Data Act 2023/2854 NL

a)	het beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst aan de gebruiker van het verbonden product of gerelateerde dienst;

b)	het beschikbaar stellen van gegevens door gegevenshouders aan gegevensontvangers;

c)	het beschikbaar stellen van gegevens door gegevenshouders aan overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie, indien er sprake is van een uitzonderlijke noodzaak aan die gegevens voor de uitvoering van een specifieke taak in het algemeen belang;

d)	het vergemakkelijken van het overstappen tussen dataverwerkingsdiensten;

e)	het invoeren van waarborgen tegen ongeoorloofde toegang van derden tot niet-persoonsgebonden gegevens; en

f)	de ontwikkeling van interoperabiliteitsnormen voor te raadplegen, door te geven en te gebruiken gegevens.

2. Deze verordening heeft betrekking op persoonsgegevens en niet-persoonsgebonden gegevens, waaronder de volgende soorten gegevens, in de volgende contexten:

a)	hoofdstuk II is van toepassing op gegevens, met uitzondering van inhoud, betreffende de prestaties, het gebruik en de omgeving van verbonden producten en gerelateerde diensten;

b)	hoofdstuk III is van toepassing op alle gegevens van de particuliere sector waarvoor wettelijke gegevensdelingsverplichtingen gelden;

c)	hoofdstuk IV is van toepassing op alle gegevens van de particuliere sector die worden geraadpleegd en gebruikt op basis van overeenkomsten tussen ondernemingen;

d)	hoofdstuk V is van toepassing op alle gegevens van de particuliere sector, met de nadruk op niet-persoonsgebonden gegevens;

e)	hoofdstuk VI is van toepassing op alle gegevens en diensten die door aanbieders van dataverwerkingsdiensten worden verwerkt;

f)	hoofdstuk VII is van toepassing op alle niet-persoonsgebonden gegevens die in de Unie in handen zijn van aanbieders van dataverwerkingsdiensten.

3. Deze verordening is van toepassing op:

a)	fabrikanten van verbonden producten die in de Unie in de handel worden gebracht en aanbieders van gerelateerde diensten, ongeacht de vestigingsplaats van die fabrikanten en aanbieders;

b)	gebruikers in de Unie van verbonden producten of gerelateerde diensten zoals bedoeld in punt a);

c)	gegevenshouders, ongeacht hun vestigingsplaats, die gegevens ter beschikking stellen van gegevensontvangers in de Unie;

d)	gegevensontvangers in de Unie aan wie gegevens ter beschikking worden gesteld;

overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie die gegevenshouders verzoeken gegevens beschikbaar te stellen indien er sprake is van een uitzonderlijke noodzaak om die gegevens te gebruiken voor de uitvoering van een specifieke taak in het algemeen belang, en de gegevenshouders die die gegevens in antwoord op een dergelijk verzoek verstrekken;

f)	aanbieders van dataverwerkingsdiensten, ongeacht hun vestigingsplaats, die dergelijke diensten aan klanten in de Unie aanbieden;

g)	deelnemers aan dataruimten en verkopers van toepassingen die gebruikmaken van slimme contracten en personen wier handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van de uitvoering van een overeenkomst behelst.

4. Waar in deze verordening wordt verwezen naar verbonden producten of gerelateerde diensten, worden die verwijzingen ook geacht virtuele assistenten te omvatten, voor zover deze interageren met een verbonden product of gerelateerde dienst.

5. Deze verordening doet geen afbreuk aan het Unierecht en het nationale recht inzake de bescherming van persoonsgegevens, de persoonlijke levenssfeer en de vertrouwelijkheid van communicatie en de integriteit van eindapparatuur, die van toepassing zijn op persoonsgegevens die worden verwerkt in verband met de hierin vastgelegde rechten en verplichtingen, in het bijzonder Verordeningen (EU) 2016/679 en (EU) 2018/1725 en Richtlijn 2002/58/EG, met inbegrip van de bevoegdheden van toezichthoudende autoriteiten en de rechten van datasubjecten. Voor zover gebruikers datasubjecten zijn, vormen de in hoofdstuk II van deze verordening vastgelegde rechten een aanvulling op de rechten van toegang door datasubjecten en de rechten van overdraagbaarheid van gegevens uit hoofde van de artikelen 15 en 20 van Verordening (EU) 2016/679. Indien deze verordening en het Unierecht inzake de bescherming van persoonsgegevens of de persoonlijke levenssfeer, of het overeenkomstig dat Unierecht vastgestelde nationale wetgeving tegenstrijdig zijn, prevaleert het relevante Unie- of nationale recht inzake de bescherming van persoonsgegevens of de persoonlijke levenssfeer.

6. Deze verordening is niet van toepassing op en loopt niet vooruit op vrijwillige regelingen voor het uitwisselen van gegevens tussen particuliere entiteiten en overheidsinstanties, met name vrijwillige regelingen voor het delen van gegevens.

Deze verordening heeft geen gevolgen voor Unie- of nationale rechtshandelingen die voorzien in het delen van, de toegang tot en het gebruik van gegevens met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of de tenuitvoerlegging van straffen, of voor douane- en belastingdoeleinden, met name de Verordeningen (EU) 2021/784, (EU) 2022/2065 en (EU) 2023/1543, Richtlijn (EU) 2023/1544, of internationale samenwerking op dit gebied. Deze verordening is niet van toepassing op het verzamelen of delen van, de toegang tot of het gebruik van gegevens uit hoofde van Verordening (EU) 2015/847 en Richtlijn (EU) 2015/849. Deze verordening is niet van toepassing op buiten het toepassingsgebied van het Unierecht vallende gebieden en doet in geen geval afbreuk aan de bevoegdheden van de lidstaten inzake openbare veiligheid, defensie of nationale veiligheid, ongeacht het soort entiteit dat door de lidstaten is belast met de uitvoering van taken in verband met die bevoegdheden, noch aan hun bevoegdheid om andere essentiële staatsfuncties te waarborgen, waaronder het waarborgen van de territoriale integriteit van de staat en de handhaving van de openbare orde. Deze verordening doet geen afbreuk aan de bevoegdheden van de lidstaten op het gebied van douane- en belastingadministratie of de gezondheid en veiligheid van de burgers.

7. Deze verordening vormt een aanvulling op de zelfregulerende aanpak in Verordening (EU) 2018/1807 door algemeen toepasselijke verplichtingen toe te voegen voor het overstappen naar andere clouddiensten.

8. Deze verordening doet geen afbreuk aan Unie- of nationale rechtshandelingen die voorzien in de bescherming van intellectuele eigendomsrechten, met name de Richtlijnen 2001/29/EG, 2004/48/EG en (EU) 2019/790.

9. Deze verordening vormt een aanvulling op en doet geen afbreuk aan het Unierecht dat erop gericht is de belangen van consumenten te behartigen en een hoog niveau van consumentenbescherming te waarborgen en hun gezondheid, veiligheid en economische belangen te beschermen, met name de Richtlijnen 93/13/EEG, 2005/29/EG en 2011/83/EU.

10. Deze verordening vormt geen beletsel voor de sluiting van vrijwillige rechtmatige gegevensdelingsovereenkomsten, waaronder wederkerige overeenkomsten, die voldoen aan de in deze verordening vastgestelde vereisten.

Artikel 2

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1)	“gegevens”: elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluids-, visuele of audiovisuele opnames;

2)	“metagegevens”: een gestructureerde beschrijving van de inhoud of het gebruik van gegevens die het vinden en gebruiken van die gegevens vergemakkelijkt;

3)	“persoonsgegevens”: persoonsgegevens zoals gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679;

4)	“niet-persoonsgebonden gegevens”: andere gegevens dan persoonsgegevens;

“verbonden product”: een goed dat gegevens over het gebruik of de omgeving ervan verkrijgt, genereert of verzamelt, en dat productgegevens kan doorgeven via een elektronische-communicatiedienst, fysieke verbinding of apparaattoegang, en waarvan de hoofdfunctie niet het opslaan, verwerken of doorgeven van gegevens namens anderen dan de gebruiker is;

“gerelateerde dienst”: een andere digitale dienst dan een elektronische-communicatiedienst, waaronder software, die op het moment van aankoop, huur of lease zodanig met het product verbonden is dat de afwezigheid ervan het verbonden product zou beletten een of meer van zijn functies uit te voeren, of die vervolgens door de fabrikant of een derde met het product wordt verbonden om functies aan het product toe te voegen, of de functies van het verbonden product te updaten of aan te passen;

“verwerking”: een bewerking of een geheel van bewerkingen die al dan niet op geautomatiseerde wijze op gegevens of datasets worden uitgevoerd, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaken door middel van doorgeven, verspreiden of anderszins ter beschikking stellen, op een lijn brengen of combineren, afschermen, wissen of vernietigen van gegevens;

“dataverwerkingsdienst”: een digitale aan een klant aangeboden dienst die alomtegenwoordige en on-demand netwerktoegang mogelijk maakt tot een gedeelde pool van configureerbare, schaalbare en elastische computercapaciteit van gecentraliseerde, gedistribueerde of sterk gedistribueerde aard, die snel ter beschikking kan worden gesteld en worden vrijgegeven met minimale beheersinspanningen of tussenkomst van een dienstverlener;

9)	“dienst van hetzelfde type”: een reeks dataverwerkingsdiensten met dezelfde primaire doelstelling, hetzelfde dataverwerkingsdienstenmodel en dezelfde voornaamste functionaliteiten;

10)	“databemiddelingsdienst”: databemiddelingsdienst zoals gedefinieerd in artikel 2, punt 11, van Verordening (EU) 2022/868;

11)	“datasubject”: betrokkene zoals bedoeld in artikel 4, punt 1, van Verordening (EU) 2016/679;

12)	“gebruiker”: een natuurlijke of rechtspersoon die een verbonden product in eigendom heeft, of aan wie contractueel tijdelijke rechten zijn overgedragen om dat verbonden product te gebruiken, of die gerelateerde diensten ontvangt;

13)

“gegevenshouder”: een natuurlijke of rechtspersoon die overeenkomstig deze verordening, het toepasselijke Unierecht of het overeenkomstig het Unierecht vastgestelde nationale recht, het recht of de verplichting heeft gegevens te gebruiken en ter beschikking te stellen, waaronder — in gevallen waar dat contractueel is overeengekomen — productgegevens of gegevens van een gerelateerde dienst die deze natuurlijke of rechtspersoon heeft opgevraagd of gegenereerd tijdens de verlening van een gerelateerde dienst;

14)

“gegevensontvanger”: een natuurlijke of rechtspersoon die handelt voor doeleinden die verband houden met diens handels-, bedrijfs-, ambachts- of beroepsactiviteit, die niet de gebruiker van een verbonden product of gerelateerde dienst is en aan wie gegevens beschikbaar worden gesteld door de gegevenshouder, met inbegrip van een derde op verzoek van de gebruiker aan de gegevenshouder of in overeenstemming met een wettelijke verplichting uit hoofde van Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving;

15)

“productgegevens”: door het gebruik van een verbonden product gegenereerde gegevens die door de fabrikant zo ontworpen zijn dat ze kunnen worden opgevraagd via een elektronische-communicatiedienst, fysieke verbinding of apparaattoegang, door een gebruiker, gegevenshouder of derde, waaronder waar nodig, de fabrikant;

16)

“gegevens van een gerelateerde dienst”: gegevens die de digitalisering vertegenwoordigen van handelingen van de gebruiker of van gebeurtenissen die gerelateerd zijn aan het verbonden product, die intentioneel door de gebruiker zijn geregistreerd of als een bijproduct van de handeling van de gebruiker zijn gegenereerd tijdens het verlenen van een gerelateerde dienst door de aanbieder;

17)

“eenvoudig beschikbare gegevens”: productgegevens en gegevens van een gerelateerde dienst die een gegevenshouder rechtmatig verkrijgt of rechtmatig kan verkrijgen van het verbonden product of de gerelateerde dienst, zonder daarvoor een onevenredig grote inspanning te moeten leveren die verder zou gaan dan een eenvoudige handeling;

18)	“bedrijfsgeheim”: bedrijfsgeheim zoals gedefinieerd in artikel 2, punt 1, van Richtlijn (EU) 2016/943;

19)	“houder van het bedrijfsgeheim”: houder van het bedrijfsgeheim zoals gedefinieerd in artikel 2, punt 2, van Richtlijn (EU) 2016/943;

20)	“profilering”: profilering zoals gedefinieerd in artikel 4, punt 4, van Verordening (EU) 2016/679;

21)	“op de markt aanbieden”: het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een verbonden product met het oog op distributie, consumptie of gebruik op de markt van de Unie;

22)	“in de handel brengen”: het voor het eerst in de Unie op de markt aanbieden van een verbonden product;

23)	“consument”: een natuurlijke persoon die handelt met doeleinden die geen verband houden met de handels-, bedrijfs-, ambachts- of beroepsactiviteit van die persoon;

24)	“onderneming”: een natuurlijke of rechtspersoon die handelt volgens onder deze verordening vallende overeenkomsten en praktijken, met doeleinden die gerelateerd zijn aan diens handels-, bedrijfs-, ambachts- of beroepsactiviteit;

25)	“kleine onderneming”: een kleine onderneming zoals gedefinieerd in artikel 2, lid 2, van de bijlage bij Aanbeveling 2003/361/EG;

26)	“micro-onderneming”: een micro-onderneming zoals gedefinieerd in artikel 2, lid 3, van de bijlage bij Aanbeveling 2003/361/EG;

27)	“organen van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of op grond van handelingen die zijn vastgesteld op basis van het Verdrag betreffende de Europese Unie, het VWEU of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie;

28)	“overheidsinstantie”: nationale, regionale en lokale autoriteiten van de lidstaten, publiekrechtelijke instellingen van de lidstaten of samenwerkingsverbanden bestaande uit één of meer van dergelijke autoriteiten of één of meer van dergelijke instellingen;

29)

“algemene noodsituatie”: een in de tijd beperkte uitzonderlijke situatie, zoals een noodsituatie op het gebied van de volksgezondheid, een noodsituatie die voortvloeit uit natuurrampen, of een door de mens veroorzaakte grote ramp, met inbegrip van een groot cyberveiligheidsincident, dat negatieve gevolgen heeft voor de bevolking van de Unie, van een lidstaat of van een deel daarvan, met een risico op ernstige en blijvende gevolgen voor de levensomstandigheden of de economische stabiliteit, de financiële stabiliteit of een aanzienlijke en onmiddellijke verslechtering van de economische activa in de Unie of in de betrokken lidstaat, en die wordt vastgesteld of officieel wordt afgekondigd overeenkomstig de relevante Unie- of nationaalrechtelijke procedures;

30)	“klant”: een natuurlijke of rechtspersoon die een contractuele relatie is aangegaan met een aanbieder van dataverwerkingsdiensten, met als doel gebruik te maken van een of meer dataverwerkingsdiensten;

31)	“virtuele assistenten”: software die opdrachten, taken of vragen kan verwerken, onder meer op basis van audio, schriftelijke input, gebaren of bewegingen, en die, op basis van die opdrachten, taken of vragen toegang biedt tot andere diensten of de functies van verbonden producten bestuurt;

32)	“digitale activa”: elementen in digitale vorm, inclusief toepassingen, waarvoor de klant het gebruiksrecht heeft, onafhankelijk van de contractuele relatie met de dataverwerkingsdienst die hij voornemens is te verlaten om over te stappen;

33)	“on-premises ICT-infrastructuur”: ICT-infrastructuur en computermiddelen die eigendom zijn van of worden gehuurd of geleased door de klant en zich in het datacentrum van de klant zelf bevinden en door de klant of een derde worden geëxploiteerd;

34)

“overstappen”: het proces waarbij een oorspronkelijke aanbieder van dataverwerkingsdiensten, een klant van een dataverwerkingsdienst en, waar van toepassing, een bestemmingsaanbieder van dataverwerkingsdiensten zijn betrokken, waarbij de klant van een dataverwerkingsdienst van dataverwerkingsdienst verandert en een andere dataverwerkingsdienst van hetzelfde type of een andere dienst begint te gebruiken, die wordt aangeboden door een andere aanbieder van dataverwerkingsdiensten, of een on-premises ICT-infrastructuur begint te gebruiken, onder meer door het extraheren, transformeren en uploaden van de gegevens;

35)

“gegevensextractiekosten”: gegevensoverdrachttarieven die in rekening worden gebracht aan klanten om via het netwerk hun gegevens uit de ICT-infrastructuur van een aanbieder van dataverwerkingsdiensten te extraheren naar de systemen van een andere aanbieder of naar een on-premises ICT-infrastructuur;

36)

“overstapkosten”: andere kosten dan de standaardvergoedingen voor dienstverlening of boetes voor voortijdige beëindiging, opgelegd door een aanbieder van dataverwerkingsdiensten aan een klant voor de bij deze verordening voorgeschreven acties betreffende het overstappen naar het systeem van een andere aanbieder of naar een on-premises ICT-infrastructuur, met inbegrip van gegevensextractiekosten;

37)

“functionele gelijkwaardigheid”: op basis van de exporteerbare data en digitale activa van de klant een minimumniveau van functionaliteit herstellen in de omgeving van een nieuwe dataverwerkingsdienst van hetzelfde type na het overstapproces, waarbij de nieuwe dataverwerkingsdienst een materieel vergelijkbaar resultaat oplevert met gebruikmaking van dezelfde input voor gedeelde kenmerken die in het kader van de overeenkomst aan de klant wordt geleverd;

38)

“exporteerbare data”, voor de toepassing van de artikelen 23 tot en met 31 en artikel 35: de input- en outputgegevens, met inbegrip van metagegevens, die direct of indirect worden gegenereerd, of worden medegegenereerd, door het gebruik door de klant van de dataverwerkingsdienst, met uitzondering van activa of gegevens die beschermd zijn door intellectuele-eigendomsrechten of die een bedrijfsgeheim vormen, van aanbieders van dataverwerkingsdiensten of derden;

39)

“slim contract”: een computerprogramma dat wordt gebruikt voor de geautomatiseerde uitvoering van een overeenkomst of een deel daarvan, waarbij gebruik wordt gemaakt van een opeenvolging van elektronische databestanden en waarbij de integriteit daarvan en de nauwkeurigheid van hun chronologische volgorde worden gewaarborgd;

40)	“interoperabiliteit”: het vermogen van twee of meer dataruimten of communicatienetwerken, systemen, verbonden producten, toepassingen, dataverwerkingsdiensten of componenten om gegevens uit te wisselen en te gebruiken teneinde hun functies te vervullen;

41)	“open interoperabiliteitsspecificatie”: een technische specificatie op het gebied van informatie- en communicatietechnologie, die prestatiegericht is op het bereiken van interoperabiliteit tussen dataverwerkingsdiensten;

42)	“gemeenschappelijke specificaties”: een document dat geen norm is en dat technische oplossingen bevat om te voldoen aan bepaalde voorschriften en verplichtingen zoals vastgelegd uit hoofde van deze verordening;

43)	“geharmoniseerde norm”: geharmoniseerde norm zoals gedefinieerd in artikel 2, punt 1, c), van Verordening (EU) nr. 1025/2012.

HOOFDSTUK II

DELEN VAN GEGEVENS TUSSEN BEDRIJVEN EN CONSUMENTEN EN TUSSEN BEDRIJVEN ONDERLING

Artikel 10

Geschillenbeslechting

1. Gebruikers, gegevenshouders en gegevensontvangers hebben toegang tot een overeenkomstig lid 5 van dit artikel gecertificeerd geschillenbeslechtingsorgaan om geschillen op grond van artikel 4, leden 3 en 9, en artikel 5, lid 12, te beslechten alsmede geschillen met betrekking tot de eerlijke, redelijke en niet-discriminerende voorwaarden voor en transparante wijze van het beschikbaar stellen van gegevens overeenkomstig dit hoofdstuk en hoofdstuk IV.

2. De geschillenbeslechtingsorganen stellen de betrokken partijen in kennis van de vergoedingen of van de mechanismen om de vergoedingen vast te stellen, voordat die partijen om een besluit verzoeken.

3. Voor geschillen die worden verwezen naar een geschillenbeslechtingsorgaan op grond van artikel 4, lid 3, en artikel 5 lid 12, geldt dat, indien het geschillenbeslechtingsorgaan het geschil in het voordeel van de gebruiker of de gegevensontvanger beslecht, de gegevenshouder alle door het geschillenbeslechtingsorgaan aangerekende kosten op zich neemt en aan die gebruiker of die gegevensontvanger alle overige redelijke kosten terugbetaalt die deze in verband met de geschillenbeslechting heeft gemaakt. Indien het geschillenbeslechtingsorgaan het geschil in het voordeel van de gegevenshouder beslecht, hoeft de gebruiker of de gegevensontvanger geen vergoedingen of andere door de gegevenshouder in verband met de geschillenbeslechting gemaakte of nog te maken kosten terug te betalen, tenzij het geschillenbeslechtingsorgaan van oordeel is dat de gebruiker of de gegevensontvanger duidelijk te kwader trouw heeft gehandeld.

4. Klanten en aanbieders van dataverwerkingsdiensten hebben toegang tot een overeenkomstig lid 5 van dit artikel gecertificeerd geschillenbeslechtingsorgaan om geschillen te beslechten met betrekking tot inbreuken op de rechten van klanten en de verplichtingen van aanbieders van dataverwerkingsdiensten overeenkomstig de artikelen 23 tot en met 31.

5. De lidstaat waar het geschillenbeslechtingsorgaan is gevestigd, certificeert dat orgaan op verzoek van dat orgaan, indien het heeft aangetoond dat het aan alle volgende voorwaarden voldoet:

a)	het is onpartijdig en onafhankelijk en neemt zijn besluiten volgens een duidelijk, niet-discriminerend en eerlijk reglement van orde;

het beschikt over de nodige deskundigheid, met name met betrekking tot eerlijke, redelijke en niet-discriminerende voorwaarden voor het beschikbaar stellen van gegevens, alsook de vergoeding daarvoor, en het op transparante wijze beschikbaar stellen van gegevens, zodat het die voorwaarden doeltreffend kan bepalen;

c)	het is gemakkelijk toegankelijk via elektronische communicatietechnologie;

d)	het kan snel, efficiënt en kosteneffectief in ten minste een van de officiële talen van de Unie een besluit vaststellen.

6. De lidstaten stellen de Commissie in kennis van de overeenkomstig lid 5 gecertificeerde geschillenbeslechtingsorganen. De Commissie publiceert een lijst van deze organen op een speciale website en houdt deze actueel.

7. Een geschillenbeslechtingsorgaan weigert een verzoek om beslechting van een geschil dat al voor een ander geschillenbeslechtingsorgaan of voor een rechterlijke instantie van een lidstaat is gebracht.

8. Een geschillenbeslechtingsorgaan biedt partijen de mogelijkheid om binnen een redelijke termijn hun standpunten over de aangelegenheden die zij bij dat orgaan aanhangig hebben gemaakt, kenbaar te maken. In dat verband wordt elke partij bij een geschil voorzien van de opmerkingen van de andere partij met betrekking tot hun geschil en eventuele deskundigenverklaringen. De partijen krijgen de mogelijkheid om op deze opmerkingen en verklaringen te reageren.

9. Een geschillenbeslechtingsorgaan neemt binnen 90 dagen na ontvangst van een verzoek op grond van de leden 1 en 4 een besluit over een aangelegenheid die haar is voorgelegd. Dat besluit wordt schriftelijk of op een duurzame drager opgesteld en wordt met een motivering gestaafd.

10. Geschillenbeslechtingsorganen stellen jaarlijkse activiteitenverslagen op en maken deze openbaar. Zulke jaarverslagen bevatten met name de volgende algemene informatie:

a)	een synthese van de uitkomsten van geschillen;

b)	de gemiddelde tijd die de beslechting van de geschillen in beslag heeft genomen;

c)	de meest voorkomende redenen voor geschillen.

11. Om de uitwisseling van informatie en beste praktijken te vergemakkelijken, kan een geschillenbeslechtingsorgaan besluiten in het in lid 10 bedoelde verslag aanbevelingen te doen over de wijze waarop problemen kunnen worden voorkomen of opgelost.

12. Het besluit van een geschillenbeslechtingsorgaan is alleen bindend voor de partijen indien deze vóór aanvang van de geschillenbeslechtingsprocedure uitdrukkelijk hebben ingestemd met het bindende karakter ervan.

13. Dit artikel doet geen afbreuk aan het recht van partijen om een doeltreffende voorziening in rechte in te stellen bij een rechterlijke instantie van een lidstaat.

Artikel 20

Vergoeding in geval van uitzonderlijke noodzaak

1. Andere gegevenshouders dan micro-ondernemingen en kleine ondernemingen stellen de gegevens die nodig zijn om te reageren op een algemene noodsituatie overeenkomstig artikel 15, lid 1, punt a), kosteloos beschikbaar. De overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie die/dat gegevens heeft ontvangen, geeft een openbare bevestiging aan de gegevenshouder indien de gegevenshouder daarom verzoekt.

2. De gegevenshouder heeft recht op een eerlijke vergoeding voor het beschikbaar stellen van gegevens in naleving van een verzoek overeenkomstig artikel 15, lid 1, punt b). Die vergoeding dekt de technische en organisatorische kosten die zijn gemaakt om aan het verzoek te voldoen, met inbegrip van, in voorkomend geval, de kosten van anonimisering, pseudonimisering, aggregatie en technische aanpassing, en met een redelijke marge. Op verzoek van de overheidsinstantie of de Commissie, de Europese Centrale Bank of het orgaan van de Unie, verstrekt de gegevenshouder informatie over de grondslag voor de berekening van de kosten en de redelijke marge.

3. Lid 2 is ook van toepassing indien een micro-onderneming en een kleine onderneming zoals gedefinieerd een vergoeding eisen voor het beschikbaar stellen van gegevens.

4. Gegevenshouders hebben geen recht op vergoeding voor het beschikbaar stellen van gegevens in naleving van een verzoek uit hoofde van artikel 15, lid 1, punt b), indien de specifieke taak van algemeen belang bestaat in het opstellen van officiële statistieken en indien de aankoop van gegevens niet is toegestaan op grond van het nationale recht. De lidstaten stellen de Commissie ervan in kennis indien de aankoop van gegevens voor het opstellen van officiële statistieken op grond van het nationale recht niet is toegestaan.

5. Indien de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie het niet eens is met de hoogte van de door de gegevenshouder gevraagde vergoeding, kan zij/het klacht indienen bij de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.

Artikel 32

Internationale overheidstoegang en overdracht

1. Aanbieders van dataverwerkingsdiensten nemen alle adequate technische, organisatorische en juridische maatregelen, waaronder overeenkomsten, om internationale overheidstoegang en toegang van overheden van derde landen, alsook overdracht van niet-persoonsgebonden gegevens die in de Unie zijn opgeslagen, te voorkomen indien die overdracht of toegang in strijd zou zijn met het Unierecht of met het nationale recht van de betrokken lidstaat, onverminderd lid 2 of lid 3.

2. Elke beslissing of elke uitspraak van een rechterlijke instantie van een derde land en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een aanbieder van dataverwerkingsdiensten niet-persoonsgebonden gegevens die binnen het toepassingsgebied van deze verordening vallen en in de Unie zijn opgeslagen, moet overdragen of er toegang toe moet verlenen, wordt alleen op enigerlei wijze erkend of is alleen op enigerlei wijze afdwingbaar indien de beslissing, de uitspraak of het besluit gebaseerd is op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, die van kracht is tussen het verzoekende derde land en de Unie, of op een dergelijke overeenkomst tussen het verzoekende derde land en een lidstaat.

3. Bij ontstentenis van een internationale overeenkomst als bedoeld in lid 2, vindt, indien een aanbieder van dataverwerkingsdiensten de geadresseerde is van een beslissing of uitspraak van een rechterlijke instantie van een derde land of een besluit van een administratieve autoriteit van een derde land om niet-persoonsgebonden gegevens die binnen het toepassingsgebied van deze verordening vallen en die in de Unie zijn opgeslagen, over te dragen of er toegang toe te verlenen, en de naleving van een dergelijke beslissing of uitspraak of een dergelijk besluit de geadresseerde in strijd zou kunnen brengen met het Unierecht of met het nationale recht van de betrokken lidstaat, de overdracht van of de toegang tot dergelijke gegevens door die autoriteit van het derde land alleen plaats indien:

het bestel van het derde land voorschrijft dat de redenen voor en de evenredigheid van een dergelijke rechterlijke beslissing of uitspraak of een dergelijk besluit worden toegelicht, en dat die rechterlijke beslissing of uitspraak of dat besluit een specifiek karakter heeft, bijvoorbeeld doordat daarin een toereikend verband wordt gelegd met bepaalde verdachten of inbreuken;

b)	het gemotiveerde bezwaar van de geadresseerde getoetst wordt door een bevoegde rechterlijke instantie van het derde land, en

de bevoegde rechterlijke instantie van het derde land die de rechterlijke beslissing neemt of de rechterlijke uitspraak doet of het besluit van een administratieve autoriteit toetst, uit hoofde van het recht van dat derde land gemachtigd is terdege rekening te houden met de relevante juridische belangen van de verstrekker van de gegevens die uit hoofde van het Unierecht of van het nationale recht van de betrokken lidstaat worden beschermd.

De geadresseerde van de beslissing of het besluit of de rechterlijke uitspraak kan het advies inwinnen van de nationale instantie of autoriteit die bevoegd is voor internationale samenwerking in juridische aangelegenheden, teneinde te bepalen of aan de in de eerste alinea vastgestelde voorwaarden wordt voldaan, met name wanneer hij van oordeel is dat de beslissing of het besluit betrekking kan hebben op bedrijfsgeheimen en andere commercieel gevoelige gegevens, alsook op door intellectuele-eigendomsrechten beschermde inhoud of dat de overdracht tot heridentificatie kan leiden. De bevoegde nationale instantie of autoriteit kan de Commissie raadplegen. Indien de geadresseerde van oordeel is dat de beslissing of het besluit of de rechterlijke uitspraak afbreuk kan doen aan de nationale veiligheids- of defensiebelangen van de Unie of haar lidstaten, wint hij het advies in van de betreffende nationale instantie of autoriteit om te bepalen of de gevraagde gegevens nationale veiligheids- of defensiebelangen van de Unie of haar lidstaten betreffen. Indien de geadresseerde binnen een maand geen antwoord heeft ontvangen of indien deze instanties of autoriteit in hun advies concluderen dat niet aan de in de eerste alinea vastgestelde voorwaarden wordt voldaan, kan de geadresseerde het verzoek om overdracht of toegang tot niet-persoonsgebonden gegevens op die gronden afwijzen.

Het Europees Comité voor gegevensinnovatie zoals bedoeld in artikel 42 adviseert en assisteert de Commissie bij het opstellen van richtsnoeren voor de beoordeling van de vraag of aan de voorwaarden van de eerste alinea wordt voldaan.

4. Indien aan de voorwaarden van lid 2 of lid 3 wordt voldaan, verstrekt de aanbieder van dataverwerkingsdiensten de minimaal toestaanbare hoeveelheid gegevens in antwoord op een verzoek, op basis van de redelijke interpretatie van dat verzoek door de aanbieder of de relevante nationale instantie of autoriteit als bedoeld in lid 3, tweede alinea.

5. De aanbieder van dataverwerkingsdiensten stelt de klant in kennis van het bestaan van een verzoek van een autoriteit van een derde land om toegang tot zijn gegevens te krijgen alvorens aan dit verzoek te voldoen, behalve indien het verzoek rechtshandhavingsdoeleinden dient en zolang dit noodzakelijk is om de doeltreffendheid van de rechtshandhavingsactiviteiten te waarborgen.

HOOFDSTUK VIII

INTEROPERABILITEIT

Artikel 37

Bevoegde autoriteiten en datacoördinatoren

1. Elke lidstaat wijst een of meer autoriteiten aan die bevoegd zijn voor de uitvoering en handhaving van deze verordening (bevoegde autoriteiten). De lidstaten kunnen een of meer nieuwe autoriteiten oprichten of een beroep doen op bestaande autoriteiten.

2. Indien een lidstaat meer dan één bevoegde autoriteit aanwijst, wijst hij onder deze bevoegde autoriteiten een datacoördinator aan om de samenwerking tussen hen te vergemakkelijken en entiteiten binnen het toepassingsgebied van deze verordening bij te staan in alle aangelegenheden die verband houden met de toepassing en handhaving ervan. Bij de uitoefening van de hun krachtens lid 5 toegewezen taken en bevoegdheden werken de bevoegde autoriteiten met elkaar samen.

3. De toezichthoudende autoriteiten die verantwoordelijk zijn voor het toezicht op de toepassing van Verordening (EU) 2016/679, zijn verantwoordelijk voor het toezicht op de toepassing van deze verordening wat de bescherming van persoonsgegevens betreft. De hoofdstukken VI en VII van Verordening (EU) 2016/679 zijn van overeenkomstige toepassing.

De Europese Toezichthouder voor gegevensbescherming is verantwoordelijk voor het toezicht op de toepassing van deze verordening voor zover deze betrekking heeft op de Commissie, de Europese Centrale Bank of organen van de Unie. In voorkomend geval is artikel 62 van Verordening (EU) 2018/1725 van overeenkomstige toepassing.

De in dit lid bedoelde taken en bevoegdheden van de toezichthoudende autoriteiten worden uitgeoefend met betrekking tot de verwerking van persoonsgegevens.

4. Onverminderd lid 1 van dit artikel:

a)	wordt de bevoegdheid van de sectorale autoriteiten voor specifieke sectorale toegang tot gegevens en specifiek sectoraal gegevensgebruik in verband met de toepassing van deze verordening geëerbiedigd;

b)	heeft de bevoegde autoriteit die verantwoordelijk is voor de toepassing en handhaving van de artikelen 23 tot en met 31 en de artikelen 34 en 35, ervaring op het gebied van gegevens en elektronische-communicatiediensten.

5. De lidstaten zorgen ervoor dat de taken en bevoegdheden van de bevoegde autoriteiten duidelijk omschreven zijn en het volgende omvatten:

a)	datageletterdheid en bewustmaking over de rechten en verplichtingen uit hoofde van deze verordening bevorderen bij gebruikers en entiteiten die binnen het toepassingsgebied van deze verordening vallen;

klachten over vermeende overtredingen op deze verordening behandelen, ook met betrekking tot bedrijfsgeheimen, de inhoud van klachten onderzoeken in de mate waarin dat gepast is en klagers, indien relevant overeenkomstig het nationale recht, regelmatig en binnen een redelijke termijn in kennis stellen van de voortgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere bevoegde autoriteit noodzakelijk is;

c)	onderzoek verrichten naar zaken die betrekking hebben op de toepassing van deze verordening, onder meer op basis van informatie die van een andere bevoegde autoriteit of een andere overheidsinstantie is ontvangen;

d)	doeltreffende, evenredige en afschrikkende financiële sancties opleggen, waaronder dwangsommen en sancties met terugwerkende kracht, of gerechtelijke procedures voor het opleggen van geldboetes inleiden;

e)	toezicht houden op technologische en relevante commerciële ontwikkelingen die relevant zijn voor het beschikbaar stellen en gebruiken van gegevens;

samenwerken met de bevoegde autoriteiten van andere lidstaten en indien relevant met de Commissie of het Europees Comité voor gegevensinnovatie, om de consistente en efficiënte toepassing van deze verordening te waarborgen, waaronder het onverwijld elektronisch uitwisselen van alle relevante informatie, ook met betrekking tot lid 10 van dit artikel;

samenwerken met de relevante bevoegde autoriteiten die verantwoordelijk zijn voor de uitvoering van andere Unie- of nationale rechtshandelingen, onder meer met autoriteiten die bevoegd zijn op het gebied van gegevens en elektronische-communicatiediensten, met de toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de toepassing van Verordening (EU) 2016/679 of met sectorale autoriteiten om te waarborgen dat deze verordening in overeenstemming met andere Unie- en nationale wetgeving wordt gehandhaafd;

h)	samenwerken met de relevante bevoegde autoriteiten om ervoor te zorgen dat de verplichtingen van de artikelen 23 tot en met 31 en de artikelen 34 en 35 worden gehandhaafd in overeenstemming met ander Unierecht en zelfregulering die van toepassing zijn op aanbieders van dataverwerkingsdiensten;

i)	ervoor zorgen dat de overstapkosten overeenkomstig artikel 29 worden ingetrokken;

j)	de verzoeken om gegevens uit hoofde van hoofdstuk V onderzoeken.

Indien er een datacoördinator is aangewezen, faciliteert deze de in de eerste alinea, punten f), g) en h), bedoelde samenwerking en staat hij de bevoegde autoriteiten op hun verzoek bij.

6. De datacoördinator, indien een dergelijke bevoegde autoriteit is aangewezen:

a)	treedt op als centraal contactpunt voor alle kwesties in verband met de toepassing van deze verordening;

b)	waarborgt dat verzoeken van overheidsinstanties om gegevens beschikbaar te stellen in het geval van een uitzonderlijke noodzaak uit hoofde van hoofdstuk V online openbaar beschikbaar zijn, en bevordert vrijwillige gegevensdelingsovereenkomsten tussen overheidsinstanties en gegevenshouders;

c)	stelt de Commissie jaarlijks in kennis van de weigeringen waarvan overeenkomstig artikel 4, leden 2 en 8, en artikel 5, lid 11, kennis is gegeven.

7. De lidstaten stellen de Commissie in kennis van de namen van de bevoegde autoriteiten en van hun taken en bevoegdheden en, indien van toepassing, de naam van de gegevenscoördinator. De Commissie houdt een openbaar register van deze autoriteiten bij.

8. Bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig deze verordening blijven de bevoegde autoriteiten onpartijdig en vrij van enige, directe of indirecte, invloed van buitenaf, en vragen noch aanvaarden zij voor individuele gevallen instructies van andere overheidsinstanties of particuliere partijen.

9. De lidstaten zorgen ervoor dat de bevoegde autoriteiten over voldoende personele en technische middelen beschikken alsook de relevante expertise om hun taken overeenkomstig deze verordening doeltreffend uit te voeren.

10. Entiteiten die binnen het toepassingsgebied van deze verordening vallen, vallen onder de bevoegdheid van de lidstaat waar de entiteit is gevestigd. Indien de entiteit in meer dan een lidstaat is gevestigd, wordt zij geacht onder de bevoegdheid te vallen van de lidstaat waar zij haar hoofdvestiging heeft, dat is waar het hoofdkantoor of de statutaire zetel van de entiteit zich bevindt, van waaruit de voornaamste financiële functies en de operationele controle worden uitgeoefend.

11. Elke binnen het toepassingsgebied van deze verordening vallende entiteit die in de Unie verbonden producten of diensten aanbiedt en niet in de Unie is gevestigd, wijst een wettelijke vertegenwoordiger aan in een van de lidstaten.

12. Met het oog op de naleving van deze verordening wordt een wettelijke vertegenwoordiger gemachtigd door een binnen het toepassingsgebied van deze verordening vallende entiteit die in de Unie verbonden producten of diensten aanbiedt, zodat de bevoegde autoriteiten zich ook of in plaats van tot de entiteit, tot hem kunnen richten voor alle aangelegenheden die verband houden met die entiteit. Die wettelijke vertegenwoordiger werkt samen met de bevoegde autoriteiten en toont hun op verzoek de maatregelen en voorzieningen die zijn getroffen door de binnen het toepassingsgebied van deze verordening vallende entiteit die in de Unie verbonden producten of diensten aanbiedt, teneinde de naleving van deze verordening te waarborgen.

13. Een binnen het toepassingsgebied van deze verordening vallende entiteit die in de Unie verbonden producten of diensten aanbiedt, wordt geacht te vallen onder de bevoegdheid van de lidstaat waar haar wettelijke vertegenwoordiger is gevestigd. De aanwijzing van een wettelijke vertegenwoordiger door een dergelijke entiteit doet geen afbreuk aan de aansprakelijkheid van een dergelijke entiteit en aan eventuele rechtsvorderingen die tegen haar kunnen worden ingesteld. Totdat een entiteit overeenkomstig dit artikel een wettelijke vertegenwoordiger aanwijst, valt zij, in voorkomend geval, onder de bevoegdheid van alle lidstaten teneinde de toepassing en handhaving van deze verordening te waarborgen. Elke bevoegde autoriteit kan haar bevoegdheid uitoefenen, onder meer door doeltreffende, evenredige en afschrikkende sancties op te leggen, mits de entiteit met betrekking tot dezelfde feiten niet door een andere bevoegde autoriteit onderworpen is aan een handhavingsprocedure uit hoofde van deze verordening.

14. Bevoegde autoriteiten hebben de bevoegdheid om van gebruikers, gegevenshouders of gegevensontvangers, of hun wettelijke vertegenwoordigers, die onder de bevoegdheid van hun lidstaat vallen, alle informatie op te vragen die nodig is om na te gaan of aan deze verordening is voldaan. Een verzoek om informatie moet in verhouding staan tot de uitvoering van de onderliggende taak en moet worden gemotiveerd.

15. Indien een bevoegde autoriteit in een lidstaat om bijstand of handhavingsmaatregelen van een bevoegde autoriteit in een andere lidstaat verzoekt, dient zij een gemotiveerd verzoek in. Na ontvangst van een dergelijk verzoek geeft een bevoegde autoriteit onverwijld een antwoord met een gedetailleerde beschrijving van de maatregelen die zijn genomen of gepland.

16. Bevoegde autoriteiten eerbiedigen het vertrouwelijkheidsbeginsel en het beroeps- en handelsgeheim, en beschermen persoonsgegevens overeenkomstig het Unie-of nationale recht. Alle informatie die naar aanleiding van een verzoek om bijstand wordt uitgewisseld en wordt verstrekt uit hoofde van dit artikel, wordt uitsluitend gebruikt in verband met de aangelegenheid waarvoor zij is gevraagd.

Artikel 40

Sancties

1. De lidstaten stellen voorschriften vast ten aanzien van de sancties voor inbreuken op deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

2. De lidstaten stellen de Commissie uiterlijk op 12 september 2025 van die voorschriften en maatregelen in kennis en delen haar onverwijld alle latere wijzigingen daarvan mee. De Commissie houdt een gemakkelijk toegankelijk openbaar register van die maatregelen bij en actualiseert dit regelmatig.

3. De lidstaten houden rekening met de aanbevelingen van het Europees Comité voor gegevensinnovatie en de volgende niet-uitputtende criteria voor het opleggen van sancties voor inbreuken op deze verordening:

a)	de aard, de ernst, de omvang en de duur van de inbreuk;

b)	door de inbreukmakende partij ondernomen actie om de schade als gevolg van de inbreuk te beperken of te herstellen;

c)	eerdere inbreuken van de inbreukmakende partij;

d)	de door de inbreukmakende partij verkregen financiële voordelen of vermeden verliezen als gevolg van de inbreuk, voor zover deze voordelen of verliezen op betrouwbare wijze kunnen worden vastgesteld;

e)	andere verzwarende of verzachtende factoren die van toepassing zijn op de omstandigheden van de zaak;

f)	de jaaromzet van de inbreukmakende partij in het voorgaande boekjaar in de Unie.

4. Voor inbreuken op de verplichtingen in de hoofdstukken II, III en V van deze verordening kunnen de voor de toepassing van Verordening (EU) 2016/679 verantwoordelijke toezichthoudende autoriteiten binnen hun bevoegdheidssfeer administratieve geldboetes opleggen overeenkomstig artikel 83 van Verordening (EU) 2016/679, welke kunnen oplopen tot het in artikel 83, lid 5, van die verordening bedoelde bedrag.

5. Voor inbreuken op de verplichtingen in hoofdstuk V van deze verordening kan de Europese Toezichthouder voor gegevensbescherming binnen zijn bevoegdheidssfeer administratieve geldboetes opleggen overeenkomstig artikel 66 van Verordening (EU) 2018/1725, die kunnen oplopen tot het in artikel 66, lid 3, van die verordening bedoelde bedrag.

Artikel 49

Evaluatie en herziening

1. Uiterlijk op 12 september 2028 voert de Commissie een evaluatie van deze verordening uit en brengt zij over de belangrijkste bevindingen verslag uit aan het Europees Parlement en de Raad, en aan het Europees Economisch en Sociaal Comité. In het kader van deze evaluatie wordt met name het volgende beoordeeld:

situaties die moeten worden beschouwd als situaties van uitzonderlijke noodzaak voor de toepassing van artikel 15 van deze verordening en de toepassing in de praktijk van hoofdstuk V van deze verordening, met name de ervaring met de toepassing van hoofdstuk V van deze verordening door overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie; het aantal procedures dat op grond van artikel 18, lid 5, bij de bevoegde autoriteit is ingesteld met betrekking tot de toepassing van hoofdstuk V van deze verordening, zoals gerapporteerd door de bevoegde autoriteiten, en het resultaat van die procedures; het effect van andere verplichtingen die in het Unie- of nationale recht zijn vastgelegd met betrekking tot de inwilliging van verzoeken om toegang tot informatie; het effect van vrijwillige mechanismen voor het delen van gegevens, zoals die zijn opgezet uit hoofde van Verordening (EU) 2022/868 erkende organisaties voor data-altruïsme, op de verwezenlijking van de doelstellingen van hoofdstuk V van deze verordening, en de rol van persoonsgegevens in het kader van artikel 15 van deze verordening, met inbegrip van de ontwikkeling van privacybevorderende technologieën;

b)	het effect van deze verordening op het gebruik van gegevens in de economie, onder meer op gegevensinnovatie, praktijken in verband met het te gelde maken van gegevens, en databemiddelingsdiensten, alsook op het delen van data binnen de gemeenschappelijke Europese dataruimten;

c)	de toegankelijkheid en het gebruik van verschillende categorieën en soorten gegevens;

d)	de uitsluiting van bepaalde categorieën ondernemingen als begunstigden op grond van artikel 5;

e)	het uitblijven van gevolgen voor intellectuele-eigendomsrechten;

de gevolgen voor bedrijfsgeheimen, met inbegrip van de bescherming tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken ervan, alsook de gevolgen van het mechanisme dat de gegevenshouder in staat stelt het verzoek van de gebruiker af te wijzen uit hoofde van artikel 4, lid 8, en artikel 5, lid 11., voort zoveel mogelijk rekening houdend met de herziening van Richtlijn (EU) 2016/943;

g)	of de in artikel 13 bedoelde lijst van oneerlijke contractuele bedingen actueel is in het licht van nieuwe bedrijfspraktijken en het snelle tempo van marktinnovatie;

h)	veranderingen in de contractuele praktijken van aanbieders van dataverwerkingsdiensten en of dit leidt tot toereikende naleving van artikel 25;

i)	de verlaging van de kosten die aanbieders van dataverwerkingsdiensten voor het overstapproces opleggen, in overeenstemming met de geleidelijke afschaffing van de overstapkosten overeenkomstig artikel 29;

j)	de wisselwerking tussen deze verordening en andere Unierechtshandelingen die relevant zijn voor de data-economie;

k)	het voorkomen van onrechtmatige overheidstoegang tot niet-persoonsgebonden gegevens;

l)	de doeltreffendheid van de krachtens artikel 37 vereiste handhavingsregeling;

m)	het effect van deze verordening op kmo’s met betrekking tot hun innovatiecapaciteit en tot de beschikbaarheid van dataverwerkingsdiensten voor gebruikers in de Unie en tot de lasten bij de nakoming van nieuwe verplichtingen.

2. Uiterlijk op 12 september 2028 voert de Commissie een evaluatie van deze verordening uit en brengt zij een verslag uit over de belangrijkste bevindingen aan het Europees Parlement en de Raad, alsmede aan het Europees Economisch en Sociaal Comité. Bij die evaluatie wordt het effect van de artikelen 23 tot en met 31 en de artikelen 34 en 35 bedoelde bepalingen beoordeeld, met name wat betreft de prijsstelling en de diversiteit van de in de Unie aangeboden dataverwerkingsdiensten, met bijzondere aandacht voor aanbieders die kmo’s zijn.

3. De lidstaten verstrekken de Commissie de nodige informatie voor het opstellen van de in de leden 1 en 2 bedoelde verslagen.

4. Op basis van de in de leden 1 en 2 bedoelde verslagen kan de Commissie zo nodig bij het Europees Parlement en de Raad een wetgevingsvoorstel indienen om deze verordening te wijzigen.

Artikel 50

Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Zij is van toepassing met ingang van 12 september 2025.

De uit artikel 3, lid 1, voortvloeiende verplichting is van toepassing op verbonden producten en de daaraan gerelateerde diensten die na 12 september 2026.

Hoofdstuk III is van toepassing met betrekking tot verplichtingen om gegevens beschikbaar te stellen op grond van het Unierecht of op grond van overeenkomstig het Unierecht vastgestelde nationale wetgeving die na 12 september 2025 in werking treedt.

Hoofdstuk IV is van toepassing op overeenkomsten die na 12 september 2025.

Hoofdstuk IV is met ingang van 12 september 2027 van toepassing op overeenkomsten die op of vóór 12 september 2025 zijn gesloten mits zij:

a)	van onbepaalde duur zijn, of

b)	ten minste 10 jaar na 11 januari 2024 aflopen.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Straatsburg, 13 december 2023.

Voor het Europees Parlement

De voorzitter

R. METSOLA

Voor de Raad

De voorzitter

P. NAVARRO RÍOS

(1) PB C 402 van 19.10.2022, blz. 5.

(2) PB C 365 van 23.9.2022, blz. 18.

(3) PB C 375 van 30.9.2022, blz. 112.

(4) Standpunt van het Europees Parlement van 9 november 2023 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 27 november 2023.

(5) Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PB L 124 van 20.5.2003, blz. 36).

(6) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(7) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(8) Richtlĳn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie (richtlĳn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).

(9) Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PB L 95 van 21.4.1993, blz. 29).

(10) Richtlijn 2005/29/EG van het Europees Parlement en de Raad van 11 mei 2005 betreffende oneerlijke handelspraktijken van ondernemingen jegens consumenten op de interne markt en tot wijziging van Richtlijn 84/450/EEG van de Raad, Richtlijnen 97/7/EG, 98/27/EG en 2002/65/EG van het Europees Parlement en de Raad en van Verordening (EG) nr. 2006/2004 van het Europees Parlement en de Raad (“Richtlijn oneerlijke handelspraktijken”) (PB L 149 van 11.6.2005, blz. 22).

(11) Richtlijn 2011/83/EU van het Europees Parlement en de Raad van 25 oktober 2011 betreffende consumentenrechten, tot wijziging van Richtlijn 93/13/EEG van de Raad en van Richtlijn 1999/44/EG van het Europees Parlement en de Raad en tot intrekking van Richtlijn 85/577/EEG en van Richtlijn 97/7/EG van het Europees Parlement en de Raad (PB L 304 van 22.11.2011, blz. 64).

(12) Verordening (EU) 2021/784 van het Europees Parlement en de Raad van 29 april 2021 inzake het tegengaan van de verspreiding van terroristische online-inhoud (PB L 172 van 17.5.2021, blz. 79).

(13) Verordening (EU) 2022/2065 van het Europees Parlement en de Raad van 19 oktober 2022 betreffende een eengemaakte markt voor digitale diensten en tot wijziging van Richtlijn 2000/31/EG (digitaledienstenverordening) (PB L 277 van 27.10.2022, blz. 1).

(14) Verordening (EU) 2023/1543 van het Europees Parlement en de Raad van 12 juli 2023 betreffende het Europees verstrekkingsbevel en het Europees bewaringsbevel voor elektronisch bewijsmateriaal in strafzaken en de tenuitvoerlegging van vrijheidsstraffen als gevolg van een strafprocedure (PB L 191 van 28.7.2023 blz. 118).

(15) Richtlijn (EU) 2023/1544 van het Europees Parlement en de Raad van 12 juli 2023 tot vaststelling van geharmoniseerde regels inzake de aanwijzing van aangewezen vestigingen en de aanstelling van wettelijke vertegenwoordigers ten behoeve van de vergaring van elektronisch bewijsmateriaal in strafprocedures (PB L 191 van 28.7.2023, blz. 181).

(16) Verordening (EU) 2015/847 van het Europees Parlement en de Raad van 20 mei 2015 betreffende bij geldovermakingen te voegen informatie en tot intrekking van Verordening (EG) nr. 1781/2006 (PB L 141 van 5.6.2015, blz. 1).

(17) Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad van 20 mei 2015 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, tot wijziging van Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad en tot intrekking van Richtlijn 2005/60/EG van het Europees Parlement en de Raad en Richtlijn 2006/70/EG van de Commissie (PB L 141 van 5.6.2015, blz. 73).

(18) Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad van 17 april 2019 betreffende de toegankelijkheidsvoorschriften voor producten en diensten (PB L 151 van 7.6.2019, blz. 70).

(19) Richtlĳn 2001/29/EG van het Europees Parlement en de Raad van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappĳ (PB L 167 van 22.6.2001, blz. 10).

(20) Richtlijn 2004/48/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende de handhaving van intellectuele-eigendomsrechten (PB L 157 van 30.4.2004, blz. 45).

(21) Richtlijn (EU) 2019/790 van het Europees Parlement en de Raad van 17 april 2019 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van Richtlijnen 96/9/EG en 2001/29/EG (PB L 130 van 17.5.2019, blz. 92).

(22) Verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (datagovernanceverordening) (PB L 152 van 3.6.2022, blz. 1).

(23) Richtlijn (EU) 2016/943 van het Europees Parlement en de Raad van 8 juni 2016 betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan (PB L 157 van 15.6.2016, blz. 1).

(24) Richtlijn 98/6/EG van het Europees Parlement en de Raad van 16 februari 1998 betreffende de bescherming van de consument inzake de prijsaanduiding van aan de consument aangeboden producten (PB L 80 van 18.3.1998, blz. 27).

(25) Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt (“Richtlijn inzake elektronische handel”) (PB L 178 van 17.7.2000, blz. 1).

(26) Verordening (EU) 2022/1925 van het Europees Parlement en de Raad van 14 september 2022 over betwistbare en eerlijke markten in de digitale sector, en tot wijziging van Richtlijnen (EU) 2019/1937 en (EU) 2020/1828 (digitalemarktenverordening) (PB L 265 van 12.10.2022, blz. 1).

(27) Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad van 11 maart 2009 betreffende de Europese statistiek en tot intrekking van Verordening (EG, Euratom) nr. 1101/2008 betreffende de toezending van onder de statistische geheimhoudingsplicht vallende data aan het Bureau voor de Statistiek van de Europese Gemeenschappen, Verordening (EG) nr. 322/97 van de Raad betreffende de communautaire statistiek en Besluit 89/382/EEG, Euratom van de Raad tot oprichting van een Comité statistisch programma van de Europese Gemeenschappen (PB L 87 van 31.3.2009, blz. 164).

(28) Richtlijn (EU) 2019/1024 van het Europees Parlement en de Raad van 20 juni 2019 inzake open data en het hergebruik van overheidsinformatie (PB L 172 van 26.6.2019, blz. 56).

(29) Richtlijn 96/9/EG van het Europees Parlement en de Raad van 11 maart 1996 betreffende de rechtsbescherming van databanken (PB L 77 van 27.3.1996, blz. 20).

(30) Verordening (EU) 2018/1807 van het Europees Parlement en de Raad van 14 november 2018 inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie (PB L 303 van 28.11.2018, blz. 59).

(31) Richtlijn (EU) 2019/770 van het Europees Parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten (PB L 136 van 22.5.2019, blz. 1).

(32) Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PB L 333 van 27.12.2022, blz. 1).

(33) Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PB L 316 van 14.11.2012, blz. 12).

(34) Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30).

(35) Besluit 768/2008/EG van het Europees Parlement en de Raad van 9 juli 2008 betreffende een gemeenschappelijk kader voor het verhandelen van producten en tot intrekking van Besluit 93/465/EEG van de Raad (PB L 218 van 13.8.2008, blz. 82).

(36) Verordening (EU) 2017/2394 van het Europees Parlement en de Raad van 12 december 2017 betreffende samenwerking tussen de nationale autoriteiten die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming en tot intrekking van Verordening (EG) nr. 2006/2004 (PB L 345 van 27.12.2017, blz. 1).

(37) Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PB L 409 van 4.12.2020, blz. 1).

(38) PB L 123 van 12.5.2016, blz. 1.

(39) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0758 (electronic edition)

whereas

keyboard_tab Data Act 2023/2854 NL

Data Act 2023/2854 NL