke overeenkomstig het Unierecht vastgestelde nationale wetgeving, verplicht is gegevens ter beschikking te stellen aan een gegevensontvanger.

2. Een contractvoorwaarde in een gegevensdelingsovereenkomst die, ten nadele van een partij of, in voorkomend geval, ten nadele van de gebruiker, de toepassing van dit hoofdstuk uitsluit, daarvan afwijkt of de gevolgen ervan wijzigt, is niet bindend voor die partij.

HOOFDSTUK IV

ONEERLIJKE CONTRACTUELE BEDINGEN MET BETREKKING TOT DE TOEGANG TOT EN HET GEBRUIK VAN GEGEVENS TUSSEN ONDERNEMINGEN

Artikel 17

Verzoeken om gegevens beschikbaar te stellen

1. Wanneer overheidsinstanties, de Commissie, de Europese Centrale Bank of een orgaan van de Unie om gegevens overeenkomstig artikel 14, verzoeken:

a)	specificeren zij de vereiste gegevens, met inbegrip van de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken;

b)	tonen zij aan dat wordt voldaan aan de noodzakelijke voorwaarden voor het bestaan van een uitzonderlijke noodzaak als bedoeld in artikel 15, op grond waarvan om de gegevens wordt verzocht;

geven zij een toelichting op het doel van het verzoek, het beoogde gebruik van de gevraagde gegevens, ook indien een derde in voorkomend geval overeenkomstig lid 4 van dit artikel daarom heeft verzocht, de duur van dat gebruik en, in voorkomend geval, de wijze waarop de verwerking van persoonsgegevens tegemoetkomt aan de uitzonderlijke noodzaak;

d)	geven zij indien mogelijk aan wanneer de gegevens naar verwachting zullen worden gewist door alle partijen die er toegang toe hebben;

e)	onderbouwen zij de keuze van de gegevenshouder tot wie het verzoek zich richt;

f)	vermelden zij de andere overheidsinstanties of de Commissie, de Europese Centrale Bank of organen van de Unie en de derden waarmee de verkregen gegevens naar verwachting zullen worden gedeeld;

indien om persoonsgegevens wordt verzocht, specificeren zij welke technische en organisatorische maatregelen nodig en evenredig zijn om de gegevensbeschermingsbeginselen en de nodige waarborgen toe te passen, zoals pseudonimisering, en of de gegevenshouder anonimisering kan toepassen voordat hij de gegevens beschikbaar stelt;

h)	vermelden zij de wettelijke bepaling waarbij aan de verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie de specifieke taak van algemeen belang wordt toegewezen waarvoor de gegevens wordt gevraagd;

i)	specificeren zij de termijn waarbinnen de gegevens beschikbaar moeten worden gesteld en de in artikel 18, lid 2, bedoelde termijn waarbinnen de gegevenshouder het verzoek kan afwijzen of om wijziging ervan kan verzoeken;

j)	stellen zij alles in het werk om te voorkomen dat een verzoek om gegevens wordt ingewilligd als dat zou leiden tot aansprakelijkheid van de gegevenshouders voor inbreuken op het Unierecht of nationale recht.

2. Een verzoek om gegevens op grond van lid 1 van dit artikel:

a)	wordt schriftelijk ingediend en uitgedrukt in duidelijke, beknopte en eenvoudige taal die voor de gegevenshouder begrijpelijk is;

b)	vermeldt specifiek om welk soort gegevens het gaat en komt overeen met de gegevens waarover de gegevenshouder ten tijde van het verzoek de controle heeft;

c)	staat in verhouding tot de uitzonderlijke noodzaak en is naar behoren gemotiveerd, wat betreft de mate van detail en het volume van de gevraagde gegevens en de frequentie van de toegang tot de gevraagde gegevens;

d)	eerbiedigt de legitieme doelstellingen van de gegevenshouder en zorgt voor de bescherming van bedrijfsgeheimen overeenkomstig artikel 19, lid 3, en de kosten en inspanningen die nodig zijn om de gegevens beschikbaar te stellen;

heeft betrekking op niet-persoonsgebonden gegevens, en alleen als wordt aangetoond dat dit ontoereikend is om te voldoen aan de uitzonderlijke noodzaak om gegevens te gebruiken, overeenkomstig artikel 15, lid 1, punt a), behelst het persoonsgegevens in gepseudonimiseerde vorm en stelt het de technische en organisatorische maatregelen vast die moeten worden genomen om de gegevens te beschermen;

f)	stelt de gegevenshouder in kennis van de sancties die overeenkomstig artikel 40 door de in artikel 37 aangewezen bevoegde autoriteit moeten worden opgelegd in geval van niet-naleving van het verzoek;

wordt, indien het verzoek door een overheidsinstantie wordt ingediend, toegezonden aan de in artikel 37 bedoelde gegevenscoördinator van de lidstaat waar de verzoekende overheidsinstantie is gevestigd, die het verzoek onverwijld online beschikbaar stelt, tenzij de datacoördinator van oordeel is dat een dergelijke publicatie een risico voor de openbare veiligheid zou opleveren;

h)	wordt, wanneer het verzoek door de Commissie, de Europese Centrale Bank of een orgaan van de Unie wordt gedaan, onverwijld online beschikbaar gesteld;

i)	wordt, indien om persoonsgegevens wordt verzocht, onverwijld gemeld bij de toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de toepassing van Verordening (EU) 2016/679 in de lidstaat waar de overheidsinstantie is gevestigd.

De Europese Centrale Bank en de organen van de Unie stellen de Commissie in kennis van hun verzoeken.

3. Een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie stelt de op grond van dit hoofdstuk verkregen gegevens niet beschikbaar voor hergebruik zoals gedefinieerd in artikel 2, punt 2, van Verordening (EU) 2022/868 of artikel 2, punt 11, van Richtlijn (EU) 2019/1024. Verordening (EU) 2022/868 en Richtlijn (EU) 2019/1024 zijn niet van toepassing op de gegevens die overheidsinstanties op grond van dit hoofdstuk hebben verkregen.

4. Lid 3 van dit artikel belet een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie niet om op grond van dit hoofdstuk verkregen gegevens uit te wisselen met een andere overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie met het oog op de vervulling van de taken zoals bedoeld in artikel 15, zoals vermeld in het verzoek overeenkomstig lid 1, punt f), van dit artikel, of om de gegevens beschikbaar te stellen aan een derde in gevallen waarin door middel van een openbaar beschikbare overeenkomst technische inspecties of andere taken aan die derde zijn gedelegeerd. De verplichtingen van overheidsinstanties overeenkomstig artikel 19, met name waarborgen ter bescherming van de vertrouwelijkheid van bedrijfsgeheimen, gelden ook voor dergelijke derden. Wanneer overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie gegevens uit hoofde van dit lid doorgeven of beschikbaar stellen, stellen zij de gegevenshouder van wie de gegevens zijn ontvangen onverwijld daarvan in kennis.

5. Indien de gegevenshouder van mening is dat zijn rechten uit hoofde van dit hoofdstuk zijn geschonden door het doorgeven of het beschikbaar stellen van gegevens, kan hij een klacht indienen bij de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.

6. De Commissie ontwikkelt een modelformulier voor verzoeken overeenkomstig dit artikel.

Artikel 21

Delen van in de context van een uitzonderlijke noodzaak verkregen gegevens met onderzoeksorganisaties of statistische instanties

1. Overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie mogen uit hoofde van dit hoofdstuk ontvangen gegevens delen:

a)	met personen of organisaties met het oog op het uitvoeren van wetenschappelijk onderzoek of analyses die verenigbaar zijn met het doel waarvoor de gegevens werden gevraagd; of

b)	met nationale bureaus voor de statistiek of Eurostat voor het opstellen van officiële statistieken.

2. Personen of organisaties die de gegevens overeenkomstig lid 1 ontvangen, handelen zonder winstoogmerk of in het kader van een in het Unie- of nationale recht erkende taak van algemeen belang. Hieronder vallen niet organisaties waarop commerciële ondernemingen een aanzienlijke invloed uitoefenen die waarschijnlijk zal leiden tot preferentiële toegang tot de resultaten van het onderzoek.

3. Personen of organisaties die de gegevens overeenkomstig lid 1 van dit artikel ontvangen, voldoen aan dezelfde verplichtingen die van toepassing zijn op de overheidsinstanties, de Commissie, de Europese Centrale Bank of de organen van de Unie overeenkomstig artikel 17, lid 3, en artikel 19.

4. Niettegenstaande artikel 19, lid 1, punt c), mogen personen of organisaties die de gegevens overeenkomstig lid 1 van dit artikel ontvangen, de ontvangen gegevens voor het doel waarvoor de gegevens werden gevraagd, bewaren tot zes maanden na het wissen van de gegevens door de overheidsinstanties, de Commissie, de Europese Centrale Bank en de organen van de Unie.

5. Indien een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie voornemens is gegevens uit hoofde van lid 1 van dit artikel beschikbaar te stellen, stelt zij/het onverwijld de gegevenshouder van wie de gegevens zijn ontvangen daarvan in kennis met vermelding van de identiteit en contactgegevens van de organisatie of de persoon die de gegevens ontvangt, het doel van de doorgifte of beschikbaarstelling van de gegevens, de termijn gedurende welke de gegevens mogen worden gebruikt en de technische bescherming en organisatorische maatregelen die zijn genomen, ook indien het persoonsgegevens of bedrijfsgeheimen betreft. Indien de gegevenshouder het niet eens is met het doorgeven of beschikbaar stellen van gegevens, kan hij een klacht indienen bij de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar hij is gevestigd.

Artikel 25

Contractvoorwaarden betreffende een overstap

1. De rechten van de klant en de verplichtingen van de aanbieder van dataverwerkingsdiensten met betrekking tot het overstappen naar andere aanbieders van dergelijke diensten of, indien van toepassing, naar een on-premises-ICT-infrastructuur worden duidelijk vastgelegd in een schriftelijk contract. De aanbieder van dataverwerkingsdiensten stelt die overeenkomst vóór de ondertekening daarvan ter beschikking van de klant op een manier waardoor deze de overeenkomst kan opslaan en reproduceren.

2. Onverminderd Richtlijn (EU) 2019/770 bevat het in lid 1 van dit artikel bedoelde contract ten minste het volgende:

bepalingen op grond waarvan de klant, op verzoek, kan overstappen naar een dataverwerkingsdienst die wordt aangeboden door een andere aanbieder van dataverwerkingsdiensten of op grond waarvan de klant alle exporteerbare data, en digitale activa kan overdragen naar een on-premises-ICT-infrastructuur, onverwijld en in geen geval na de verplichte overgangsperiode van maximaal 30 dagen, die aanvangt na de maximale opzegtermijn bedoeld in punt d), waarbinnen de dienstverleningsovereenkomst van toepassing blijft en waarbinnen de aanbieder van dataverwerkingsdiensten:

i)	redelijke bijstand verleent aan de klant en door de klant gemachtigde derden in het overstapproces;

ii)	met de nodige zorgvuldigheid handelt om de bedrijfscontinuïteit in stand te houden en de functies of diensten op grond van de overeenkomst blijft verlenen;

iii)	duidelijke informatie verstrekt over bekende risico’s voor de continuïteit van de verlening van de functies of diensten aan de zijde van de oorspronkelijke aanbieder van de dataverwerkingsdiensten;

iv)

ervoor zorgt dat gedurende het overstapproces een hoog beveiligingsniveau wordt gehandhaafd, met name wat betreft de beveiliging van de gegevens tijdens de doorgifte ervan en de voortdurende beveiliging van gegevens tijdens de in punt g) gespecificeerde opvragingstermijn, in overeenstemming met het toepasselijke Unie- of nationale recht;

b)	een verplichting voor de aanbieder van dataverwerkingsdiensten om ondersteuning te bieden voor de exitstrategie van de klant in het kader van de gecontracteerde diensten, onder meer door alle relevante informatie te verstrekken;

een clausule waarin wordt bepaald dat de overeenkomst wordt geacht te zijn beëindigd en dat de klant in kennis wordt gesteld van de beëindiging, in een van de volgende gevallen:

i)	indien van toepassing, na de succesvolle voltooiing van het overstapproces;

ii)	aan het einde van de in punt d) bedoelde maximale opzegtermijn, indien de klant niet wil overstappen, maar al zijn exporteerbare data en digitale activa na beëindiging van de dienst wil wissen.

d)	een maximale opzegtermijn voor het initiëren van het overstapproces, die niet meer dan twee maanden bedraagt;

e)	een volledige specificatie van alle categorieën gegevens en digitale activa die tijdens het overstapproces kunnen worden overgedragen, waaronder ten minste alle exporteerbare data;

een exhaustieve specificatie van de categorieën gegevens die specifiek zijn voor de interne werking van de dataverwerkingsdiensten van de aanbieder en die geen deel mogen uitmaken van de in punt e) van dit lid bedoelde exporteerbare data wanneer er een risico op schending van bedrijfsgeheimen van de aanbieder bestaat, op voorwaarde dat dergelijke uitzonderingen het in artikel 23 bedoelde overstapproces niet belemmeren of vertragen;

g)	een minimumtermijn voor het opvragen van gegevens van ten minste 30 kalenderdagen, beginnend na de beëindiging van de overgangsperiode die is overeengekomen tussen de klant en de aanbieder van dataverwerkingsdiensten, overeenkomstig punt a), van dit lid en lid 4;

een clausule die garandeert dat alle exporteerbare data en digitale activa die rechtstreeks door de klant worden gegenereerd of die rechtstreeks betrekking hebben op de klant, volledig worden gewist na het verstrijken van de in punt g) bedoelde opvragingstermijn of na het verstrijken van een alternatieve overeengekomen termijn na de datum waarop de in punt g) bedoelde opvragingstermijn verstrijkt, op voorwaarde dat het overstapproces met succes is voltooid;

i)	overstapkosten die door aanbieders van dataverwerkingsdiensten in rekening kunnen worden gebracht overeenkomstig artikel 29.

3. Het in lid 1 bedoelde contract bevat bedingen op grond waarvan de klant de aanbieder van dataverwerkingsdiensten bij de beëindiging van de in lid 2, punt d), bedoelde maximale kennisgevingsperiode in kennis kan stellen van zijn besluit om een of meer van de volgende handelingen te verrichten:

a)	overstappen naar een andere aanbieder van dataverwerkingsdiensten, in welk geval de klant de nodige gegevens over die aanbieder verstrekt;

b)	overschakelen op een on-premises-ICT-infrastructuur;

c)	zijn exporteerbare data en digitale activa wissen.

4. Wanneer de verplichte maximale overgangsperiode als bedoeld in lid 2, punt a), technisch niet haalbaar is, stelt de aanbieder van dataverwerkingsdiensten de klant daarvan in kennis binnen 14 werkdagen na het overstapverzoek, rechtvaardigt hij de technische onhaalbaarheid naar behoren en vermeldt hij een alternatieve overgangsperiode, die niet langer mag zijn dan zeven maanden. Overeenkomstig lid 1 wordt de continuïteit van de dienstverlening gewaarborgd gedurende de gehele alternatieve overgangsperiode.

5. Onverminderd lid 4 bevat het in lid 1 bedoelde contract bedingen die de klant het recht verlenen de overgangsperiode eenmaal te verlengen met een periode die de klant voor zijn eigen doeleinden geschikter acht.

Artikel 33

Essentiële eisen inzake interoperabiliteit van gegevens, van mechanismen en diensten voor het delen van gegevens alsook van gemeenschappelijke Europese dataruimten

1. Deelnemers aan dataruimten die gegevens of datadiensten aanbieden aan andere deelnemers, voldoen aan de volgende essentiële eisen om de interoperabiliteit van gegevens, van mechanismen en diensten voor gegevensdeling alsook van gemeenschappelijke Europese dataruimten die doel- of sectorspecifieke of sectoroverschrijdende interoperabele kaders voor gemeenschappelijke normen en praktijken op het gebied van het delen van gegevens of gezamenlijke dataverwerking vormen met het oog op onder meer de ontwikkeling van nieuwe producten en diensten, wetenschappelijk onderzoek of initiatieven van het maatschappelijk middenveld:

a)	de inhoud van de dataset, gebruiksbeperkingen, licenties, gegevensverzamelingsmethoden, gegevenskwaliteit en onzekerheid worden voldoende beschreven, indien van toepassing, in een machineleesbaar formaat om de ontvanger in staat te stellen de gegevens te vinden, te raadplegen en te gebruiken;

b)	de datastructuren, dataformaten, vocabularia, classificatieschema’s, taxonomieën en codelijsten worden, indien beschikbaar, op een voor het publiek toegankelijke en consistente wijze beschreven;

de technische middelen om toegang te krijgen tot de gegevens, zoals application programming interfaces, en de bijbehorende gebruiksvoorwaarden en kwaliteit van de dienstverlening worden voldoende beschreven om automatische toegang tot en overdracht van gegevens tussen partijen mogelijk te maken, ook continu, in de vorm van bulksgewijze downloads of in realtime in een machineleesbaar formaat, indien dat technisch haalbaar is en de goede werking van het verbonden product niet belemmert;

d)	indien van toepassing wordt er voorzien in de middelen om de interoperabiliteit mogelijk te maken van instrumenten voor het automatiseren van de uitvoering van gegevensdelingsovereenkomsten, zoals slimme contracten.

De eisen kunnen een generiek karakter hebben of betrekking hebben op specifieke sectoren, waarbij ten volle rekening wordt gehouden met de samenhang met eisen die voortvloeien uit ander Unie- of nationaal recht.

2. De Commissie is bevoegd overeenkomstig artikel 45 van deze verordening gedelegeerde handelingen vast te stellen om deze verordening aan te vullen, door de in lid 1 van dit artikel vastgelegde essentiële eisen nader te specificeren wat betreft die eisen welke door hun aard niet het beoogde effect kunnen sorteren tenzij zij nader worden gespecificeerd in bindende rechtshandelingen van de Unie, en teneinde de technologische en marktontwikkelingen naar behoren weer te geven.

De Commissie houdt bij de vaststelling van gedelegeerde handelingen rekening met het advies van het Europees Comité voor gegevensinnovatie overeenkomstig artikel 42, punt c), iii).

3. De deelnemers aan dataruimten die gegevens of datadiensten aanbieden aan andere deelnemers aan dataruimten die voldoen aan de geharmoniseerde normen of delen daarvan, waarvan de referentie in het Publicatieblad van de Europese Unie is bekendgemaakt, worden geacht te voldoen aan de in lid 1 vastgelegde essentiële eisen, voor zover die eisen worden gedekt door deze geharmoniseerde normen of delen daarvan.

4. De Commissie verzoekt op grond van artikel 10 van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties geharmoniseerde normen op te stellen die voldoen aan de in lid 1 van dit artikel vastgelegde essentiële eisen.

5. De Commissie kan door middel van uitvoeringshandelingen gemeenschappelijke specificaties vaststellen voor een of alle van de in lid 1 vastgelegde essentiële eisen, indien aan de volgende voorwaarden is voldaan:

de Commissie heeft overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties verzocht een geharmoniseerde norm op te stellen die voldoet aan de in lid 1 van dit artikel vastgelegde eisen en:

i)	het verzoek is niet aanvaard:

ii)	de geharmoniseerde normen die naar aanleiding van dat verzoek zijn ontwikkeld, is niet binnen de overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 vastgestelde termijn geleverd; of

iii)	de geharmoniseerde normen voldoen niet aan het verzoek, en

er werd geen referentie van geharmoniseerde normen overeenkomstig Verordening (EU) nr. 1025/2012 bekendgemaakt in het Publicatieblad van de Europese Unie voor de desbetreffende in lid 1 van dit artikel vastgelegde essentiële eisen, en een dergelijke referentie zal naar verwachting niet binnen een redelijke termijn worden bekendgemaakt.

Die uitvoeringshandelingen worden volgens de in artikel 46, lid 2, bedoelde onderzoeksprocedure vastgesteld.

6. Alvorens een in lid 5 van dit artikel bedoelde ontwerpuitvoeringshandeling op te stellen, stelt de Commissie het in artikel 22 van Verordening (EU) nr. 1025/2012 bedoelde comité ervan in kennis dat zij van oordeel is dat aan de voorwaarden van lid 5 van dit artikel is voldaan.

7. Bij het opstellen van de ontwerpuitvoeringshandeling zoals bedoeld in lid 5 houdt de Commissie rekening met het advies van het Europees Comité voor gegevensinnovatie en met de standpunten van andere relevante organen of deskundigengroepen en raadpleegt zij alle relevante belanghebbenden.

8. De deelnemers aan dataruimten die gegevens of datadiensten aan andere deelnemers aan dataruimten aanbieden die voldoen aan de gemeenschappelijke specificaties zoals vastgesteld bij de in lid 5 bedoelde uitvoeringshandelingen of delen daarvan, worden geacht in overeenstemming te zijn met de essentiële in lid 1 vastgelegde eisen voor zover die eisen door de gemeenschappelijke specificaties of delen daarvan gedekt zijn.

9. Wanneer een Europese normalisatieorganisatie een geharmoniseerde norm vaststelt en deze aan de Commissie voorstelt met het oog op de bekendmaking van de referentie ervan in het Publicatieblad van de Europese Unie, beoordeelt de Commissie de geharmoniseerde norm overeenkomstig Verordening (EU) nr. 1025/2012. Wanneer de referentie van een geharmoniseerde norm in het Publicatieblad van de Europese Unie wordt bekendgemaakt, trekt de Commissie de in lid 5 van dit artikel bedoelde uitvoeringshandelingen of delen daarvan die dezelfde essentiële eisen dekken als die die zijn gedekt door die geharmoniseerde norm, in.

10. Wanneer een lidstaat van oordeel is dat een gemeenschappelijke specificatie niet volledig aan de in lid 1 vastgelegde essentiële eisen voldoet, stelt deze lidstaat de Commissie daarvan in kennis door het indienen van een gedetailleerde toelichting. De Commissie beoordeelt die gedetailleerde toelichting en kan in voorkomend geval de uitvoeringshandeling tot vaststelling van de betrokken gemeenschappelijke specificatie wijzigen.

11. De Commissie kan richtsnoeren vaststellen, rekening houdend met het voorstel van het Europees Comité voor gegevensinnovatie overeenkomstig artikel 30, punt h), van Verordening (EU) 2022/868 tot vaststelling van interoperabele kaders voor gemeenschappelijke normen en praktijken voor de werking van gemeenschappelijke Europese dataruimten.

Artikel 35

Interoperabiliteit voor dataverwerkingsdiensten

1. Open interoperabiliteitsspecificaties en geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten voldoen aan het volgende:

a)	zij bereiken, voor zover technisch haalbaar, interoperabiliteit tussen verschillende dataverwerkingsdiensten die hetzelfde type dienst dekken;

b)	zij verbeteren de overdraagbaarheid van digitale activa tussen verschillende dataverwerkingsdiensten die hetzelfde type dienst dekken;

c)	zij faciliteren, voor zover technisch haalbaar, de functionele gelijkwaardigheid tussen de in artikel 30, lid 1, bedoelde dataverwerkingsdiensten die hetzelfde type dienst dekken;

d)	zij hebben geen negatieve gevolgen voor de veiligheid en integriteit van dataverwerkingsdiensten;

e)	zij zijn zodanig ontworpen dat zij technische vooruitgang en de opneming van nieuwe functies en innovatie in dataverwerkingsdiensten mogelijk maken.

2. Open interoperabiliteitsspecificaties en geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten pakken de volgende aspecten naar behoren aan:

a)	de aspecten van cloudinteroperabiliteit in het vervoer, syntactische interoperabiliteit, semantische data-interoperabiliteit, gedragsinteroperabiliteit en beleidsinteroperabiliteit;

b)	de overdraagbaarheidsaspecten van cloudgegevens inzake syntactische en semantische overdraagbaarheid van gegevens en overdraagbaarheid van het gegevensbeleid;

c)	de cloudtoepassingsaspecten van applicatiesyntactische overdraagbaarheid, applicatie-instructieportabiliteit, overdraagbaarheid van applicatiemetagegevens, overdraagbaarheid van applicatiegedrag en overdraagbaarheid van het applicatiebeleid.

3. Open interoperabiliteitsspecificaties voldoen aan bijlage II bij Verordening (EU) nr. 1025/2012.

4. Na rekening te hebben gehouden met relevante internationale en Europese normen en initiatieven op het gebied van zelfregulering, kan de Commissie overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties verzoeken geharmoniseerde normen op te stellen die voldoen aan de in de leden 1 en 2 van dit artikel vastgelegde essentiële eisen.

5. De Commissie kan door middel van uitvoeringshandelingen gemeenschappelijke specificaties vaststellen op basis van open interoperabiliteitsspecificaties die alle in de leden 1 en 2 vastgelegde essentiële eisen dekken.

6. Bij de opstelling van de in lid 5 van dit artikel bedoelde ontwerpuitvoeringshandeling houdt de Commissie rekening met de standpunten van de in artikel 37, lid 5, punt h), bedoelde relevante bevoegde autoriteiten en andere relevante instanties of deskundigengroepen en raadpleegt zij naar behoren alle relevante belanghebbenden.

7. Wanneer een lidstaat van oordeel is dat een gemeenschappelijke specificatie niet volledig aan de in de leden 1 en 2 vastgelegde essentiële eisen voldoet, stelt deze lidstaat de Commissie daarvan in kennis door het indienen van een gedetailleerde toelichting. De Commissie beoordeelt die gedetailleerde informatie en kan in voorkomend geval de uitvoeringshandeling tot vaststelling van de betrokken gemeenschappelijke specificatie wijzigen.

8. Voor de toepassing van artikel 30, lid 3, maakt de Commissie door middel van uitvoeringshandelingen, in een centraal Unieregister voor normen voor de interoperabiliteit van dataverwerkingsdiensten, de referentie bekend van geharmoniseerde normen en gemeenschappelijke specificaties voor de interoperabiliteit van dataverwerkingsdiensten.

9. De in dit artikel bedoelde uitvoeringshandelingen worden vastgesteld volgens de in artikel 46, lid 2, bedoelde onderzoeksprocedure.

Artikel 36

Essentiële eisen met betrekking tot slimme contracten voor het uitvoeren van gegevensdelingsovereenkomsten

1. De verkoper van een applicatie die gebruikmaakt van slimme contracten of, bij het ontbreken daarvan, de persoon van wie de handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van de uitvoering van een overeenkomst of een deel daarvan voor het beschikbaar stellen van gegevens inhoudt, zorgt ervoor dat die slimme contracten voldoen aan de volgende essentiële eisen van:

a)	robuustheid en toegangscontrole, om ervoor te zorgen dat het slimme contract zo is ontworpen dat het toegangscontrolemechanismen en een zeer hoge mate van robuustheid biedt om functionele fouten te voorkomen en manipulatie door derden te weerstaan;

veilige beëindiging en onderbreking, om ervoor te zorgen dat er een mechanisme bestaat om de doorlopende uitvoering van transacties te beëindigen en dat het slimme contract interne functies omvat die de overeenkomst kunnen resetten of de opdracht kunnen geven de verrichting stop te zetten of te onderbreken, met name om toekomstige accidentele uitvoeringen ervan te voorkomen;

archivering en continuïteit van gegevens, om ervoor te zorgen dat, in gevallen waarin een slim contract moet worden beëindigd of gedeactiveerd, de mogelijkheid bestaat om de transactiegegevens, alsook de slimme-contractlogica en -code te archiveren teneinde verrichtingen die in het verleden op de gegevens zijn uitgevoerd, te registreren (controleerbaarheid);

d)	toegangscontrole, om ervoor te zorgen dat een slim contract wordt beschermd door middel van strikte toegangscontrolemechanismen in de beheers- en slimme-contractlagen, en

e)	consistentie, om te zorgen voor consistentie met de voorwaarden van de gegevensdelingsovereenkomst die door het slimme contract wordt uitgevoerd.

2. De verkoper van een slim contract of, bij het ontbreken daarvan, de persoon van wie de handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van de uitvoering van een overeenkomst of een deel daarvan voor het beschikbaar stellen van gegevens inhoudt, voert een conformiteitsbeoordeling uit om aan de in lid 1 vastgelegde essentiële eisen te voldoen en geeft, indien aan die eisen is voldaan, een EU-conformiteitsverklaring af.

3. Door een EU-conformiteitsverklaring af te geven is de verkoper van een toepassing die gebruikmaakt van slimme contracten of, bij het ontbreken daarvan, de persoon van wie de handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van de uitvoering van een overeenkomst of een deel daarvan, voor het beschikbaar stellen van gegevens inhoudt, verantwoordelijk voor de conformiteit met de in lid 1 vastgelegde essentiële eisen.

4. Een slim contract dat voldoet aan de geharmoniseerde normen of de relevante delen daarvan, waarvan de referenties in het Publicatieblad van de Europese Unie worden bekendgemaakt, wordt geacht in overeenstemming te zijn met de in lid 1 vastgelegde essentiële eisen, voor zover die eisen door die geharmoniseerde normen of delen daarvan worden gedekt.

5. De Commissie verzoekt op grond van artikel 10 van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties geharmoniseerde normen op te stellen die voldoen aan de in lid 1 van dit artikel vastgelegde essentiële eisen.

6. De Commissie kan door middel van uitvoeringshandelingen gemeenschappelijke specificaties vaststellen voor een of alle van de in lid 1 vastgelegde essentiële eisen indien aan de volgende voorwaarden is voldaan:

i)	het verzoek is niet aanvaard;

ii)	de geharmoniseerde normen waarop dat verzoek is gericht, zijn niet binnen de overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 vastgestelde termijn geleverd; of

iii)	de geharmoniseerde normen voldoen niet aan het verzoek, en

er wordt geen referentie van geharmoniseerde normen overeenkomstig Verordening (EU) nr. 1025/2012 bekendgemaakt in het Publicatieblad van de Europese Unie voor de desbetreffende in lid 1 van dit artikel vastgelegde essentiële eisen, en een dergelijke referentie zal naar verwachting niet binnen een redelijke termijn worden bekendgemaakt.

Die uitvoeringshandelingen worden volgens de in artikel 46, lid 2, bedoelde onderzoeksprocedure vastgesteld.

7. Alvorens een in lid 6 van dit artikel bedoelde ontwerpuitvoeringshandeling op te stellen, stelt de Commissie het in artikel 22 van Verordening (EU) nr. 1025/2012 bedoelde comité ervan in kennis dat zij van oordeel is dat aan de voorwaarden van lid 6 van dit artikel is voldaan.

8. Bij het opstellen van de in lid 6 bedoelde ontwerpuitvoeringshandeling houdt de Commissie rekening met het advies van het Europees Comité voor gegevensinnovatie en de standpunten van andere relevante organen of deskundigengroepen en raadpleegt zij alle relevante belanghebbenden.

9. De verkoper van een slim contract of, bij het ontbreken daarvan, de persoon van wie de handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van de uitvoering van een overeenkomst of een deel daarvan, voor het beschikbaar stellen van gegevens inhoudt die voldoen aan de gemeenschappelijke specificaties zoals vastgesteld bij de in lid 6 bedoelde uitvoeringshandelingen of delen daarvan, wordt geacht in overeenstemming te zijn met de in lid 1 vastgelegde essentiële eisen voor zover deze eisen door die gemeenschappelijke specificaties of delen daarvan gedekt zijn.

10. Wanneer een Europese normalisatieorganisatie een geharmoniseerde norm vaststelt en deze aan de Commissie voorstelt met het oog op de bekendmaking van de referentie ervan in het Publicatieblad van de Europese Unie, beoordeelt de Commissie de geharmoniseerde norm overeenkomstig Verordening (EU) nr. 1025/2012. Wanneer de referentie van een geharmoniseerde norm in het Publicatieblad van de Europese Unie wordt bekendgemaakt, trekt de Commissie de in lid 6 van dit artikel bedoelde uitvoeringshandelingen of delen daarvan die dezelfde essentiële eisen dekken als die welke door die geharmoniseerde norm zijn gedekt, in.

11. Wanneer een lidstaat van oordeel is dat een gemeenschappelijke specificatie niet volledig aan de in lid 1 vastgelegde essentiële eisen voldoet, stelt deze lidstaat de Commissie daarvan in kennis door het indienen van een gedetailleerde toelichting. De Commissie beoordeelt die gedetailleerde toelichting en kan in voorkomend geval de uitvoeringshandeling tot vaststelling van de betrokken gemeenschappelijke specificatie wijzigen.

HOOFDSTUK IX

UITVOERING EN HANDHAVING

Artikel 40

Sancties

1. De lidstaten stellen voorschriften vast ten aanzien van de sancties voor inbreuken op deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

2. De lidstaten stellen de Commissie uiterlijk op 12 september 2025 van die voorschriften en maatregelen in kennis en delen haar onverwijld alle latere wijzigingen daarvan mee. De Commissie houdt een gemakkelijk toegankelijk openbaar register van die maatregelen bij en actualiseert dit regelmatig.

3. De lidstaten houden rekening met de aanbevelingen van het Europees Comité voor gegevensinnovatie en de volgende niet-uitputtende criteria voor het opleggen van sancties voor inbreuken op deze verordening:

a)	de aard, de ernst, de omvang en de duur van de inbreuk;

b)	door de inbreukmakende partij ondernomen actie om de schade als gevolg van de inbreuk te beperken of te herstellen;

c)	eerdere inbreuken van de inbreukmakende partij;

d)	de door de inbreukmakende partij verkregen financiële voordelen of vermeden verliezen als gevolg van de inbreuk, voor zover deze voordelen of verliezen op betrouwbare wijze kunnen worden vastgesteld;

e)	andere verzwarende of verzachtende factoren die van toepassing zijn op de omstandigheden van de zaak;

f)	de jaaromzet van de inbreukmakende partij in het voorgaande boekjaar in de Unie.

4. Voor inbreuken op de verplichtingen in de hoofdstukken II, III en V van deze verordening kunnen de voor de toepassing van Verordening (EU) 2016/679 verantwoordelijke toezichthoudende autoriteiten binnen hun bevoegdheidssfeer administratieve geldboetes opleggen overeenkomstig artikel 83 van Verordening (EU) 2016/679, welke kunnen oplopen tot het in artikel 83, lid 5, van die verordening bedoelde bedrag.

5. Voor inbreuken op de verplichtingen in hoofdstuk V van deze verordening kan de Europese Toezichthouder voor gegevensbescherming binnen zijn bevoegdheidssfeer administratieve geldboetes opleggen overeenkomstig artikel 66 van Verordening (EU) 2018/1725, die kunnen oplopen tot het in artikel 66, lid 3, van die verordening bedoelde bedrag.

Artikel 43

Databanken die bepaalde gegevens bevatten

Het in artikel 7 van Richtlijn 96/9/EG bedoelde sui-generis-recht is niet van toepassing wanneer gegevens worden verkregen uit of gegenereerd door een verbonden product dat of gerelateerde dienst die binnen het toepassingsgebied van deze verordening valt, met name met betrekking tot de artikelen 4 en 5 daarvan.

HOOFDSTUK XI

SLOTBEPALINGEN

Artikel 44

Andere Unierechtshandelingen betreffende rechten en verplichtingen inzake de toegang tot en het gebruik van gegevens

1. De specifieke verplichtingen voor het beschikbaar stellen van gegevens tussen bedrijven onderling, tussen bedrijven en consumenten, en bij wijze van uitzondering tussen bedrijven en overheidsinstanties, in Unierechtshandelingen die op of vóór 11 januari 2024 in werking zijn getreden, en de gedelegeerde of uitvoeringshandelingen op grond daarvan, blijven onverlet.

2. Deze verordening doet geen afbreuk aan het Unierecht waarin, gezien de behoeften van een sector, een gemeenschappelijke Europese dataruimte of een gebied van algemeen belang, verdere vereisten worden vastgesteld, met name met betrekking tot:

a)	technische aspecten van de toegang tot gegevens;

b)	beperkingen van het recht van gegevenshouders op toegang tot of gebruik van bepaalde door gebruikers verstrekte gegevens;

c)	aspecten die verder gaan dan de toegang tot en het gebruik van gegevens.

3. Deze verordening, met uitzondering van hoofdstuk V, doet geen afbreuk aan het Unierecht en het nationale recht die voorzien in toegang tot en toestemming voor het gebruik van gegevens voor wetenschappelijk onderzoek.

Artikel 45

Uitoefening van de bevoegdheidsdelegatie

1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2. De in artikel 29, lid 7, en artikel 33, lid 2, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van 11 januari 2024.

3. Het Europees Parlement of de Raad kan de in artikel 29, lid 7, en artikel 33, lid 2, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4. Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

6. Een op grond van artikel 29, lid 7, of artikel 33, lid 2, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van drie maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad vóór het verstrijken van die termijn de Commissie hebben meegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met drie maanden verlengd.

Artikel 50

Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Zij is van toepassing met ingang van 12 september 2025.

De uit artikel 3, lid 1, voortvloeiende verplichting is van toepassing op verbonden producten en de daaraan gerelateerde diensten die na 12 september 2026.

Hoofdstuk III is van toepassing met betrekking tot verplichtingen om gegevens beschikbaar te stellen op grond van het Unierecht of op grond van overeenkomstig het Unierecht vastgestelde nationale wetgeving die na 12 september 2025 in werking treedt.

Hoofdstuk IV is van toepassing op overeenkomsten die na 12 september 2025.

Hoofdstuk IV is met ingang van 12 september 2027 van toepassing op overeenkomsten die op of vóór 12 september 2025 zijn gesloten mits zij:

a)	van onbepaalde duur zijn, of

b)	ten minste 10 jaar na 11 januari 2024 aflopen.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Straatsburg, 13 december 2023.

Voor het Europees Parlement

De voorzitter

R. METSOLA

Voor de Raad

De voorzitter

P. NAVARRO RÍOS

(1) PB C 402 van 19.10.2022, blz. 5.

(2) PB C 365 van 23.9.2022, blz. 18.

(3) PB C 375 van 30.9.2022, blz. 112.

(4) Standpunt van het Europees Parlement van 9 november 2023 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 27 november 2023.

(5) Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PB L 124 van 20.5.2003, blz. 36).

(6) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(7) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(8) Richtlĳn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie (richtlĳn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).

(9) Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PB L 95 van 21.4.1993, blz. 29).

(10) Richtlijn 2005/29/EG van het Europees Parlement en de Raad van 11 mei 2005 betreffende oneerlijke handelspraktijken van ondernemingen jegens consumenten op de interne markt en tot wijziging van Richtlijn 84/450/EEG van de Raad, Richtlijnen 97/7/EG, 98/27/EG en 2002/65/EG van het Europees Parlement en de Raad en van Verordening (EG) nr. 2006/2004 van het Europees Parlement en de Raad (“Richtlijn oneerlijke handelspraktijken”) (PB L 149 van 11.6.2005, blz. 22).

(11) Richtlijn 2011/83/EU van het Europees Parlement en de Raad van 25 oktober 2011 betreffende consumentenrechten, tot wijziging van Richtlijn 93/13/EEG van de Raad en van Richtlijn 1999/44/EG van het Europees Parlement en de Raad en tot intrekking van Richtlijn 85/577/EEG en van Richtlijn 97/7/EG van het Europees Parlement en de Raad (PB L 304 van 22.11.2011, blz. 64).

(12) Verordening (EU) 2021/784 van het Europees Parlement en de Raad van 29 april 2021 inzake het tegengaan van de verspreiding van terroristische online-inhoud (PB L 172 van 17.5.2021, blz. 79).

(13) Verordening (EU) 2022/2065 van het Europees Parlement en de Raad van 19 oktober 2022 betreffende een eengemaakte markt voor digitale diensten en tot wijziging van Richtlijn 2000/31/EG (digitaledienstenverordening) (PB L 277 van 27.10.2022, blz. 1).

(14) Verordening (EU) 2023/1543 van het Europees Parlement en de Raad van 12 juli 2023 betreffende het Europees verstrekkingsbevel en het Europees bewaringsbevel voor elektronisch bewijsmateriaal in strafzaken en de tenuitvoerlegging van vrijheidsstraffen als gevolg van een strafprocedure (PB L 191 van 28.7.2023 blz. 118).

(15) Richtlijn (EU) 2023/1544 van het Europees Parlement en de Raad van 12 juli 2023 tot vaststelling van geharmoniseerde regels inzake de aanwijzing van aangewezen vestigingen en de aanstelling van wettelijke vertegenwoordigers ten behoeve van de vergaring van elektronisch bewijsmateriaal in strafprocedures (PB L 191 van 28.7.2023, blz. 181).

(16) Verordening (EU) 2015/847 van het Europees Parlement en de Raad van 20 mei 2015 betreffende bij geldovermakingen te voegen informatie en tot intrekking van Verordening (EG) nr. 1781/2006 (PB L 141 van 5.6.2015, blz. 1).

(17) Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad van 20 mei 2015 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, tot wijziging van Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad en tot intrekking van Richtlijn 2005/60/EG van het Europees Parlement en de Raad en Richtlijn 2006/70/EG van de Commissie (PB L 141 van 5.6.2015, blz. 73).

(18) Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad van 17 april 2019 betreffende de toegankelijkheidsvoorschriften voor producten en diensten (PB L 151 van 7.6.2019, blz. 70).

(19) Richtlĳn 2001/29/EG van het Europees Parlement en de Raad van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappĳ (PB L 167 van 22.6.2001, blz. 10).

(20) Richtlijn 2004/48/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende de handhaving van intellectuele-eigendomsrechten (PB L 157 van 30.4.2004, blz. 45).

(21) Richtlijn (EU) 2019/790 van het Europees Parlement en de Raad van 17 april 2019 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van Richtlijnen 96/9/EG en 2001/29/EG (PB L 130 van 17.5.2019, blz. 92).

(22) Verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (datagovernanceverordening) (PB L 152 van 3.6.2022, blz. 1).

(23) Richtlijn (EU) 2016/943 van het Europees Parlement en de Raad van 8 juni 2016 betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan (PB L 157 van 15.6.2016, blz. 1).

(24) Richtlijn 98/6/EG van het Europees Parlement en de Raad van 16 februari 1998 betreffende de bescherming van de consument inzake de prijsaanduiding van aan de consument aangeboden producten (PB L 80 van 18.3.1998, blz. 27).

(25) Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt (“Richtlijn inzake elektronische handel”) (PB L 178 van 17.7.2000, blz. 1).

(26) Verordening (EU) 2022/1925 van het Europees Parlement en de Raad van 14 september 2022 over betwistbare en eerlijke markten in de digitale sector, en tot wijziging van Richtlijnen (EU) 2019/1937 en (EU) 2020/1828 (digitalemarktenverordening) (PB L 265 van 12.10.2022, blz. 1).

(27) Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad van 11 maart 2009 betreffende de Europese statistiek en tot intrekking van Verordening (EG, Euratom) nr. 1101/2008 betreffende de toezending van onder de statistische geheimhoudingsplicht vallende data aan het Bureau voor de Statistiek van de Europese Gemeenschappen, Verordening (EG) nr. 322/97 van de Raad betreffende de communautaire statistiek en Besluit 89/382/EEG, Euratom van de Raad tot oprichting van een Comité statistisch programma van de Europese Gemeenschappen (PB L 87 van 31.3.2009, blz. 164).

(28) Richtlijn (EU) 2019/1024 van het Europees Parlement en de Raad van 20 juni 2019 inzake open data en het hergebruik van overheidsinformatie (PB L 172 van 26.6.2019, blz. 56).

(29) Richtlijn 96/9/EG van het Europees Parlement en de Raad van 11 maart 1996 betreffende de rechtsbescherming van databanken (PB L 77 van 27.3.1996, blz. 20).

(30) Verordening (EU) 2018/1807 van het Europees Parlement en de Raad van 14 november 2018 inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie (PB L 303 van 28.11.2018, blz. 59).

(31) Richtlijn (EU) 2019/770 van het Europees Parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten (PB L 136 van 22.5.2019, blz. 1).

(32) Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PB L 333 van 27.12.2022, blz. 1).

(33) Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PB L 316 van 14.11.2012, blz. 12).

(34) Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30).

(35) Besluit 768/2008/EG van het Europees Parlement en de Raad van 9 juli 2008 betreffende een gemeenschappelijk kader voor het verhandelen van producten en tot intrekking van Besluit 93/465/EEG van de Raad (PB L 218 van 13.8.2008, blz. 82).

(36) Verordening (EU) 2017/2394 van het Europees Parlement en de Raad van 12 december 2017 betreffende samenwerking tussen de nationale autoriteiten die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming en tot intrekking van Verordening (EG) nr. 2006/2004 (PB L 345 van 27.12.2017, blz. 1).

(37) Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PB L 409 van 4.12.2020, blz. 1).

(38) PB L 123 van 12.5.2016, blz. 1.

(39) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0758 (electronic edition)

whereas

keyboard_tab Data Act 2023/2854 NL

Data Act 2023/2854 NL