Aanhef

De afgelopen jaren hebben datagestuurde technologieën alle sectoren van de economie grondig getransformeerd. Met name de verspreiding van producten die verband houden met het internet heeft het volume en de potentiële waarde van gegevens voor consumenten, bedrijven en de samenleving vergroot. Hoogwaardige en interoperabele gegevens uit verschillende domeinen vergroten het concurrentievermogen en de innovatie en zorgen voor duurzame economische groei. Dezelfde gegevens kunnen voor verschillende doeleinden onbeperkt worden gebruikt en hergebruikt, zonder dat dit invloed heeft op de kwaliteit of kwantiteit ervan.

Belemmeringen voor het delen van gegevens staan een optimale verdeling van gegevens in het belang van de samenleving in de weg. Die belemmeringen zijn onder meer een gebrek aan stimulansen voor gegevenshouders om vrijwillig gegevensdelingsovereenkomsten te sluiten, onzekerheid over de rechten en plichten met betrekking tot gegevens, de kosten van de overeenkomsten en implementeren van technische interfaces, de hoge mate van versnippering van informatie in datasilo's, slecht beheer van metagegevens, het ontbreken van normen voor semantische en technische interoperabiliteit, knelpunten die de toegang tot gegevens belemmeren, een gebrek aan gemeenschappelijke praktijken voor het delen van gegevens en misbruik van contractuele onevenwichtigheden met betrekking tot de toegang tot en het gebruik van gegevens.

In sectoren die worden gekenmerkt door de aanwezigheid van micro-, kleine en middelgrote ondernemingen zoals gedefinieerd in artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie (5) (kmo's), is er vaak een gebrek aan digitale capaciteiten en vaardigheden om gegevens te verzamelen, te analyseren en te gebruiken, en is de toegang vaak beperkt doordat de gegevens in handen zijn van één partij in het systeem, of door een gebrek aan interoperabiliteit tussen gegevens, tussen datadiensten of over de grenzen heen.

Om tegemoet te komen aan de behoeften van de digitale economie en om belemmeringen voor een goed functionerende interne datamarkt weg te nemen, moet er een geharmoniseerd kader worden vastgesteld waarin wordt gespecificeerd wie, onder welke voorwaarden en op welke basis, het recht heeft om productgegevens of gegevens van een gerelateerde dienst te gebruiken. Bijgevolg mogen de lidstaten geen aanvullende nationale voorschriften vaststellen of handhaven over aangelegenheden die binnen het toepassingsgebied van deze verordening vallen, tenzij hierin uitdrukkelijk bepaald, aangezien dit gevolgen zou hebben voor de rechtstreekse en uniforme toepassing van deze verordening. Bovendien mogen maatregelen op Unieniveau geen afbreuk doen aan de verplichtingen en verbintenissen in door de Unie gesloten internationale handelsovereenkomsten.

Deze verordening waarborgt dat gebruikers van een verbonden product of gerelateerde dienst in de Unie tijdig toegang hebben tot de gegevens die door het gebruik van dat verbonden product of die gerelateerde dienst worden gegenereerd en dat die gebruikers de gegevens kunnen gebruiken, onder meer door die te delen met derden van hun keuze. De verordening verplicht gegevenshouders om gegevens in bepaalde omstandigheden ter beschikking te stellen van gebruikers en door de gebruiker gekozen derden. Daarnaast zorgt de verordening er ook voor dat gegevenshouders hun gegevens onder eerlijke, redelijke en niet-discriminerende voorwaarden en op transparante wijze ter beschikking stellen van gegevensontvangers in de Unie. Privaatrechtelijke regels zijn van cruciaal belang in het algemene kader voor gegevensdeling. Daarom worden bij deze verordening de regels van het overeenkomstenrecht aangepast, ter voorkoming van misbruik van contractuele onevenwichtigheden die een eerlijke toegang tot en een eerlijk gebruik van gegevens belemmeren. Deze verordening waarborgt ook dat gegevenshouders de gegevens die nodig zijn voor de uitvoering van een specifieke taak in het algemeen belang ter beschikking stellen van overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie, indien er sprake is van een uitzonderlijke noodzaak. Daarnaast beoogt deze verordening het overstappen tussen dataverwerkingsdiensten te vergemakkelijken en de interoperabiliteit van gegevens en van mechanismen en diensten voor gegevensdeling in de Unie te verbeteren. Deze verordening mag niet worden uitgelegd als het erkennen of verlenen van een nieuw recht aan gegevenshouders om gegevens te gebruiken die door het gebruik van een verbonden product of gerelateerde dienst zijn gegenereerd.

Het genereren van gegevens is het resultaat van acties van ten minste twee actoren, met name de ontwerper of fabrikant van een verbonden product, die in veel gevallen ook een aanbieder van gerelateerde diensten kan zijn, en de gebruiker van verbonden producten of gerelateerde diensten. Het roept vragen op over eerlijkheid in de digitale economie, aangezien de door verbonden producten of gerelateerde diensten geregistreerde gegevens belangrijke input vormen voor aftermarketdiensten, ondersteunende en andere diensten. Om de belangrijke economische baten van gegevens te realiseren, onder meer door gegevensdeling op basis van vrijwillige overeenkomsten en de ontwikkeling van datagestuurde waardecreatie door ondernemingen in de Unie, is een algemene benadering van de toekenning van rechten inzake de toegang tot en het gebruik van gegevens te verkiezen boven de toekenning van exclusieve toegangs- en gebruiksrechten. Deze verordening voorziet in horizontale regels die kunnen worden gevolgd in Unie- of nationaal recht dat tegemoetkomt aan de specifieke omstandigheden van de relevante sectoren.

Het grondrecht op bescherming van persoonsgegevens wordt met name gewaarborgd door de Verordeningen (EU) 2016/679(6) en (EU) 2018/1725(7) van het Europees Parlement en de Raad. Daarnaast beschermt Richtlijn 2002/58/EG van het Europees Parlement en de Raad (8) het privéleven en de vertrouwelijkheid van communicatie, onder meer door voorwaarden te stellen aan de opslag van en de toegang tot persoonsgegevens en niet-persoonsgebonden gegevens in eindapparatuur. Die wetgevingshandelingen van de Unie vormen de basis voor duurzame en verantwoorde dataverwerking, ook wanneer datasets een mix van persoonsgegevens en niet-persoonsgebonden gegevens bevatten. Deze verordening vormt een aanvulling op en doet geen afbreuk aan het Unierecht inzake de bescherming van persoonsgegevens en privacy, met name Verordeningen (EU) 2016/679 en (EU) 2018/1725 en Richtlijn 2002/58/EG. Geen enkele bepaling van deze verordening mag zodanig worden toegepast of uitgelegd dat het recht op bescherming van persoonsgegevens of het recht op privacy en vertrouwelijkheid van communicatie wordt beperkt. Elke verwerking van persoonsgegevens op grond van deze verordening moet voldoen aan de gegevensbeschermingswetgeving van de Unie, met inbegrip van het vereiste van een geldige rechtsgrond voor verwerking uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, de voorwaarden van artikel 9 van die verordening en artikel 5, lid 3, van Richtlijn 2002/58/EG. Deze verordening vormt geen rechtsgrond voor het verzamelen of genereren van persoonsgegevens door de gegevenshouder. In plaats daarvan legt deze verordening gegevenshouders de verplichting op om persoonsgegevens beschikbaar te stellen aan gebruikers of datasubjecten derden naar keuze van de gebruiker, op verzoek van die gebruiker. Dergelijke toegang moet worden verleend tot persoonsgegevens die door de gegevenshouder worden verwerkt op basis van een van de in artikel 6 van Verordening (EU) 2016/679 bedoelde rechtsgronden. Indien de gebruiker geen datasubject is, schept deze verordening echter geen rechtsgrond om toegang te verlenen tot persoonsgegevens of persoonsgegevens ter beschikking te stellen van een derde, en mag zij niet worden opgevat als een verlening van een nieuw recht aan de gegevenshouder om persoonsgegevens te gebruiken die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd. In die gevallen kan het in het belang van de gebruiker zijn om de naleving van de vereisten van artikel 6 van Verordening (EU) 2016/679 te faciliteren. Aangezien deze verordening geen negatieve gevolgen mag hebben voor de gegevensbeschermingsrechten van datasubjecten, kan de gegevenshouder in die gevallen gevolg geven aan verzoeken door onder meer persoonsgegevens te anonimiseren of, wanneer de direct beschikbare gegevens persoonsgegevens van verschillende datasubjecten bevatten, alleen persoonsgegevens met betrekking tot de gebruiker door te geven.

De beginselen van minimale dataverwerking en gegevensbescherming door ontwerp en door standaardinstellingen zijn van essentieel belang wanneer de verwerking aanzienlijke risico's inhoudt voor de grondrechten van personen. Rekening houdend met de stand van de techniek moeten alle partijen bij gegevensdeling, ook wanneer gegevensdeling binnen het toepassingsgebied van deze verordening valt, technische en organisatorische maatregelen nemen om die rechten te beschermen. Dergelijke maatregelen omvatten niet alleen pseudonimisering en encryptie, maar ook het gebruik van toenemend beschikbare technologie waarmee algoritmen op de gegevens kunnen worden toegepast, en waarmee waardevolle inzichten kunnen worden verkregen zonder overdracht tussen partijen of onnodig kopiëren van de ruwe of gestructureerde gegevens zelf.

Tenzij deze verordening anders bepaalt, doet zij geen afbreuk aan het nationale overeenkomstenrecht, waaronder de regels betreffende de totstandkoming, de geldigheid of de gevolgen van overeenkomsten, of de gevolgen van de beëindiging van een overeenkomst. Deze verordening vormt een aanvulling op en doet geen afbreuk aan het Unierecht dat erop gericht is de belangen van consumenten te behartigen en een hoog niveau van consumentenbescherming te waarborgen, alsook de gezondheid, veiligheid en economische belangen van consumenten te beschermen, met name Richtlijn 93/13/EEG van de Raad (9) en de Richtlijnen 2005/29/EG(10) en 2011/83/EU(11) van het Europees Parlement en de Raad.

Deze verordening doet geen afbreuk aan Unie- en nationale rechtshandelingen die voorzien in het delen van, de toegang tot en het gebruik van gegevens met het oog op de preventie van, onderzoek naar, opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen, of voor douane- en belastingdoeleinden, ongeacht de rechtsgrond uit hoofde van het Verdrag betreffende de werking van de Europese Unie (VWEU) op grond waarvan dergelijke Unierechtshandelingen zijn vastgesteld, en evenmin aan internationale samenwerking in dit verband, met name op basis van het op 23 november 2001 te Boedapest ondertekende Verdrag van de Raad van Europa inzake cybercriminaliteit (CETS nr. 185). Dergelijke handelingen omvatten de Verordeningen (EU) 2021/784(12), (EU) 2022/2065(13) en (EU) 2023/1543 van het Europees Parlement en de Raad (14), en Richtlijn (EU) 2023/1544 van het Europees Parlement en de Raad (15). Deze verordening is niet van toepassing op het verzamelen of delen van, de toegang tot of het gebruik van gegevens op grond van Verordening (EU) 2015/847 van het Europees Parlement en de Raad (16) en Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad (17). Deze verordening is niet van toepassing op gebieden die buiten het toepassingsgebied van het Unierecht vallen en doet in geen geval afbreuk aan de bevoegdheden van de lidstaten op het gebied van openbare veiligheid, defensie of nationale veiligheid, douane- en belastingadministratie of de gezondheid en veiligheid van burgers, ongeacht het soort entiteit dat door de lidstaten is belast met de uitvoering van taken in verband met die bevoegdheden.

Tenzij dit specifiek is bepaald in deze verordening, mag zij geen afbreuk doen aan het Unierecht tot vaststelling van fysiekontwerp- en gegevensvereisten voor producten die in de Unie in de handel worden gebracht.

Deze verordening vormt een aanvulling op en doet geen afbreuk aan het Unierecht tot vaststelling van toegankelijkheidseisen voor bepaalde producten en diensten, met name Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad (18).

Deze verordening doet geen afbreuk aan Unie- en nationale rechtshandelingen inzake de bescherming van intellectuele-eigendomsrechten, waaronder de Richtlijnen 2001/29/EG(19), 2004/48/EG(20), en (EU) 2019/790(21) van het Europees Parlement en de Raad.

Verbonden producten die door middel van hun componenten of besturingssystemen gegevens over hun prestaties, gebruik of omgeving verkrijgen, genereren of verzamelen en die via een elektronische-communicatiedienst, fysieke verbinding of apparaattoegang — ook vaak ‘het internet der dingen’ genoemd — kunnen communiceren, moeten onder deze verordening vallen, met uitzondering van prototypen. Voorbeelden van dergelijke elektronische-communicatiediensten zijn met name vaste telefoonnetwerken, televisiekabelnetwerken, satellietnetwerken en NFC-netwerken (Near Field Communication). Verbonden producten zijn te vinden in alle onderdelen van de economie en de samenleving, waaronder particuliere, civiele of commerciële infrastructuur, voertuigen, gezondheids- en lifestyleapparatuur, schepen, vliegtuigen, huishoudelijke apparatuur en consumptiegoederen, medische en gezondheidsapparatuur of landbouw- en industriële machines. De ontwerpkeuzes van fabrikanten en, in voorkomend geval, Unie- of nationaal recht dat tegemoetkomt aan sectorspecifieke behoeften en doelstellingen of besluiten van de bevoegde autoriteiten, moeten bepalen welke gegevens een verbonden product beschikbaar kan stellen.

De gegevens vertegenwoordigen de digitalisering van handelingen van de gebruiker en gebeurtenissen en moeten daarom toegankelijk zijn voor de gebruiker. De regels inzake de toegang tot en het gebruik van gegevens van verbonden producten en gerelateerde diensten in het kader van deze verordening hebben betrekking op zowel productgegevens als gegevens van een gerelateerde dienst. Productgegevens zijn gegevens die worden gegenereerd door het gebruik van een verbonden product, die door de fabrikant zo ontworpen zijn dat die via het verbonden product kunnen worden opgevraagd door een gebruiker, gegevenshouder of derde, inclusief, waar nodig, de fabrikant. Ook gegevens van een gerelateerde dienst weerspiegelen de digitalisering van handelingen van gebruikers of gebeurtenissen in verband met het verbonden product en worden gegenereerd tijdens de verlening van een gerelateerde dienst door de aanbieder. Gegevens die door het gebruik van een verbonden product of gerelateerde dienst worden gegenereerd, moeten worden opgevat als gegevens die doelbewust zijn geregistreerd of indirect voortvloeien uit handelingen van gebruikers, zoals gegevens over de omgeving van het verbonden product of interacties van het product. Dit moet gegevens omvatten over het gebruik van een verbonden product die door een gebruikersinterface of via een gerelateerde dienst zijn gegenereerd; dit mag niet beperkt blijven tot de informatie dat het gebruik heeft plaatsgevonden, maar moet alle gegevens omvatten die het verbonden product als gevolg van dat gebruik genereert, zoals gegevens die automatisch worden gegenereerd door sensoren en gegevens die zijn geregistreerd door ingebedde toepassingen, met inbegrip van toepassingen die de hardware-status en storingen aangeven. Dit moet ook gegevens omvatten die door het verbonden product of de gerelateerde dienst worden gegenereerd tijdens perioden waarin de gebruiker niet actief is, bijvoorbeeld wanneer de gebruiker een verbonden product gedurende een bepaalde periode niet gebruikt, in de stand-bystand laat staan of zelfs uitschakelt, aangezien de status van een verbonden product of onderdelen ervan, zoals batterijen, kan variëren naargelang het verbonden product in stand-by staat of uitgeschakeld is. Gegevens die niet substantieel worden gewijzigd, namelijk gegevens in ruwe vorm, ook wel bron- of primaire gegevens genoemd, die betrekking hebben op gegevenspunten die automatisch worden gegenereerd zonder verdere verwerking, alsmede om gegevens die zijn voorbewerkt om ze voorafgaand aan verdere verwerking en analyse begrijpelijk en bruikbaar te maken, vallen binnen het toepassingsgebied van deze verordening. Dergelijke gegevens omvatten gegevens die zijn verzameld door een individuele sensor of een verbonden groep sensoren om de verzamelde gegevens begrijpelijk te maken voor bredere gebruikssituaties door ze uit te drukken in een fysieke kwantiteit of kwaliteit of verandering in een fysieke grootheid, zoals temperatuur, druk, debiet, audio, pH-waarde, vloeistofniveau, positie, versnelling of snelheid. De term ‘voorbewerkte gegevens’ mag niet zodanig worden uitgelegd dat de gegevenshouder wordt verplicht aanzienlijke investeringen te doen in het zuiveren en omzetten van de gegevens. De gegevens die beschikbaar moeten worden gesteld moeten de relevante metagegevens omvatten, met inbegrip van de basiscontext en de tijdstempel, om de gegevens bruikbaar te maken, in combinatie met andere gegevens, zoals gegevens die zijn gesorteerd en gerubriceerd met andere gegevenspunten die er betrekking op hebben, of die zijn geherformatteerd in een gangbaar formaat. Dergelijke gegevens zijn potentieel waardevol voor de gebruiker en ondersteunen innovatie en de ontwikkeling van digitale en andere diensten die het milieu, de gezondheid en de circulaire economie beschermen, onder meer door het onderhoud en de reparatie van de verbonden producten in kwestie te vergemakkelijken. Uit dergelijke gegevens afgeleide of voortkomende informatie, die het resultaat is van extra investeringen in het koppelen van waarden of inzichten aan die gegevens, met name middels door eigendomsrechten beschermde, complexe algoritmen, met inbegrip van algoritmen die deel uitmaken van door eigendomsrechten beschermde software, mag daarentegen niet binnen het toepassingsgebied van deze verordening vallen en mag bijgevolg niet worden onderworpen aan de verplichting van een gegevenshouder om die beschikbaar te stellen aan een gebruiker of gegevensontvanger, tenzij de gebruiker en de gegevenshouder anders zijn overeengekomen. Dergelijke gegevens kunnen met name informatie omvatten die is verkregen door middel van sensorfusie, waarbij gegevens worden afgeleid of herleid van door meerdere sensoren gegenereerde gegevens, die in het verbonden product worden verzameld met behulp van door eigendomsrechten beschermde, complexe algoritmen, en die onderworpen kunnen zijn aan intellectuele-eigendomsrechten.

Deze verordening stelt gebruikers van verbonden producten in staat gebruik te maken van aftermarketdiensten, ondersteunende en andere diensten op basis van gegevens die zijn verzameld door in producten ingebouwde sensoren, aangezien het verzamelen van die gegevens waardevol kan zijn om de prestaties van de verbonden producten te verbeteren. Het is belangrijk om een onderscheid te maken tussen enerzijds markten voor de levering van dergelijke met sensoren uitgeruste verbonden producten en gerelateerde diensten en anderzijds markten voor niet-gerelateerde software en inhoud zoals tekst-, audio- of audiovisuele inhoud, die vaak onder intellectuele-eigendomsrechten valt. Bijgevolg mogen gegevens die door dergelijke met sensoren uitgeruste verbonden producten worden gegenereerd wanneer de gebruiker inhoud registreert, verzendt, weergeeft of afspeelt, net als de — doorgaans door intellectuele-eigendomsrechten beschermde — inhoud zelf, onder meer voor gebruik door een onlinedienst, niet onder deze verordening vallen. Deze verordening mag evenmin van toepassing zijn op gegevens die via het verbonden product zijn verkregen, gegenereerd of geraadpleegd, of die aan het product zijn doorgegeven met het oog op opslag of andere verwerkingshandelingen namens andere partijen die niet de gebruiker zijn, zoals het geval kan zijn met betrekking tot servers of cloudinfrastructuur die door hun of haar eigenaars volledig namens derden worden geëxploiteerd, onder meer voor gebruik door een onlinedienst.

Er moeten regels worden vastgesteld betreffende producten die op het ogenblik van de aankoop, huur of leasing op dusdanige wijze met een gerelateerde dienst zijn verbonden dat het verbonden product een of meer van zijn functies niet kan vervullen wanneer die dienst ontbreekt, of die achteraf door de fabrikant of een derde met het product worden verbonden om de functies van het verbonden product aan te passen of aan te vullen. Die gerelateerde diensten gaan gepaard met de uitwisseling van gegevens tussen het verbonden product en de dienstverlener en moeten worden geacht uitdrukkelijk te zijn gekoppeld aan de werking van de functies van het verbonden product, zoals diensten die, in voorkomend geval, aan het verbonden product commando's doorgeven die de werking of het gedrag van het verbonden product kunnen beïnvloeden. Diensten die geen gevolgen kunnen hebben voor de werking van het verbonden product en waarbij de dienstverlener geen gegevens of commando's aan het verbonden product doorgeeft, mogen niet als gerelateerde diensten worden beschouwd. Het kan bijvoorbeeld gaan om ondersteunende consultancy-, analyse- of financiële diensten of regelmatige reparatie- en onderhoudsdiensten. Gerelateerde diensten kunnen worden aangeboden als onderdeel van de verkoop-, huur- of leasingovereenkomst. Gerelateerde diensten kunnen ook gebruikelijk zijn voor goederen van hetzelfde type en gebruikers kunnen die diensten redelijkerwijs verwachten, rekening houdend met de aard van het verbonden product en met publiekelijk gedane mededelingen van of namens de verkoper, verhuurder, leasegever of andere personen in eerdere schakels van de transactieketen, zoals de fabrikant. Die gerelateerde diensten kunnen zelf gegevens genereren die voor de gebruiker waardevol zijn, onafhankelijk van de gegevensverzamelingscapaciteit van het verbonden product waarmee zij verbonden zijn. Deze verordening moet ook van toepassing zijn op gerelateerde diensten die niet door de verkoper, verhuurder of leasegever zelf worden verleend maar door een derde. In geval van twijfel over de vraag of de dienst wordt verleend als onderdeel van de verkoop-, huur- of leaseovereenkomst, dient deze verordening van toepassing te zijn. Noch het leveren van stroom noch het leveren van connectiviteit mogen in het kader van deze verordening worden beschouwd als gerelateerde diensten.

Onder gebruiker van een verbonden product moet worden verstaan een natuurlijke of rechtspersoon, zoals een bedrijf, een consument of een overheidsinstantie, die de eigenaar is van een verbonden product, bepaalde tijdelijke rechten heeft gekregen, bijvoorbeeld door middel van een huur- of leaseovereenkomst, om toegang te krijgen tot of gebruik te maken van gegevens die zijn verkregen van het verbonden product, of die gerelateerde diensten voor het verbonden product ontvangt. Die toegangsrechten mogen de rechten van datasubjecten die met een verbonden product of een gerelateerde dienst interageren met betrekking tot persoonsgegevens die door het verbonden product of tijdens de verlening van de gerelateerde dienst worden gegenereerd, op geen enkele manier wijzigen of verstoren. De gebruiker draagt de risico's en geniet de voordelen van het gebruik van het verbonden product en moet ook toegang hebben tot de gegevens die het verbonden product genereert. De gebruiker moet daarom het recht hebben voordeel te halen uit de gegevens die door dat verbonden product en alle gerelateerde diensten worden gegenereerd. Een eigenaar, huurder of leasenemer moet ook als een gebruiker worden beschouwd, ook wanneer meerdere entiteiten als gebruikers kunnen worden beschouwd. Als er meerdere gebruikers zijn, kan elke gebruiker op verschillende wijze bijdragen aan het genereren van gegevens en belang hebben bij verschillende vormen van gebruik, zoals vlootbeheer voor een leaseonderneming of mobiliteitsoplossingen voor gebruikers van een autodeeldienst.

Datageletterdheid heeft betrekking op de vaardigheden, de kennis en het inzicht die gebruikers, consumenten en bedrijven, met name kmo's die onder deze verordening vallen, in staat stellen zich bewust te worden van de potentiële waarde van de gegevens die zij genereren, produceren en delen en die hen motiveert om hun gegevens aan te bieden en toegankelijk te maken overeenkomstig de desbetreffende wettelijke regels. Datageletterdheid moet verder gaan dan leren over instrumenten en technologieën en moet erop gericht zijn burgers en ondernemingen de hefbomen aan te reiken en in staat te stellen om de vruchten te plukken van een inclusieve en eerlijke datamarkt. De uitrol van maatregelen op het gebied van datageletterdheid en de invoering van passende follow-upacties zou bijdragen tot betere arbeidsomstandigheden, en uiteindelijk de consolidatie en het innovatietraject van de dataeconomie in de Unie ondersteunen. De bevoegde autoriteiten moeten instrumenten bevorderen en maatregelen vaststellen om de datageletterdheid van gebruikers en entiteiten die onder deze verordening vallen te verbeteren en hen bewust te maken van hun rechten en plichten uit hoofde van deze verordening.

In de praktijk zijn niet alle door verbonden producten of gerelateerde diensten gegenereerde gegevens gemakkelijk toegankelijk voor de gebruikers ervan, en zijn de mogelijkheden wat betreft de overdraagbaarheid van gegevens die zijn gegenereerd door producten die verbonden zijn met het internet, vaak beperkt. Vaak kunnen gebruikers niet de gegevens verkrijgen die nodig zijn om gebruik te maken van aanbieders van reparatie- en andere diensten, en kunnen bedrijven geen innovatieve, gemakkelijke en efficiëntere diensten lanceren. In veel sectoren zijn fabrikanten in staat om door hun controle over het technische ontwerp van de verbonden producten of de gerelateerde diensten te bepalen welke gegevens worden gegenereerd en hoe die kunnen worden geraadpleegd, hoewel zij geen wettelijk recht op die gegevens hebben. Daarom moet ervoor worden gezorgd dat verbonden producten zodanig worden ontworpen en vervaardigd en dat gerelateerde diensten zodanig worden ontworpen en geleverd dat productgegevens en gegevens van een gerelateerde dienst — waaronder de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onder meer om ze op te vragen, te gebruiken of te delen — voor een gebruiker te allen tijde gemakkelijk en veilig, kosteloos en in een omvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat toegankelijk zijn. Productgegevens en gegevens van een gerelateerde dienst die een gegevenshouder zonder onevenredige inspanningen rechtmatig verkrijgt of kan verkrijgen van het verbonden product of de gerelateerde dienst, bijvoorbeeld door middel van het productontwerp, de overeenkomst tussen de gegevenshouder en de gebruiker voor de verlening van gerelateerde diensten en de technische middelen daarvan voor toegang tot gegevens, worden ‘eenvoudig beschikbare gegevens’ genoemd. Eenvoudig beschikbare gegevens omvatten geen gegevens die worden gegenereerd door het gebruik van een verbonden product waarvan het ontwerp er niet in voorziet dat die gegevens worden opgeslagen of doorgegeven buiten het onderdeel waarin zij worden gegenereerd of buiten het verbonden product als geheel. Deze verordening mag daarom niet worden geïnterpreteerd als een verplichting om gegevens op te slaan op de centrale rekeneenheid van een verbonden product. Het ontbreken van een dergelijke verplichting mag fabrikanten of gegevenshouders er niet van weerhouden om vrijwillig met de gebruiker overeen te komen dergelijke aanpassingen aan te brengen. De ontwerpverplichtingen in deze verordening doen evenmin afbreuk aan het in artikel 5, lid 1, punt c), van Verordening (EU) 2016/679 vastgelegde beginsel van minimale dataverwerking en mogen niet worden opgevat als een verplichting om verbonden producten en gerelateerde diensten zodanig te ontwerpen dat zij andere persoonsgegevens opslaan of anderszins verwerken dan de persoonsgegevens die nodig zijn in verband met de doeleinden waarvoor zij worden verwerkt. Er kan worden voorzien in Unie- of nationaal recht om verdere specifieke kenmerken te omschrijven, zoals de productgegevens die toegankelijk moeten zijn via verbonden producten of gerelateerde diensten, aangezien dergelijke gegevens essentieel kunnen zijn voor de efficiënte werking, de reparatie of het onderhoud van die verbonden producten of die gerelateerde diensten. Wanneer latere actualiseringen of wijzigingen van een verbonden product of een gerelateerde dienst door de fabrikant of een andere partij tot aanvullende toegankelijke gegevens of een beperking van de oorspronkelijk toegankelijke gegevens leiden, moeten die wijzigingen in het kader van de actualisering of wijziging aan de gebruiker worden meegedeeld.

Wanneer meerdere personen of entiteiten als gebruikers worden beschouwd, bijvoorbeeld in het geval van mede-eigendom of wanneer een eigenaar, huurder of leasenemer rechten op toegang tot of gebruik van gegevens deelt, moet het ontwerp van het verbonden product of de gerelateerde dienst, of de relevante interface, elke gebruiker in staat stellen toegang te hebben tot de gegevens die zij genereren. Het gebruik van verbonden producten die gegevens genereren, vereist doorgaans het aanmaken van een gebruikersaccount. Met een dergelijk account kan de gebruiker door een gegevenshouder, die de fabrikant kan zijn, worden geïdentificeerd. Het kan ook worden gebruikt als communicatiemiddel en om verzoeken om toegang tot gegevens in te dienen en te verwerken. Indien meerdere fabrikanten of aanbieders van gerelateerde diensten samen aan dezelfde gebruiker samengevoegde verbonden producten of gerelateerde diensten hebben verkocht, verhuurd, geleased of geleverd, moet de gebruiker zich wenden tot elk van de partijen waarmee hij een overeenkomst heeft gesloten. Fabrikanten of ontwerpers van een verbonden product dat gewoonlijk door meerdere personen wordt gebruikt, moeten de nodige mechanismen opzetten om afzonderlijke gebruikersaccounts voor individuele personen, indien relevant, mogelijk te maken of te voorzien in de mogelijkheid voor meerdere personen om hetzelfde gebruikersaccount te gebruiken. Accountoplossingen moeten gebruikers in staat stellen hun accounts en de daaraan gekoppelde gegevens te wissen en kunnen hun de mogelijkheid bieden om de toegang tot, het gebruik van of het delen van gegevens te beëindigen of verzoeken tot beëindiging in te dienen, met name rekening houdend met situaties waarin de eigendom of het gebruik van het verbonden product verandert. De gebruiker moet op eenvoudig verzoek toegang krijgen tot mechanismen die automatische uitvoering mogelijk maken, zonder dat daartoe een onderzoek of machtiging van de fabrikant of de gegevenshouder vereist is. Dit betekent dat de gegevens alleen beschikbaar mogen worden gesteld wanneer de gebruiker daadwerkelijk toegang wenst. Wanneer geautomatiseerde uitvoering van het verzoek om toegang tot gegevens niet mogelijk is, bijvoorbeeld via een gebruikersaccount of een bij het verbonden product of de gerelateerde dienst gevoegde mobiele applicatie, moet de fabrikant de gebruiker informeren hoe toegang tot de gegevens kan worden verkregen.

Verbonden producten kunnen worden ontworpen om bepaalde gegevens rechtstreeks toegankelijk te maken via een gegevensopslag op het apparaat of een server op afstand waaraan de gegevens worden doorgegeven. De toegang tot de gegevensopslag op het toestel kan mogelijk worden gemaakt via al dan niet draadloze lokale netwerken die verbonden zijn met een openbare elektronische-communicatiedienst of een mobiel netwerk. De server kan de eigen lokale servercapaciteit van de fabrikant zijn dan wel die van een derde of een aanbieder van clouddiensten. Verwerkers zoals gedefinieerd in Verordening (EU) 2016/679 worden niet geacht als gegevenshouders op te treden. Ze kunnen echter wel specifiek de opdracht krijgen om gegevens beschikbaar te stellen door de verwerkingsverantwoordelijke zoals gedefinieerd in artikel 4, punt 7, van Verordening (EU) 2016/679. Verbonden producten kunnen zo worden ontworpen dat de gebruiker of een derde de gegevens op het verbonden product, op een computing instance van de fabrikant of in een door de gebruiker of de derde gekozen informatie- en communicatietechnologie (ICT)-omgeving kan verwerken.

Virtuele assistenten spelen een steeds grotere rol bij de digitalisering van consumenten- en beroepsomgevingen en fungeren als een gebruiksvriendelijke interface om inhoud af te spelen, informatie te verkrijgen of producten te activeren die verbonden zijn met het internet. Virtuele assistenten kunnen als één toegangspoort fungeren, bijvoorbeeld binnen een slimme thuisomgeving, en aanzienlijke hoeveelheden relevante gegevens registreren over de manier waarop gebruikers interageren met producten die verbonden zijn met het internet, waaronder producten die door andere partijen zijn vervaardigd, en kunnen het gebruik van door fabrikanten geleverde interfaces, zoals touchscreens of smartphone-apps, vervangen. Het kan zijn dat de gebruiker dergelijke gegevens ter beschikking wil stellen van derde fabrikanten om nieuwe slimme diensten mogelijk te maken. De in deze verordening vastgestelde rechten op toegang tot gegevens moeten ook van toepassing zijn op virtuele assistenten. De in deze verordening vastgestelde rechten op toegang tot gegevens moeten ook van toepassing zijn op gegevens die worden gegenereerd wanneer een gebruiker contact maakt met een verbonden product via een virtuele assistent die wordt verstrekt door een andere entiteit dan de fabrikant van het verbonden product. Niettemin mogen enkel de gegevens die voortvloeien uit de interactie tussen de gebruiker en een verbonden product of gerelateerde dienst via de virtuele assistent onder deze verordening vallen. Door de virtuele assistent geproduceerde gegevens die geen verband houden met het gebruik van een verbonden product of gerelateerde dienst, vallen niet onder deze verordening.

Alvorens een overeenkomst te sluiten voor de aankoop, huur of leasing van een verbonden product moet de verkoper, verhuurder of leasegever, die ook de fabrikant kan zijn, aan de gebruiker op duidelijke en begrijpelijke wijze informatie verstrekken over de productgegevens die het verbonden product kan genereren, onder meer over het type, het formaat en het geraamde volume van die gegevens. Dit kan informatie omvatten over datastructuren, dataformaten, vocabularia, classificatieschema's, taxonomieën en codelijsten, indien beschikbaar, alsook duidelijke en toereikende informatie die voor de gebruiker relevant is voor de uitoefening van zijn rechten inzake de wijze waarop de gegevens kunnen worden opgeslagen, opgevraagd of geraadpleegd, met een beschrijving van de gebruiksvoorwaarden en de kwaliteit van application programming interfaces of, in voorkomend geval, het verstrekken van softwareontwikkelingskits. Die verplichting zorgt voor transparantie over de gegenereerde productgegevens en bevordert de toegang voor de gebruiker. De verkoper, verhuurder of leasegever, die ook de fabrikant kan zijn, kan aan de informatieverplichting voldoen door op het internet een stabiele uniform resource locator (URL) te plaatsen en die, voordat de overeenkomst voor de aankoop, huur of leasing van een verbonden product wordt gesloten, als weblink of QR-code die naar de relevante informatie verwijst mee te delen aan de gebruiker. In elk geval moet de gebruiker in staat zijn de informatie op zodanige wijze op te slaan dat deze toegankelijk is voor raadpleging in de toekomst en dat de opgeslagen informatie in ongewijzigde vorm kan worden gereproduceerd. Van de gegevenshouder kan niet worden verwacht dat hij de gegevens met het oog op de behoeften van de gebruiker van het verbonden product voor onbepaalde tijd bewaart, maar de gegevenshouder moet een redelijk beleid inzake de bewaring van gegevens voeren, waar van toepassing in overeenstemming met het opslagbeperkingsbeginsel op grond van artikel 5, lid 1, punt e), van Verordening (EU) 2016/679, dat de doeltreffende toepassing van het recht op toegang tot gegevens uit hoofde van deze verordening mogelijk maakt. De verplichting om informatie te verstrekken doet geen afbreuk aan de verplichting van de verwerkingsverantwoordelijke om het datasubject informatie te verstrekken overeenkomstig de artikelen 12, 13 en 14 van Verordening (EU) 2016/679. De verplichting om informatie te verstrekken voordat een overeenkomst voor de verlening van een gerelateerde dienst wordt gesloten, moet op de potentiële gegevenshouder rusten, ongeacht of de gegevenshouder een overeenkomst sluit voor de aankoop, huur of leasing van een verbonden product. Wanneer informatie tijdens de levensduur van het verbonden product of de contractperiode voor de gerelateerde dienst verandert, ook wanneer het doel waarvoor die gegevens moeten worden gebruikt verandert ten opzichte van het oorspronkelijk gespecificeerde doel, moet die informatie ook aan de gebruiker worden verstrekt.

Deze verordening mag niet worden uitgelegd als het verlenen van nieuwe rechten aan gegevenshouders om productgegevens of gegevens van een gerelateerde dienst te gebruiken. Als de fabrikant van een verbonden product een gegevenshouder is, moet een overeenkomst tussen de fabrikant en de gebruiker de basis vormen voor het gebruik van niet-persoonsgebonden gegevens. Een dergelijke overeenkomst kan deel uitmaken van een overeenkomst voor de verlening van de gerelateerde dienst, die samen met de verkoop-, huur- of leaseovereenkomst met betrekking tot het verbonden product kan worden verleend. Elke contractuele bepaling die bepaalt dat de gegevenshouder de productgegevens of de gegevens van een gerelateerde dienst mag gebruiken, moet transparant zijn voor de gebruiker, ook over de doeleinden waarvoor de gegevenshouder de gegevens zal gebruiken. Dergelijke doeleinden kunnen onder meer bestaan uit het verbeteren van de werking van het verbonden product of de gerelateerde diensten, het ontwikkelen van nieuwe producten of diensten, of het aggregeren van gegevens met het oog op het beschikbaar stellen van de resulterende afgeleide gegevens aan derden, op voorwaarde dat dergelijke afgeleide gegevens niet de mogelijkheid bieden specifieke gegevens die vanuit het verbonden product aan de gegevenshouder worden doorgegeven te identificeren, en een derde niet in staat stellen die gegevens uit de dataset af te leiden. Elke wijziging van de overeenkomst moet de geïnformeerde toestemming van de gebruiker vereisen. Deze verordening vormt geen beletsel voor partijen om contractsbedingen overeen te komen die het gebruik van niet-persoonsgebonden gegevens, of bepaalde categorieën van niet-persoonsgebonden gegevens, door een gegevenshouder uitsluiten of beperken. Ze weerhoudt partijen er evenmin van contractueel overeen te komen om productgegevens of gegevens van een gerelateerde dienst direct of indirect beschikbaar te stellen, onder meer, in voorkomend geval, via een andere gegevenshouder. Bovendien vormt deze verordening geen beletsel voor het vaststellen van sectorspecifieke regelgevingsvereisten uit hoofde van het Unierecht, of met het Unierecht verenigbaar nationaal recht, die het gebruik van bepaalde gegevens door de gegevenshouder om duidelijk omschreven redenen van openbare orde zouden uitsluiten of beperken. Deze verordening belet gebruikers niet om, in het geval van relaties tussen bedrijven onderling, gegevens beschikbaar te stellen aan derden of gegevenshouders onder eender welke wettelijke contractvoorwaarde, onder meer door overeen te komen het verdere delen van gegevens te beperken of te begrenzen, of om evenredig te worden vergoed, bijvoorbeeld in ruil voor het opgeven van hun recht om deze gegevens te gebruiken of te delen. Hoewel overheidsinstanties doorgaans niet onder het begrip ‘gegevenshouder’ vallen, kunnen zij wel gegevenshouder zijn.

Om de opkomst van liquide, eerlijke en efficiënte markten voor niet-persoonsgebonden gegevens te bevorderen, moeten gebruikers van verbonden producten gegevens met anderen kunnen delen, ook voor commerciële doeleinden, met minimale juridische en technische inspanningen. Momenteel is het voor bedrijven vaak moeilijk om de personeels- of computerkosten te rechtvaardigen die nodig zijn om niet-persoonsgebonden datasets of dataproducten te creëren en deze via databemiddelingsdiensten, waaronder datamarktplaatsen, aan te bieden aan potentiële tegenpartijen. Zo ontstaat door het gebrek aan voorspelbaarheid met betrekking tot het economische rendement van investeringen in de curatie en terbeschikkingstelling van datasets of -producten een aanzienlijke belemmering voor het delen van niet-persoonsgebonden gegevens door bedrijven. Om het ontstaan mogelijk te maken van liquide, billijke en efficiënte markten voor niet-persoonsgebonden gegevens in de Unie, moet worden verduidelijkt welke partij het recht heeft dergelijke gegevens op een markt aan te bieden. Gebruikers moeten daarom het recht hebben niet-persoonsgebonden gegevens voor commerciële en niet-commerciële doeleinden te delen met gegevensontvangers. Deze gegevensdeling kan rechtstreeks door de gebruiker, op diens verzoek, via een gegevenshouder of via databemiddelingsdiensten geschieden. Databemiddelingsdiensten, zoals geregeld bij Verordening (EU) 2022/868 van het Europees Parlement en de Raad (22), kunnen een data-economie faciliteren door commerciële relaties tot stand te brengen tussen gebruikers, gegevensontvangers en derden en kunnen gebruikers helpen hun recht uit te oefenen om gegevens te gebruiken, bijvoorbeeld door het waarborgen van een anonimisering van persoonsgegevens of het aggregeren van de toegang tot de gegevens van meerdere individuele gebruikers. Indien gegevens niet vallen onder de verplichting van een gegevenshouder om ze beschikbaar te stellen aan gebruikers of derden, kan de reikwijdte van die gegevens worden gespecificeerd in de overeenkomst tussen de gebruiker en de gegevenshouder voor de levering van een gerelateerde dienst, zodat gebruikers gemakkelijk kunnen bepalen welke gegevens voor hen beschikbaar zijn om te delen met gegevensontvangers of derden. Gegevenshouders mogen niet-persoonsgebonden productgegevens niet beschikbaar stellen aan derden voor andere commerciële of niet-commerciële doeleinden dan de uitvoering van hun overeenkomst met de gebruiker, zonder afbreuk te doen aan de op grond van het Unie- of nationale recht aan gegevenshouders opgelegde wettelijke verplichtingen om gegevens beschikbaar te stellen. In voorkomend geval moeten gegevenshouders derden er contractueel toe verplichten de van hen ontvangen gegevens niet verder te delen.

In sectoren die worden gekenmerkt door de concentratie van een klein aantal fabrikanten die verbonden producten aan eindgebruikers leveren, beschikken gebruikers soms slechts over beperkte mogelijkheden om gegevens te raadplegen, te gebruiken en te delen. In dergelijke omstandigheden kunnen overeenkomsten ontoereikend zijn om de doelstelling van empowerment van gebruikers te verwezenlijken, waardoor het voor gebruikers moeilijk is om waarde te verkrijgen uit de gegevens die worden gegenereerd door het verbonden product dat zij kopen, huren of leasen. Bijgevolg bestaat er een beperkt potentieel voor kleinere innovatieve bedrijven om concurrerende op gegevens gebaseerde oplossingen aan te bieden, en voor een diverse data-economie in de Unie. Deze verordening moet daarom voortbouwen op recente ontwikkelingen in specifieke sectoren, zoals de gedragscode voor het delen van landbouwdata op basis van een overeenkomst. Er kan Unie- of nationaal recht worden vastgesteld om tegemoet te komen aan sectorspecifieke behoeften en doelstellingen. Voorts mogen gegevenshouders geen direct beschikbare gegevens die geen persoonsgegevens zijn gebruiken om inzicht te verkrijgen in de economische situatie van de gebruiker, zijn activa of productiemethoden of gebruik op een andere manier die de commerciële positie van de gebruiker op de markten waarop hij actief is, zou kunnen ondermijnen. Dit zou bijvoorbeeld kunnen inhouden dat kennis over de algemene prestaties van een bedrijf of een landbouwbedrijf wordt gebruikt in contractuele onderhandelingen met de gebruiker over de mogelijke aankoop van producten of landbouwproducten van de gebruiker ten nadele van de gebruiker, of dat dergelijke informatie wordt opgenomen in grotere databanken over bepaalde markten in het aggregaat (bv. databanken over oogstopbrengsten voor het komende oogstseizoen), aangezien een dergelijk gebruik op indirecte wijze negatieve gevolgen voor de gebruiker kan hebben. De gebruiker moet de nodige technische interface krijgen om toestemmen te beheren, bij voorkeur met gedetailleerde toestemmingsopties (zoals ‘eenmaal toestaan’ of ‘toestaan bij het gebruik van deze app of dienst’), waaronder de optie om de toestemmingen in te trekken.

In overeenkomsten tussen een gegevenshouder en een consument als gebruiker van een verbonden product of gerelateerde dienst die gegevens genereert, is het consumentenrecht van de Unie, met name de Richtlijnen 93/13/EEG en 2005/29/EG, van toepassing om ervoor te zorgen dat een consument niet onderworpen is aan oneerlijke contractvoorwaarden. Voor de toepassing van deze verordening mogen oneerlijke contractvoorwaarden die eenzijdig aan een onderneming worden opgelegd, niet bindend zijn voor die onderneming.

Gegevenshouders kunnen een passende gebruikersidentificatie verlangen om na te gaan of de gebruiker recht heeft op toegang tot de gegevens. In het geval van persoonsgegevens die namens de verwerkingsverantwoordelijke door een andere verwerkende partij worden verwerkt, moeten gegevenshouders ervoor zorgen dat het verzoek om toegang door de verwerkende partij wordt ontvangen en behandeld.

Het moet de gebruiker vrij staan de gegevens voor elk rechtmatig doel te gebruiken. Dit houdt onder meer in dat de gegevens die de gebruiker in het kader van de uitoefening van zijn recht uit hoofde van deze verordening heeft ontvangen, worden verstrekt aan een derde die een aftermarketdienst aanbiedt die mogelijk concurreert met een door een gegevenshouder verleende dienst, of de gegevenshouder daartoe opdracht geeft. Het verzoek moet worden ingediend door de gebruiker of door een gemachtigde derde die namens een gebruiker optreedt, met inbegrip van een aanbieder van een databemiddelingsdienst. Gegevenshouders moeten ervoor zorgen dat de aan de derde ter beschikking gestelde gegevens even nauwkeurig, volledig, betrouwbaar, relevant en actueel zijn als de gegevens waartoe de gegevenshouder zelf toegang heeft of kan hebben op basis van het gebruik van het verbonden product of de gerelateerde dienst. Bij de verwerking van de gegevens moeten intellectuele-eigendomsrechten in acht worden genomen. Het is belangrijk om stimulansen te behouden om te investeren in producten met functionaliteiten die gebaseerd zijn op het gebruik van gegevens van sensoren die in die producten zijn ingebouwd.

Richtlijn (EU) 2016/943 van het Europees Parlement en de Raad (23) bepaalt dat het verkrijgen, gebruiken of openbaar maken van een bedrijfsgeheim als rechtmatig wordt beschouwd voor zover dit verkrijgen, gebruiken of openbaar maken bij het Unie- of nationale recht vereist of toegestaan is. Hoewel deze verordening gegevenshouders verplicht bepaalde gegevens te verstrekken aan gebruikers of door de gebruiker gekozen derden, zelfs wanneer die gegevens in aanmerking komen voor bescherming als bedrijfsgeheim, moet zij zodanig worden uitgelegd dat de bescherming van bedrijfsgeheimen uit hoofde van Richtlijn (EU) 2016/943 gewaarborgd blijft. In die context moeten gegevenshouders van de gebruiker of door de gebruiker gekozen derden kunnen verlangen dat zij gegevens die als bedrijfsgeheimen worden beschouwd, vertrouwelijk behandelen. Daartoe moeten gegevenshouders voordat deze worden verstrekt bepalen welke gegevens onder het bedrijfsgeheim vallen en moeten zij de mogelijkheid hebben om met de gebruiker, of door de gebruiker gekozen derden, noodzakelijke maatregelen overeen te komen om de gegevens vertrouwelijk te behandelen, onder meer door het gebruik van modelcontractvoorwaarden, geheimhoudingsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes. De opstelling van gedragscodes en technische normen met betrekking tot de bescherming van bedrijfsgeheimen bij de verwerking van gegevens kan, in aanvulling op het gebruik van door de Commissie te ontwikkelen en aan te bevelen modelcontractvoorwaarden, bijdragen tot de verwezenlijking van de doelstelling van deze verordening en moet worden aangemoedigd. Indien er geen overeenkomst bestaat over de noodzakelijke maatregelen of indien de gebruiker, of een door de gebruiker gekozen derde, de overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, moet de gegevenshouder het delen van gegevens die als bedrijfsgeheimen zijn aangemerkt, kunnen weigeren of opschorten. In dergelijke gevallen moet de gegevenshouder het besluit onverwijld schriftelijk aan de gebruiker of aan de derde meedelen en de bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd in kennis stellen van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en moet hij aangeven welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd. Gegevenshouders kunnen de toegang tot gegevens op grond van deze verordening in beginsel niet weigeren met als enige reden dat bepaalde gegevens als bedrijfsgeheim worden beschouwd, aangezien dit de beoogde effecten van deze verordening zou ondermijnen. Echter, in uitzonderlijke omstandigheden moet een gegevenshouder die houder van een bedrijfsgeheim is in staat zijn per geval een verzoek om de specifieke gegevens in kwestie af te wijzen indien hij ten overstaan van de gebruiker of van de derde kan aantonen dat bekendmaking van dat bedrijfsgeheim, ondanks de technische en organisatorische maatregelen die de gebruiker of de derde heeft genomen, zeer waarschijnlijk ernstige economische schade zou veroorzaken. ‘Ernstige economische schade’ impliceert ernstig en onherstelbaar economisch verlies. De gegevenshouder moet zijn weigering onverwijld schriftelijk motiveren ten overstaan van de gebruiker of van de derde, en de bevoegde autoriteit daarvan in kennis stellen. Een dergelijke rechtvaardiging moet gebaseerd zijn op objectieve elementen waaruit blijkt dat er een concreet risico bestaat dat de openbaarmaking van specifieke gegevens naar verwachting ernstige economische schade zal veroorzaken en om welke redenen de maatregelen die zijn genomen om de gevraagde gegevens te beveiligen, ontoereikend worden geacht. In dat verband kan rekening worden gehouden met mogelijke negatieve gevolgen voor de cyberbeveiliging. Onverminderd het recht om verhaal te halen bij een rechterlijke instantie van een lidstaat, kan de gebruiker, of een derde die het besluit van de gegevenshouder om het delen van gegevens te weigeren, tegen te houden of op te schorten wenst aan te vechten klacht indienen bij de bevoegde autoriteit, die onverwijld moet beslissen of en onder welke voorwaarden gegevensdeling moet beginnen of worden hervat, dan wel met de gegevenshouder kan overeenkomen om de zaak voor te leggen aan een geschillenbeslechtingsorgaan. De uitzonderingen op het recht op toegang tot gegevens in deze verordening mogen in geen geval het recht van toegang en het recht op overdraagbaarheid van gegevens van datasubjecten uit hoofde van Verordening (EU) 2016/679 beperken.

Het doel van deze verordening is niet alleen het bevorderen van de ontwikkeling van nieuwe, innovatieve verbonden producten of gerelateerde diensten en het stimuleren van innovatie op aftermarkets, maar ook het stimuleren van de ontwikkeling van volledig nieuwe diensten die gebruikmaken van de betrokken gegevens, onder meer op basis van gegevens van uiteenlopende verbonden producten of gerelateerde diensten. Tegelijkertijd beoogt deze verordening de investeringsprikkels voor het soort verbonden product waarvan de gegevens worden verkregen, niet te ondermijnen, bijvoorbeeld door het gebruik van gegevens om een concurrerend verbonden product te ontwikkelen dat door gebruikers wordt beschouwd als inwisselbaar of vervangbaar, met name op basis van de kenmerken, de prijs en het beoogde gebruik van het verbonden product. Deze verordening voorziet niet in een verbod op het ontwikkelen van een gerelateerde dienst met behulp van gegevens die op grond van deze verordening zijn verkregen, aangezien dit een ongewenst ontmoedigend effect op innovatie zou hebben. Een verbod op het gebruik van in het kader van deze verordening geraadpleegde gegevens voor het ontwikkelen van een concurrerend verbonden product, beschermt de innovatie-inspanningen van gegevenshouders. Of een verbonden product concurreert met het verbonden product waarvan de gegevens afkomstig zijn, hangt af van de vraag of de twee verbonden producten op dezelfde productmarkt concurreren. Dit moet worden bepaald met behulp van de gevestigde beginselen van het mededingingsrecht van de Unie op basis waarvan de relevante productmarkt kan worden gedefinieerd. Rechtmatige doeleinden voor het gebruik van de gegevens zijn evenwel onder meer reverse engineering, voor zover is voldaan aan de in deze verordening en in het Unie- of nationale recht vastgestelde vereisten. Dit kan het geval zijn voor de reparatie, de verlenging van de levensduur van een verbonden product of de verlening van aftermarketdiensten voor verbonden producten.

Een derde waaraan gegevens ter beschikking worden gesteld, kan een natuurlijke of rechtspersoon zijn, zoals een consument, een onderneming, een onderzoeksorganisatie, een non-profitorganisatie of een entiteit die in haar professionele hoedanigheid handelt. Bij het beschikbaar stellen van de gegevens aan de derde mag een gegevenshouder geen misbruik maken van zijn positie om een concurrentievoordeel te verkrijgen op markten waar de gegevenshouder en de derde mogelijk rechtstreeks met elkaar concurreren. Daarom mag de gegevenshouder ook geen direct beschikbare gegevens gebruiken om inzicht te verkrijgen in de economische situatie, de activa of productiemethoden van, of het gebruik door de derde op een andere wijze die de commerciële positie van de derde op de markten waarop de derde actief is, zou kunnen ondermijnen. De gebruiker moet in staat zijn niet-persoonsgebonden gegevens met derden voor commerciële doeleinden te delen. Met instemming van de gebruiker en met inachtneming van de bepalingen van deze verordening moeten derden de door de gebruiker verleende rechten inzake gegevenstoegang kunnen overdragen aan andere derden, onder meer in ruil voor een vergoeding. Databemiddelingssystemen in een bedrijf-tot-bedrijf-context en systemen voor het beheer van persoonlijke informatie (‘personal information management systems’ — PIMS), in Verordening (EU) 2022/868 databemiddelingsdiensten genoemd, kunnen gebruikers of derden ondersteunen bij het aangaan van commerciële relaties met een onbepaald aantal potentiële tegenpartijen voor elk rechtmatig doel dat binnen het toepassingsgebied van deze verordening valt. Zij kunnen een belangrijke rol spelen bij het aggregeren van de toegang tot gegevens zodat big data-analyses of machinaal leren kunnen worden vergemakkelijkt, op voorwaarde dat gebruikers de volledige controle behouden over het al dan niet aanbieden van hun gegevens voor een dergelijke aggregatie en over de commerciële voorwaarden waaronder hun gegevens moeten worden gebruikt.

Het gebruik van een verbonden product of gerelateerde dienst kan, met name wanneer de gebruiker een natuurlijke persoon is, gegevens genereren die betrekking hebben op een datasubject. De verwerking van dergelijke gegevens is onderworpen aan de regels van Verordening (EU) 2016/679, ook wanneer persoonsgegevens en niet-persoonsgebonden gegevens in een dataset onlosmakelijk met elkaar verbonden zijn. Het datasubject kan de gebruiker of een andere natuurlijke persoon zijn. Persoonsgegevens mogen alleen worden opgevraagd door een verwerkingsverantwoordelijke of een datasubject. Een gebruiker die het datasubject is, heeft op grond van Verordening (EU) 2016/679 in bepaalde omstandigheden recht op toegang tot die gebruiker betreffende persoonsgegevens, en deze verordening laat dergelijke rechten onverlet. Op grond van deze verordening heeft de gebruiker die een natuurlijke persoon is ook recht op toegang tot alle door het gebruik van een verbonden product gegenereerde gegevens, ongeacht of het gaat om persoonsgegevens of niet-persoonsgebonden gegevens. Indien de gebruiker niet het datasubject is, maar een onderneming, waaronder een individuele ondernemer, maar niet bij gedeeld huishoudelijk gebruik van het verbonden product, moet de gebruiker worden beschouwd als een verwerkingsverantwoordelijke. Bijgevolg moet een gebruiker die als verwerkingsverantwoordelijke van plan is persoonsgegevens op te vragen die zijn gegenereerd door het gebruik van een verbonden product of een gerelateerde dienst, beschikken over een rechtsgrond voor de verwerking van de gegevens op grond van artikel 6, lid 1, van Verordening (EU) 2016/679, zoals toestemming van het datasubject of de uitvoering van een overeenkomst waarbij de betrokkene partij is. Een dergelijke gebruiker moet ervoor zorgen dat het datasubject naar behoren wordt geïnformeerd over de specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden voor de verwerking van die gegevens en over de wijze waarop het datasubject zijn rechten doeltreffend kan laten gelden. Wanneer de gegevenshouder en de gebruiker gezamenlijke verwerkingsverantwoordelijken zijn in de zin van artikel 26 van Verordening (EU) 2016/679, zijn zij verplicht om door middel van een onderlinge regeling op transparante wijze hun respectieve verantwoordelijkheden voor de naleving van die verordening vast te stellen. Het moet duidelijk zijn dat een dergelijke gebruiker, zodra gegevens beschikbaar zijn gesteld, op zijn beurt gegevenshouder kan worden, indien die gebruiker voldoet aan de criteria van deze verordening en dus onderworpen wordt aan de verplichtingen om gegevens beschikbaar te stellen uit hoofde van deze verordening.

Productgegevens of gegevens van een gerelateerde dienst mogen alleen op verzoek van de gebruiker aan een derde ter beschikking worden gesteld. Deze verordening vormt dienovereenkomstig een aanvulling op het in artikel 20 van Verordening (EU) 2016/679 bedoelde recht van datasubjecten om hun persoonsgegevens in een gestructureerd, algemeen gebruikt en machineleesbaar formaat te ontvangen en die gegevens door te geven aan een andere verwerkingsverantwoordelijke, indien die gegevens via geautomatiseerde procedés worden verwerkt op basis van artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), of op basis van een overeenkomst uit hoofde van artikel 6, lid 1, punt b), van die verordening. Datasubjecten hebben ook het recht om de persoonsgegevens direct van een verwerkingsverantwoordelijke naar een andere verwerkingsverantwoordelijke te laten overdragen, maar dit moet technisch haalbaar zijn. In artikel 20 van Verordening (EU) 2016/679 wordt gespecificeerd dat dit betrekking heeft op door het datasubject verstrekte gegevens, maar wordt niet gespecificeerd of dit een actief gedrag van de zijde van het datasubject vereist, dan wel of het ook van toepassing is op situaties waarin een verbonden product of een gerelateerde dienst door zijn ontwerp het gedrag van een datasubject of andere informatie met betrekking tot een datasubject op passieve wijze waarneemt. De rechten uit hoofde van deze verordening vormen op verschillende manieren een aanvulling op het recht om persoonsgegevens te ontvangen en over te dragen uit hoofde van artikel 20 van Verordening (EU) 2016/679. Deze verordening verleent gebruikers het recht op toegang tot en beschikbaarstelling aan derden van productgegevens of gegevens van een gerelateerde dienst, ongeacht of het persoonsgegevens betreft en of het actief verstrekte of passief waargenomen gegevens betreft en ongeacht de rechtsgrond van de verwerking. In tegenstelling tot artikel 20 van Verordening (EU) 2016/679, voorziet deze verordening in de technische haalbaarheid van toegang van derden voor alle soorten gegevens die binnen het toepassingsgebied van de verordening vallen, ongeacht of het persoonsgegevens of niet-persoonsgebonden gegevens zijn, en waarborgt zij op die manier dat technische belemmeringen de toegang tot dergelijke gegevens niet langer belemmeren of onmogelijk maken. Het biedt gegevenshouders ook de mogelijkheid een redelijke vergoeding vast te stellen die door derden, maar niet door de gebruiker, moet worden betaald voor kosten die voortvloeien uit het verlenen van rechtstreekse toegang tot de door het verbonden product van de gebruiker gegenereerde gegevens. Indien een gegevenshouder en een derde niet in staat zijn overeenstemming te bereiken over de voorwaarden voor een dergelijke rechtstreekse toegang, mag het datasubject op geen enkele wijze worden belet de in Verordening (EU) 2016/679 vastgestelde rechten, waaronder het recht op overdraagbaarheid van gegevens, uit te oefenen door overeenkomstig die verordening remedies in te stellen. In deze context moet worden begrepen dat, overeenkomstig Verordening (EU) 2016/679, verwerking van bijzondere categorieën persoonsgegevens door de gegevenshouder of de derde op grond van een overeenkomst niet is toegestaan.

De toegang tot alle op eindapparatuur opgeslagen of via die eindapparatuur toegankelijke gegevens is onderworpen aan Richtlijn 2002/58/EG en vereist de toestemming van de abonnee of gebruiker in de zin van die richtlijn, tenzij toegang strikt noodzakelijk is voor de levering van een uitdrukkelijk door de gebruiker of de abonnee gevraagde dienst van de informatiemaatschappij of uitsluitend de doorgifte van een communicatie tot doel heeft. Richtlijn 2002/58/EG beschermt de integriteit van de eindapparatuur van de gebruiker wat betreft het gebruik van verwerkings- en opslagmogelijkheden en het verzamelen van informatie. Apparatuur voor het internet der dingen wordt als eindapparatuur beschouwd indien deze direct of indirect verbonden is met een openbaar communicatienetwerk.

Om uitbuiting van gebruikers te voorkomen, mogen derden aan wie gegevens op verzoek van de gebruiker beschikbaar zijn gesteld, die gegevens alleen verwerken voor de met de gebruiker overeengekomen doeleinden en dergelijke gegevens alleen met een andere derde delen indien de gebruiker daar toestemming voor heeft gegeven.

Overeenkomstig het beginsel van minimale dataverwerking mogen derden alleen toegang hebben tot de informatie die nodig is voor de levering van de door de gebruiker gevraagde dienst. Nadat toegang tot gegevens is verkregen, mag de derde deze verwerken voor de met de gebruiker overeengekomen doeleinden, zonder inmenging van de gegevenshouder. Het moet voor de gebruiker even gemakkelijk zijn om toegang van de derde tot de gegevens te weigeren of stop te zetten als het voor de gebruiker is om toegang te verlenen. Noch derden noch gegevenshouders mogen de uitoefening van keuzes of rechten door de gebruiker onnodig moeilijk maken, door de gebruiker op niet-neutrale wijze keuzemogelijkheden aan te bieden, of door de gebruiker op enigerlei wijze te dwingen, te misleiden of te manipuleren, of door de autonomie, besluitvorming of keuzes van de gebruiker te ondermijnen of te beperken, onder meer door middel van een digitale gebruikersinterface of een deel daarvan. In dat verband mogen derden of gegevenshouders zich bij het ontwerpen van hun digitale interfaces niet baseren op ‘donkere patronen’. Donkere patronen zijn ontwerptechnieken die consumenten aanzetten — al dan niet door misleiding — tot beslissingen die negatieve gevolgen voor hen hebben. Die manipulatietechnieken kunnen worden gebruikt om gebruikers, met name kwetsbare consumenten, ertoe te brengen zich ongewenst te gedragen, gebruikers door nudging te misleiden zodat zij bepaalde beslissingen over de toegang tot hun gegevens nemen of om de beslissingen van gebruikers op onredelijke wijze te sturen, waardoor hun autonomie, besluitvorming en keuze worden ondermijnd of beperkt. Gangbare en legitieme handelspraktijken die in overeenstemming zijn met het Unierecht, mogen op zichzelf niet als donkere patronen worden beschouwd. Derden en gegevenshouders moeten voldoen aan hun verplichtingen uit hoofde van het toepasselijke Unierecht, met name de vereisten die zijn vastgesteld in de Richtlijnen 98/6/EG(24) en 2000/31/EG (25) van het Europees Parlement en de Raad, en in de Richtlijnen 2005/29/EG en 2011/83/EU.

Derden mogen binnen het toepassingsgebied van deze verordening vallende gegevens ook niet gebruiken om personen te profileren, tenzij dergelijke verwerkingsactiviteiten strikt noodzakelijk zijn om de door de gebruiker gevraagde dienst te verlenen, onder meer in de context van geautomatiseerde besluitvorming. De verplichting om gegevens te wissen wanneer deze niet langer nodig zijn voor het met de gebruiker overeengekomen doel, tenzij anderszins overeengekomen met betrekking tot niet-persoonsgebonden gegevens, vormt een aanvulling op het recht van het datasubject om de gegevens te wissen overeenkomstig artikel 17 van Verordening (EU) 2016/679. Wanneer een derde een aanbieder van een databemiddelingsdienst is, zijn de waarborgen voor het datasubject waarin Verordening (EU) 2022/868 voorziet, van toepassing. De derde mag de gegevens gebruiken om een nieuw en innovatief verbonden product of een nieuwe innovatieve dienst te ontwikkelen, maar niet om een concurrerend verbonden product te ontwikkelen.

Start-ups, kleine ondernemingen en ondernemingen die kunnen worden aangemerkt als middelgrote ondernemingen uit hoofde van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG en ondernemingen uit traditionele sectoren met minder ontwikkelde digitale mogelijkheden hebben moeite om toegang te krijgen tot relevante gegevens. Deze verordening heeft tot doel de toegang tot gegevens voor die entiteiten te vergemakkelijken, en er tegelijkertijd voor te zorgen dat de overeenkomstige verplichtingen zo proportioneel mogelijk worden afgebakend om overschrijding van de reikwijdte te voorkomen. Tegelijkertijd is een klein aantal zeer grote ondernemingen ontstaan met niet alleen een aanzienlijke economische macht in de digitale economie door de accumulatie en aggregatie van grote hoeveelheden gegevens, maar ook met de technologische infrastructuur om deze te gelde te maken. Tot die zeer grote ondernemingen behoren ondernemingen die kernplatformdiensten aanbieden die hele platformecosystemen in de digitale economie controleren en die door bestaande of nieuwe marktdeelnemers niet kunnen worden aangevochten of betwist. Verordening (EU) 2022/1925 van het Europees Parlement en de Raad (26) heeft tot doel die inefficiënties en onevenwichtigheden te verhelpen door de Commissie toe te staan een onderneming als ‘poortwachter’ aan te wijzen, en legt een aantal verplichtingen op aan die poortwachters, waaronder een verbod om bepaalde gegevens zonder toestemming te combineren en een verplichting om te zorgen voor effectieve rechten op overdraagbaarheid van gegevens uit hoofde van artikel 20 van Verordening (EU) 2016/679. Overeenkomstig Verordening (EU) 2022/1925 en gezien het ongeëvenaarde vermogen van die ondernemingen om gegevens te verkrijgen, is het ter verwezenlijking van de doelstelling van deze verordening niet nodig, en zou het derhalve onevenredig zijn om gegevenshouders voor wie deze verplichtingen gelden, bovendien te verplichten om poortwachters op te nemen als begunstigden van het recht op toegang tot gegevens. Het opnemen van dergelijke ondernemingen zou waarschijnlijk ook het nut van deze verordening voor kmo's, in verband met de eerlijke verdeling van de waarde uit gegevens onder marktdeelnemers, ernstig beperken. Dit betekent dat een onderneming die kernplatformdiensten aanbiedt en als poortwachter is aangewezen, geen toegang kan vragen of krijgen tot gegevens van gebruikers die zijn gegenereerd door het gebruik van een verbonden product of gerelateerde dienst of door een virtuele assistent op grond van deze verordening. Bovendien mogen derden aan wie op verzoek van de gebruiker gegevens ter beschikking worden gesteld, de gegevens niet ter beschikking stellen van een poortwachter. De derde mag bijvoorbeeld de dienstverlening niet uitbesteden aan een poortwachter. Derden mogen echter wel gebruikmaken van dataverwerkingsdiensten die door een poortwachter worden aangeboden. Het belet die ondernemingen evenmin dezelfde gegevens ook verkrijgen en gebruiken via andere wettige middelen. De toegangsrechten waarin deze verordening voorziet, dragen bij tot een ruimere keuze aan diensten voor consumenten. Aangezien vrijwillige overeenkomsten tussen poortwachters en gegevenshouders hier niet door worden geraakt, sluit de beperking van het verlenen van toegang aan poortwachters hen niet uit van de markt en vormt de beperking geen beletsel voor poortwachters om hun diensten aan te bieden.

Gezien de huidige stand van de technologie zou het voor micro-ondernemingen en kleine ondernemingen te belastend zijn om verdere ontwerpverplichtingen op te leggen met betrekking tot verbonden producten die worden vervaardigd of ontworpen, of de gerelateerde diensten die door hen worden verleend. Dit is echter niet het geval wanneer een micro-onderneming of een kleine onderneming een partneronderneming of verbonden onderneming heeft in de zin van artikel 3 van de bijlage bij Aanbeveling 2003/361/EG die niet kan worden aangemerkt als micro-onderneming of kleine onderneming, en wanneer het vervaardigen of ontwerpen van een verbonden product of het verlenen van een gerelateerde dienst aan die onderneming wordt uitbesteed. In dergelijke situaties kan de onderneming die de vervaardiging of het ontwerp aan een micro-onderneming of een kleine onderneming heeft uitbesteed, de onderaannemer op passende wijze vergoeden. Een micro-onderneming of een kleine onderneming kan niettemin als gegevenshouder onderworpen zijn aan de vereisten van deze verordening, indien zij niet de fabrikant van het verbonden product of een aanbieder van gerelateerde diensten is. Er moet een overgangsperiode gelden van minder dan een jaar voor ondernemingen die werden aangemerkt als middelgrote onderneming en voor verbonden producten voor minder dan een jaar na de datum waarop zij op de markt zijn gebracht. Een dergelijke overgangsperiode van één jaar biedt voor dergelijke middelgrote ondernemingen de mogelijkheid zich aan te passen en voor te bereiden voordat zij worden blootgesteld aan concurrentie op de markt voor diensten voor de door hen vervaardigde verbonden producten, op basis van toegangsrechten uit hoofde van deze verordening. Een dergelijke overgangsperiode is niet van toepassing indien een dergelijke middelgrote onderneming een partneronderneming of verbonden onderneming heeft die niet kan worden aangemerkt als micro-onderneming of kleine onderneming, of indien het vervaardigen of ontwerpen van het verbonden product of het verlenen van de gerelateerde dienst was uitbesteed aan een dergelijke middelgrote onderneming.

Rekening houdend met de verscheidenheid aan verbonden producten die gegevens van verschillende aard, verschillend volume en verschillende frequentie doen ontstaan, die verschillende niveaus van gegevens- en cyberbeveiligingsrisico's inhouden en die economische kansen van verschillende waarde bieden, en teneinde te zorgen voor consistentie van praktijken voor gegevensdeling op de interne markt, ook over de sectorgrenzen heen, en om eerlijke praktijken voor gegevensdeling aan te moedigen en te bevorderen, zelfs op gebieden waar een dergelijk recht op toegang tot gegevens niet bestaat, voorziet deze verordening in horizontale regels inzake de regelingen voor toegang tot gegevens, wanneer een gegevenshouder op basis van het Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving verplicht is gegevens beschikbaar te stellen aan een gegevensontvanger. Die toegang moet gebaseerd zijn op eerlijke, redelijke, niet-discriminerende en transparante voorwaarden. Die algemene toegangsregels zijn niet van toepassing op verplichtingen om gegevens beschikbaar te stellen uit hoofde van Verordening (EU) 2016/679. Die regels hebben geen gevolgen voor het vrijwillig delen van gegevens. De niet-bindende modelcontractvoorwaarden voor het delen van gegevens tussen bedrijven die de Commissie moet ontwikkelen en aanbevelen, kunnen partijen helpen om overeenkomsten te sluiten die eerlijke, redelijke en niet-discriminerende voorwaarden bevatten en op transparante wijze moeten worden uitgevoerd. Het sluiten van overeenkomsten, die de niet-bindende contractsbedingen kunnen omvatten, mag niet inhouden dat het recht om gegevens te delen met derden op enigerlei wijze afhankelijk is van het bestaan van een dergelijke overeenkomst. Indien de partijen niet in staat zijn een overeenkomst te sluiten over gegevensdeling, ook niet met de hulp van geschillenbeslechtingsorganen, is het recht om gegevens te delen met derden afdwingbaar voor de nationale rechterlijke instanties.

Op basis van het beginsel van contractvrijheid moet het partijen vrij blijven staan om te onderhandelen over de precieze voorwaarden voor het beschikbaar stellen van gegevens in hun overeenkomsten, binnen het kader voor de algemene regels voor het beschikbaar stellen van gegevens. De voorwaarden van dergelijke overeenkomsten kunnen technische en organisatorische maatregelen omvatten, onder meer met betrekking tot gegevensbeveiliging.

Om ervoor te zorgen dat de voorwaarden voor verplichte toegang tot gegevens voor beide partijen bij een overeenkomst eerlijk zijn, moeten de algemene regels inzake het recht op toegang tot gegevens verwijzen naar de regel inzake het vermijden van oneerlijke contractvoorwaarden.

Overeenkomsten die in het kader van relaties tussen ondernemingen worden gesloten om gegevens beschikbaar te stellen, mogen geen onderscheid maken tussen vergelijkbare categorieën gegevensontvangers, ongeacht of de partijen grote ondernemingen dan wel kmo's zijn. Om het gebrek aan informatie over de voorwaarden in verschillende overeenkomsten te compenseren, waardoor het voor de gegevensontvanger moeilijk is om te beoordelen of de voorwaarden voor het beschikbaar stellen van de gegevens niet discriminerend zijn, moet de gegevenshouders ervoor verantwoordelijk zijn aan te tonen dat een contractueel beding niet discriminerend is. Er is geen sprake van onrechtmatige discriminatie wanneer een gegevenshouder verschillende contractvoorwaarden gebruikt om gegevens beschikbaar te stellen, indien die verschillen om objectieve redenen gerechtvaardigd zijn. Die verplichtingen laten Verordening (EU) 2016/679 onverlet.

Als stimulans om te blijven investeren in het genereren en beschikbaar stellen van waardevolle gegevens, waaronder investeringen in relevante technische instrumenten, en tegelijkertijd ter vermijding van buitensporige lasten voor de toegang tot en het gebruik van gegevens die gegevensdeling niet langer commercieel haalbaar zouden maken, bevat deze verordening het beginsel dat gegevenshouders in relaties tussen bedrijven een redelijke vergoeding kunnen vragen wanneer zij op grond van het Unierecht of overeenkomstig het Unierecht vastgesteld nationaal recht verplicht zijn gegevens beschikbaar te stellen aan een gegevensontvanger. Die vergoeding mag niet worden opgevat als een betaling voor de gegevens zelf. De Commissie moet richtsnoeren vaststellen over de berekening van een redelijke vergoeding in de data-economie.

In de eerste plaats kan een redelijke vergoeding voor het naleven van de verplichting op grond van het Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving om te voldoen aan een verzoek om gegevens beschikbaar te stellen, een vergoeding omvatten voor de kosten die zijn gemaakt om de gegevens beschikbaar te stellen. Die kosten kunnen technische kosten zijn, zoals de kosten die nodig zijn voor de reproductie, elektronische verspreiding en opslag, maar niet die voor het verzamelen of produceren van gegevens. Dergelijke technische kosten kunnen ook de kosten omvatten voor de verwerking die nodig is om gegevens beschikbaar te stellen, met inbegrip van kosten in verband met de formattering van gegevens. De kosten in verband met het beschikbaar stellen van de gegevens kunnen ook de kosten omvatten voor het faciliteren van concrete verzoeken om gegevens te delen. Die kosten kunnen ook variëren naargelang van de omvang van de gegevens en de regelingen die worden getroffen om de gegevens beschikbaar te stellen. Bij regelmatige of herhaalde transacties in een zakelijke relatie kunnen de kosten dalen wanneer houders en gegevensontvangers langetermijnregelingen sluiten, bijvoorbeeld via een abonnementsmodel of het gebruik van slimme contracten. De kosten in verband met het beschikbaar stellen van gegevens zijn specifiek voor een bepaald verzoek of worden gedeeld met andere verzoeken. In het laatste geval moet het niet aan een enkele gegevensontvanger zijn om de volledige kosten voor het beschikbaar stellen van de gegevens te betalen. In de tweede plaats kan een redelijke vergoeding ook een marge omvatten, behalve wat betreft kmo's en onderzoeksorganisaties zonder winstoogmerk. Een marge kan variëren naargelang van factoren in verband met de gegevens zelf, zoals het volume, het formaat of de aard van de gegevens. In die marge kan rekening worden gehouden met de kosten voor het verzamelen van de gegevens. Een marge kan derhalve afnemen indien de gegevenshouder de gegevens zonder aanzienlijke investeringen voor zijn eigen activiteiten heeft verzameld, of kan toenemen indien de investeringen in de gegevensverzameling voor de activiteiten van de gegevenshouder hoog zijn. Zij kan beperkt of zelfs uitgesloten zijn in situaties waarin het gebruik van de gegevens door de gegevensontvanger geen invloed heeft op de eigen activiteiten van de gegevenshouder. Het feit dat de gegevens mede worden gegenereerd via een verbonden product dat de gebruiker bezit, huurt of leaset, kan het bedrag van de vergoeding eveneens verlagen in vergelijking met andere situaties waarin de gegevens door de gegevenshouder worden gegenereerd, bijvoorbeeld tijdens de verlening van een gerelateerde dienst.

Het is niet nodig in te grijpen in het geval van het delen van gegevens tussen grote ondernemingen of indien de gegevenshouder een kleine onderneming of middelgrote onderneming is en de gegevensontvanger een grote onderneming is. In dergelijke gevallen worden de ondernemingen geacht in staat te zijn om over de vergoeding te onderhandelen binnen de grenzen van wat redelijk en niet-discriminerend is.

Om kmo's te beschermen tegen buitensporige economische lasten die het voor hen commercieel te moeilijk zouden maken om innovatieve bedrijfsmodellen te ontwikkelen en te volgen, mag de redelijke vergoeding voor het beschikbaar stellen van gegevens niet hoger zijn dan de kosten die rechtstreeks verband houden met het beschikbaar stellen van de gegevens. Rechtstreeks verband houdende kosten zijn de kosten die kunnen worden toegeschreven aan de individuele verzoeken, met dien verstande dat de gegevenshouder permanent de nodige technische interfaces of bijbehorende software en connectiviteit zal moeten opzetten. Dezelfde regeling moet gelden voor onderzoeksorganisaties zonder winstoogmerk.

In naar behoren gerechtvaardigde gevallen, onder meer indien het noodzakelijk is om de deelname van de consument en de mededinging te waarborgen of innovatie op bepaalde markten te bevorderen, kan in het Unierecht of in overeenkomstig het Unierecht vastgestelde nationale wetgeving worden voorzien in een gereguleerde vergoeding voor het beschikbaar stellen van specifieke soorten gegevens.

Transparantie is een belangrijk beginsel om ervoor te zorgen dat de door een gegevenshouder gevraagde vergoeding redelijk is, of, indien de gegevensontvanger een kmo of een onderzoeksorganisatie zonder winstoogmerk is, dat de vergoeding niet hoger is dan de kosten die rechtstreeks verband houden met het beschikbaar stellen van de gegevens aan de ontvanger en toe te schrijven is aan het individuele verzoek. Om gegevensontvangers in staat te stellen te beoordelen en na te gaan of de vergoeding voldoet aan de vereisten van deze verordening, moet de gegevenshouder de ontvanger voldoende gedetailleerde informatie verstrekken voor de berekening van de vergoeding.

Het waarborgen van toegang tot alternatieve manieren om binnenlandse en grensoverschrijdende geschillen in verband met het beschikbaar stellen van gegevens op te lossen, moet ten goede komen aan houders en gegevensontvangers en aldus het vertrouwen in gegevensdeling versterken. Indien de partijen het niet eens kunnen worden over eerlijke, redelijke en niet-discriminerende voorwaarden voor het beschikbaar stellen van gegevens, moeten geschillenbeslechtingsorganen de partijen een eenvoudige, snelle en goedkope oplossing bieden. In deze verordening zijn alleen de voorwaarden vastgelegd waaraan geschillenbeslechtingsorganen moeten voldoen om te worden gecertificeerd; het staat de lidstaten vrij om specifieke regels voor de certificeringsprocedure, ook voor het verstrijken of intrekken van certificering, vast te stellen. De bepalingen van deze verordening inzake geschillenbeslechting mogen de lidstaten niet verplichten geschillenbeslechtingsorganen op te richten.

De geschillenbeslechtingsprocedure uit hoofde van deze verordening is een vrijwillige procedure die gebruikers, gegevenshouders en gegevensontvangers in staat stelt hun geschillen voor te leggen aan geschillenbeslechtingsorganen. Daarom moet het de partijen vrij staan zich tot een geschillenbeslechtingsorgaan van hun keuze te wenden, ongeacht of dat orgaan zich bevindt binnen of buiten de lidstaten waarin de partijen zijn gevestigd.

Om te voorkomen dat voor hetzelfde geschil twee of meer geschillenbeslechtingsorganen worden aangezocht, met name in een grensoverschrijdende situatie, moet een geschillenbeslechtingsorgaan de behandeling van een verzoek om beslechting van een geschil dat reeds voor een ander geschillenbeslechtingorgaan of voor een rechterlijke instantie van een lidstaat is gebracht, kunnen weigeren.

Om de uniforme toepassing van deze verordening te waarborgen, moeten de geschillenbeslechtingsorganen rekening houden met de door de Commissie te ontwikkelen en aan te bevelen niet-bindende modelcontractvoorwaarden en met Unie- of nationaal recht waarin de gegevensdelingsverplichtingen worden gespecificeerd of richtsnoeren van sectorale autoriteiten voor de toepassing van dat recht.

Partijen bij geschillenbeslechtingsprocedures mogen niet worden belet hun grondrechten op een doeltreffende voorziening in rechte en op een onpartijdig gerecht uit te oefenen. Daarom mag het besluit om een geschil aan een geschillenbeslechtingsorgaan voor te leggen die partijen niet het recht ontnemen om verhaal te halen bij een rechterlijke instantie van een lidstaat. De geschillenbeslechtingsorganen moeten jaarlijkse activiteitenverslagen openbaar maken.

Gegevenshouders kunnen passende technische beschermingsmaatregelen toepassen om onrechtmatige openbaarmaking van of toegang tot gegevens te voorkomen. Die maatregelen mogen echter geen onderscheid maken tussen gegevensontvangers, noch de toegang tot of het gebruik van gegevens voor gebruikers of gegevensontvangers belemmeren. In het geval van misbruik door een gegevensontvanger, zoals het misleiden van de gegevenshouder door onjuiste informatie te verstrekken met de bedoeling de gegevens voor onrechtmatige doeleinden te gebruiken, waaronder het ontwikkelen van een concurrerend verbonden product op basis van de gegevens, kan de gegevenshouder en, indien van toepassing en wanneer zij niet dezelfde persoon zijn, de houder van een bedrijfsgeheim of de gebruiker, de derde of de gegevensontvanger verzoeken onverwijld corrigerende of herstelmaatregelen te treffen. Dergelijke verzoeken, en met name verzoeken om een einde te maken aan de productie, het aanbieden of het in de handel brengen van goederen, afgeleide gegevens of diensten en verzoeken om een einde te maken aan de invoer, uitvoer of opslag van inbreukmakende goederen of de vernietiging ervan, moeten worden beoordeeld in het licht van hun evenredigheid met de belangen van de gegevenshouder, de houder van een bedrijfsgeheim of de gebruiker.

Wanneer de ene partij zich in een sterkere onderhandelingspositie bevindt, bestaat het risico dat die partij die positie kan inzetten ten nadele van de medecontractant bij de onderhandelingen over toegang tot gegevens, wat de toegang tot gegevens commercieel minder levensvatbaar en soms onbetaalbaar kan maken. Dergelijke contractuele onevenwichtigheden schaden alle ondernemingen die niet over het vermogen beschikken om te onderhandelen over de voorwaarden voor toegang tot gegevens, en die vaak geen andere keuze hebben dan contractvoorwaarden ‘graag of niet’ te aanvaarden. Oneerlijke contractvoorwaarden die de toegang tot en het gebruik van gegevens of de aansprakelijkheid en remedies in geval van schending of beëindiging van gegevensgerelateerde verplichtingen regelen, mogen derhalve niet bindend zijn voor ondernemingen wanneer die voorwaarden eenzijdig aan die ondernemingen zijn opgelegd.

In de regels inzake contractvoorwaarden moet rekening worden gehouden met het beginsel van contractvrijheid als essentieel concept in de relaties tussen ondernemingen. Daarom moeten niet alle contractvoorwaarden aan een oneerlijkheidstoets worden onderworpen, maar alleen de voorwaarden die eenzijdig worden opgelegd. Het gaat om situaties waarin een partij een bepaalde contractvoorwaarde voorstelt en de andere onderneming geen invloed kan uitoefenen op de inhoud van die voorwaarde, ondanks een poging om erover te onderhandelen. Een contractvoorwaarde die door één partij is voorgesteld en door de andere onderneming is aanvaard, of een contractvoorwaarde waarover is onderhandeld en die vervolgens in gewijzigde vorm tussen de contractpartijen is overeengekomen, mag niet worden geacht eenzijdig te zijn opgelegd.

Daarnaast moeten de regels inzake oneerlijke contractvoorwaarden alleen van toepassing zijn op de elementen van een overeenkomst die verband houden met het beschikbaar stellen van gegevens, dat wil zeggen contractvoorwaarden betreffende de toegang tot en het gebruik van gegevens, alsook aansprakelijkheid of remedies in geval van schending en beëindiging van gegevensgerelateerde verplichtingen. Andere delen van hetzelfde overeenkomst die geen verband houden met het beschikbaar stellen van gegevens, mogen niet worden onderworpen aan de in deze verordening vastgestelde oneerlijkheidstoets.

Criteria voor het vaststellen van oneerlijke contractvoorwaarden mogen alleen worden toegepast op buitensporige contractvoorwaarden waarbij misbruik is gemaakt van een sterkere onderhandelingspositie. De overgrote meerderheid van de contractvoorwaarden die commercieel gunstiger zijn voor de ene partij dan voor de andere, waaronder voorwaarden die normaal zijn in overeenkomsten tussen ondernemingen, zijn een normale uitdrukking van het beginsel van contractvrijheid en blijven van toepassing. Voor de toepassing van deze verordening zou een sterke afwijking van goede handelspraktijken er onder meer in bestaan dat de partij waaraan de contractvoorwaarde eenzijdig is opgelegd, objectief zou worden beperkt in haar vermogen om haar rechtmatige commerciële belang bij de betrokken gegevens te beschermen.

Teneinde rechtszekerheid te waarborgen, bevat deze verordening een lijst van bedingen die altijd oneerlijk zijn, en een lijst van bedingen waarvan wordt verondersteld dat ze oneerlijk zijn. In het laatste geval moet de onderneming die de contractvoorwaarde oplegt, de veronderstelling van oneerlijkheid kunnen weerleggen door aan te tonen dat het in deze verordening opgenomen beding in het specifieke geval in kwestie niet oneerlijk is. Indien een contractvoorwaarde niet voorkomt in de lijst van bedingen die altijd als oneerlijk worden beschouwd, noch in de lijst van bedingen waarvan wordt verondersteld dat ze oneerlijk zijn, is de algemene oneerlijkheidsbepaling van toepassing. In dat verband moeten de als oneerlijk aangemerkte contractuele bedingen in deze verordening als maatstaf dienen voor de interpretatie van de algemene oneerlijkheidsbepaling. Tot slot kunnen door de Commissie te ontwikkelen en aan te aanbevelen niet-bindende modelcontractvoorwaarden voor gegevensdelingsovereenkomsten tussen ondernemingen ook nuttig zijn voor commerciële partijen bij de onderhandelingen over overeenkomsten. Indien een contractueel beding oneerlijk wordt verklaard, blijft de betrokken overeenkomst zonder dat beding van toepassing, tenzij het oneerlijke contractuele beding niet kan worden gescheiden van de andere voorwaarden van de overeenkomst.

In situaties van uitzonderlijke noodzaak kan het nodig zijn dat overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie bij de uitoefening van hun wettelijke taken in het algemeen belang bestaande gegevens gebruiken, met inbegrip van, in voorkomend geval, begeleidende metagegevens, om te reageren op algemene noodsituaties of in andere uitzonderlijke gevallen. Situaties van uitzonderlijke noodzaak zijn onvoorzienbare en in de tijd beperkte situaties, in tegenstelling tot andere situaties, die wel voorzien, gepland, periodiek of frequent kunnen zijn. Hoewel overheidsinstanties doorgaans niet onder het begrip ‘gegevenshouder’ vallen, kunnen overheidsondernemingen daar wel onder vallen. Onderzoeksinstellingen en organisaties die onderzoek financieren, zouden ook als overheidsinstanties of overheidsondernemingen kunnen worden georganiseerd. Om de lasten voor het bedrijfsleven te beperken, mogen micro-ondernemingen en kleine ondernemingen slechts worden verplicht om gegevens te verstrekken aan overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie in situaties van uitzonderlijke noodzaak waarin dergelijke gegevens nodig zijn om te reageren op een algemene noodsituatie en de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie niet in staat is dergelijke gegevens tijdig en doeltreffend op een andere manier en in gelijkwaardige omstandigheden te verkrijgen.

In het geval van algemene noodsituaties, zoals noodsituaties op het gebied van de volksgezondheid, natuurrampen, waaronder door klimaatverandering en achteruitgang van het milieu verergerde rampen, en door de mens veroorzaakte grote rampen, zoals grote cyberincidenten, weegt het algemeen belang dat voortvloeit uit het gebruik van de gegevens zwaarder dan het belang van de gegevenshouders om vrijelijk over hun gegevens te beschikken. In dat geval moeten gegevenshouders verplicht worden de gegevens op verzoek beschikbaar te stellen aan overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie. Of er al dan niet sprake is van een algemene noodsituatie, moet worden bepaald of verklaard overeenkomstig het Unie- of nationaal recht en op basis van de relevante procedures, ook deze van relevante internationale organisaties. In dergelijke gevallen moet de overheidsinstantie aantonen dat er geen andere manier was om de gegevens waarop het verzoek betrekking heeft tijdig, doeltreffend en onder gelijkwaardige voorwaarden te verkrijgen, bijvoorbeeld door vrijwillige verstrekking van gegevens door een andere onderneming of door raadpleging van een openbare databank.

Een uitzonderlijke noodzaak kan ook voortvloeien uit situaties die geen noodsituaties zijn. In dergelijke gevallen moet het een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie zijn toegestaan uitsluitend niet-persoonsgebonden gegevens op te vragen. De overheidsinstantie moet aantonen dat de gegevens noodzakelijk zijn voor de uitvoering van een specifieke taak van algemeen belang waarin de wet uitdrukkelijk voorziet, zoals het opstellen van officiële statistieken of de beperking van of het herstel na een algemene noodsituatie. Bovendien kan een dergelijk verzoek alleen worden gedaan wanneer de overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie specifieke gegevens heeft geïdentificeerd die anders niet tijdig, doeltreffend en onder gelijkwaardige voorwaarden kunnen worden verkregen, en alleen als die instelling, die instantie of dat orgaan alle andere beschikbare middelen om die gegevens te verkrijgen heeft uitgeput, zoals het verkrijgen van de gegevens door middel van vrijwillige overeenkomsten, waaronder de aankoop van niet-persoonsgebonden gegevens tegen markttarieven, een beroep doen op bestaande verplichtingen om gegevens beschikbaar te stellen of de vaststelling van nieuwe wetgevende maatregelen die de tijdige beschikbaarheid van gegevens zouden kunnen garanderen. De op verzoeken toepasselijke voorwaarden en beginselen, zoals die met betrekking tot doelbinding, evenredigheid, transparantie en beperking in de tijd, moeten eveneens van toepassing zijn. In het geval van verzoeken om gegevens die nodig zijn voor het opstellen van officiële statistieken, moet de verzoekende overheidsinstantie ook aantonen of het nationale recht haar toestaat niet-persoonsgebonden gegevens op de markt te kopen.

Deze verordening mag niet van toepassing zijn, noch vooruitlopen, op vrijwillige regelingen voor het uitwisselen van gegevens tussen particuliere entiteiten en overheidsinstanties, met inbegrip van de verstrekking van gegevens door kmo's, en mag geen afbreuk doen aan wetgevingshandelingen van de Unie die voorzien in verplichte informatieverzoeken van publieke entiteiten aan particuliere entiteiten. Zij mag geen afbreuk doen aan de verplichtingen van gegevenshouders om gegevens te verstrekken op basis van behoeften van niet-uitzonderlijke aard, met name wanneer het scala aan gegevens en gegevenshouders bekend is of het gegevensgebruik regelmatig kan plaatsvinden, zoals in het geval van rapportageverplichtingen en internemarktverplichtingen. Deze verordening mag evenmin van invloed zijn op de vereisten inzake toegang tot gegevens om de naleving van de toepasselijke regels te controleren, onder meer wanneer overheidsinstanties de controle op de naleving toevertrouwen aan andere entiteiten dan overheidsinstanties.

Deze verordening vormt een aanvulling op het Unie- en nationale recht inzake de toegang tot en het gebruik van gegevens voor statistische doeleinden, met name Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad (27), alsmede op de nationale rechtshandelingen inzake officiële statistieken, en laat deze onverlet.

Voor de uitoefening van hun taken op het gebied van het voorkomen, het onderzoek, de opsporing en de vervolging van strafbare of administratieve overtredingen of de tenuitvoerlegging van strafrechtelijke en administratieve sancties en het verzamelen van gegevens voor belasting- of douanedoeleinden, moeten overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie gebruikmaken van hun bevoegdheden uit hoofde van het Unie- of nationaal recht. Deze verordening doet derhalve geen afbreuk aan wetgevingshandelingen inzake het delen van, de toegang tot en het gebruik van gegevens op die gebieden.

Overeenkomstig artikel 6, leden 1 en 3, van Verordening (EU) 2016/679 is een evenredig, beperkt en voorspelbaar kader op Unieniveau noodzakelijk als rechtsgrond voor het beschikbaar stellen van gegevens door gegevenshouders, in geval van uitzonderlijke noodzaak, aan overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie, zowel om rechtszekerheid te waarborgen als om de administratieve lasten voor bedrijven tot een minimum te beperken. Daartoe moeten verzoeken om gegevens van overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie aan gegevenshouders specifiek, transparant en evenredig zijn wat betreft de inhoud en de gedetailleerdheid ervan. Het doel van het verzoek en het beoogde gebruik van de gevraagde gegevens moeten specifiek zijn en duidelijk worden toegelicht, waarbij de verzoekende entiteit voldoende flexibiliteit moet worden geboden om haar specifieke taken in het algemeen belang uit te voeren. In het verzoek moet ook rekening worden gehouden met de legitieme belangen van de gegevenshouder waaraan het verzoek is gericht. De lasten voor gegevenshouders moeten tot een minimum worden beperkt door de verzoekende entiteiten te verplichten het eenmaligheidsbeginsel in acht te nemen, dat voorkomt dat dezelfde gegevens meer dan eens worden opgevraagd door meer dan één overheidsinstantie, de Commissie, de Europese Centrale Bank of organen van de Unie. Om de transparantie te waarborgen, moeten verzoeken om gegevens van de Commissie, de Europese Centrale Bank of organen van de Unie onverwijld openbaar worden gemaakt door de entiteit die om de gegevens verzoekt. De Europese Centrale Bank en de organen van de Unie moeten de Commissie in kennis stellen van hun verzoek. Indien het verzoek om gegevens is ingediend door een overheidsinstantie, moet die instantie ook kennisgeving doen aan de datacoördinator van de bevoegde autoriteit van de lidstaat waar de overheidsinstantie is gevestigd. Er moet voor worden gezorgd dat alle verzoeken online openbaar beschikbaar zijn. Na ontvangst van een kennisgeving van een verzoek om gegevens kan de bevoegde autoriteit besluiten de rechtmatigheid van het verzoek te beoordelen en haar taken met betrekking tot de handhaving en toepassing van deze verordening uit te oefenen. De datacoördinator moet ervoor zorgen dat alle verzoeken van de overheidsinstanties online openbaar beschikbaar zijn.

Het doel van de verplichting om de data te verstrekken is ervoor te zorgen dat overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie over de nodige kennis beschikken om te reageren op noodsituaties in de openbare sector, deze te voorkomen of ervan te herstellen of om de capaciteit te behouden om specifieke taken te vervullen waarin de wetgeving uitdrukkelijk voorziet. De door die entiteiten verkregen data kunnen commercieel gevoelig zijn. Noch Verordening (EU) 2022/868 noch Richtlijn (EU) 2019/1024 van het Europees Parlement en de Raad (28) mag derhalve van toepassing zijn op data die uit hoofde van deze verordening beschikbaar worden gesteld en die data mogen niet worden beschouwd als open data die beschikbaar zijn voor hergebruik door derden. Dit mag echter geen afbreuk doen aan de toepasselijkheid van Richtlijn (EU) 2019/1024 op het hergebruik van officiële statistieken die zijn opgesteld op basis van op grond van deze verordening verkregen data, mits het hergebruik geen betrekking heeft op de onderliggende data. Daarnaast mag, mits aan de voorwaarden van deze verordening wordt voldaan, geen afbreuk worden gedaan aan de mogelijkheid om data te delen voor het verrichten van onderzoek of voor de ontwikkeling, productie en verspreiding van officiële statistieken. Het moet overheidsinstanties ook worden toegestaan om op grond van deze verordening verkregen data uit te wisselen met andere overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie om tegemoet te komen aan de uitzonderlijke noodzaak waarvoor de data zijn opgevraagd.

Gegevenshouders moeten de mogelijkheid hebben om onverwijld en in elk geval niet later dan binnen een termijn van vijf of 30 werkdagen te vragen om een verzoek van een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie af te wijzen dan wel te wijzigen, afhankelijk van de aard van de uitzonderlijke noodzaak waarop het verzoek betrekking heeft. In voorkomend geval moet de gegevenshouder deze mogelijkheid krijgen indien hij geen controle heeft over de gevraagde data, d.w.z. indien hij geen onmiddellijke toegang tot de data heeft en de beschikbaarheid ervan niet kan bepalen. Er moet een geldige reden zijn om de data niet beschikbaar te stellen indien kan worden aangetoond dat het verzoek vergelijkbaar is met een eerder ingediend verzoek met hetzelfde doel van een andere overheidsinstantie, of de Commissie, de Europese Centrale Bank of een orgaan van de Unie en de gegevenshouder niet in kennis is gesteld van het wissen van de data op grond van deze verordening. Gegevenshouders die een verzoek afwijzen of om een wijziging verzoeken, moeten de onderliggende motivering meedelen aan de overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie die om de data verzoeken. In gevallen waarin de sui-generis-databankrechten uit hoofde van Richtlijn 96/9/EG van het Europees Parlement en de Raad (29) van toepassing zijn op de gevraagde datasets, moeten gegevenshouders hun rechten uitoefenen op een wijze die voor de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie geen beletsel vormt om de data overeenkomstig deze verordening te verkrijgen of te delen.

In geval van een uitzonderlijke noodzaak in verband met de respons op een algemene noodsituatie moeten overheidsinstanties in de mate van het mogelijke niet-persoonsgebonden gegevens gebruiken. In het geval van verzoeken op grond van een uitzonderlijke noodzaak die geen verband houdt met een algemene noodsituatie, kunnen geen persoonsgegevens worden opgevraagd. Wanneer persoonsgegevens binnen het toepassingsgebied van het verzoek vallen, dient de gegevenshouder de data te anonimiseren. Indien het strikt noodzakelijk is om persoonsgegevens op te nemen in de data die beschikbaar moeten worden gesteld aan een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie, of indien anonimisering onmogelijk blijkt, moet de entiteit die om de data heeft verzocht de strikte noodzaak en de specifieke en beperkte doeleinden van de verwerking aantonen. De toepasselijke regels inzake de bescherming van persoonsgegevens moeten worden nageleefd. Het beschikbaar stellen van de data en het latere gebruik ervan moeten gepaard gaan met waarborgen voor de rechten en belangen van de personen op wie die data betrekking hebben.

Gegevens die op basis van een uitzonderlijke noodzaak ter beschikking worden gesteld van overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie, mogen alleen worden gebruikt voor de doeleinden waarvoor zij werden gevraagd, tenzij de gegevenshouder die de data beschikbaar heeft gesteld, uitdrukkelijk heeft ingestemd met gebruik voor andere doeleinden. De data moeten worden gewist zodra zij niet langer nodig zijn voor de in het verzoek vermelde doeleinden, tenzij anders overeengekomen, en de gegevenshouder moet daarvan in kennis worden gesteld. Deze verordening bouwt voort op de bestaande toegangsregelingen in de Unie en de lidstaten en wijzigt het nationale recht voor de toegang van het publiek tot documenten in het kader van transparantieverplichtingen niet. Gegevens moeten worden gewist zodra zij niet langer nodig zijn om aan die transparantieverplichtingen te voldoen.

Bij hergebruik van door gegevenshouders verstrekte data moeten overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie zowel het bestaande toepasselijke Unie- of nationaal recht als de contractuele verplichtingen die op de gegevenshouder van toepassing zijn, eerbiedigen. Zij mogen geen verbonden producten of gerelateerde diensten ontwikkelen of verbeteren die concurreren met verbonden producten of gerelateerde diensten van de gegevenshouder noch voor die doeleinden data delen met een derde partij. Evenzo moeten zij gegevenshouders op hun verzoek publieke erkenning verlenen en de verantwoordelijkheid dragen voor het handhaven van de beveiliging van de ontvangen data. Wanneer de openbaarmaking van bedrijfsgeheimen van de gegevenshouder aan overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie strikt noodzakelijk is voor het doel waarvoor de data zijn opgevraagd, moet de gegevenshouder vóór de openbaarmaking de garantie krijgen dat de vertrouwelijkheid wordt gewaarborgd.

Wanneer de bescherming van een aanzienlijk algemeen belang in het geding is, zoals het reageren op algemene noodsituaties, mag van de betrokken overheidsinstantie, de Commissie, de Europese Centrale Bank of het betrokken orgaan van de Unie niet worden verwacht dat zij ondernemingen voor de verkregen data vergoeden. Algemene noodsituaties zijn zeldzame gebeurtenissen en niet al dergelijke noodsituaties vereisen het gebruik van data die in handen zijn van ondernemingen. Tegelijkertijd kan de verplichting om data te verstrekken een aanzienlijke last vormen voor micro-ondernemingen en kleine ondernemingen. Zij moeten daarom ook in het kader van de respons op een algemene noodsituatie een vergoeding kunnen vragen. De zakelijke activiteiten van de gegevenshouders zullen daarom waarschijnlijk niet negatief worden beïnvloed als gevolg van het feit dat overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie een beroep doen op deze verordening. Aangezien er echter vaker sprake kan zijn van een uitzonderlijke noodzaak dan enkel om te reageren op algemene noodsituaties, moeten gegevenshouders in dergelijke gevallen recht hebben op een redelijke vergoeding, die niet hoger mag zijn dan de technische en organisatorische kosten die zijn gemaakt om aan het verzoek te voldoen en de redelijke marge die nodig is om de data beschikbaar te stellen aan de overheidsinstantie, de Commissie, de Europese Centrale Bank of aan het orgaan van de Unie. Die vergoeding mag noch worden opgevat als een betaling voor de data zelf, noch als een verplichte vergoeding. Gegevenshouders mogen niet de mogelijkheid krijgen een vergoeding te vragen indien het nationale recht nationale bureaus voor de statistiek of andere nationale instanties die verantwoordelijk zijn voor het opstellen van statistieken verbiedt gegevenshouders te vergoeden voor het beschikbaar stellen van data. De betrokken overheidsinstantie, de Commissie, de Europese Centrale Bank of het betrokken orgaan van de Unie kan de door de gegevenshouder gevraagde vergoeding aanvechten door de zaak voor te leggen aan de bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.

Overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie moeten het recht hebben de data die zij op grond van het verzoek hebben verkregen, met andere entiteiten of personen te delen wanneer dit noodzakelijk is om wetenschappelijk onderzoek of analyses uit te voeren die zij niet zelf kunnen uitvoeren, op voorwaarde dat die activiteiten verenigbaar zijn met het doel waarvoor de data zijn opgevraagd. Zij moeten de gegevenshouder er tijdig van in kennis stellen dat de data worden gedeeld. Dergelijke data kunnen in dezelfde omstandigheden ook worden gedeeld met de nationale bureaus voor de statistiek en Eurostat voor de ontwikkeling, productie en verspreiding van officiële statistieken. Dergelijke onderzoeksactiviteiten moeten echter verenigbaar zijn met het doel waarvoor de data zijn opgevraagd en de gegevenshouder moet worden geïnformeerd over het delen van de door hem verstrekte data met andere entiteiten. Personen die onderzoek verrichten of onderzoeksorganisaties waarmee die data kunnen worden gedeeld, moeten handelen zonder winstoogmerk of in het kader van een door de staat erkende taak van algemeen belang. Organisaties waarop commerciële ondernemingen een aanzienlijke invloed uitoefenen, waardoor dergelijke ondernemingen zeggenschap kunnen uitoefenen vanwege structurele situaties die zouden kunnen leiden tot preferentiële toegang tot de resultaten van het onderzoek, mogen voor de toepassing van deze verordening niet als onderzoeksorganisaties worden beschouwd.

Om een grensoverschrijdende noodsituatie of een andere uitzonderlijke noodzaak aan te pakken, kunnen verzoeken om data worden gericht aan gegevenshouders in andere lidstaten dan die van de verzoekende overheidsinstantie. In dat geval moet de verzoekende overheidsinstantie de bevoegde autoriteit van de lidstaat waarin de gegevenshouder is gevestigd, daarvan in kennis stellen, zodat deze het verzoek kan toetsen aan de in deze verordening vastgelegde criteria. Hetzelfde moet gelden voor verzoeken van de Commissie, de Europese Centrale Bank of een orgaan van de Unie. Wanneer om persoonsgegevens wordt verzocht moet de overheidsinstantie de autoriteit die is belast met het monitoren van de toepassing van Verordening (EU) 2016/679 in de lidstaat waar de overheidsinstantie is gevestigd, daarvan in kennis stellen. De betrokken bevoegde autoriteit zou het recht hebben de overheidsinstantie, te adviseren om samen te werken met de overheidsinstanties van de lidstaat waar de gegevenshouder is gevestigd in verband met de noodzaak om de administratieve lasten voor de gegevenshouder tot een minimum te beperken. Wanneer de bevoegde autoriteit gegronde bezwaren heeft wat betreft de overeenstemming van het verzoek met deze verordening, moet zij het verzoek van de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie afwijzen, die met die bezwaren rekening moeten houden alvorens enige verdere actie, waaronder het opnieuw indienen van het verzoek, te ondernemen.

De mogelijkheid voor klanten van dataverwerkingsdiensten, waaronder cloud- en edgediensten, om over te stappen van de ene op de andere dataverwerkingsdienst, met behoud van een minimale functionaliteit van de dienst en zonder uitval van diensten, of de mogelijkheid om gelijktijdig gebruik te maken van de diensten van verschillende aanbieders zonder onnodige obstakels of kosten van dataoverdracht, is een essentiële voorwaarde voor een meer concurrerende markt met lagere toegangsdrempels voor nieuwe aanbieders van dataverwerkingsdiensten en voor het verder vergroten van de veerkracht van de gebruikers van die diensten. De in deze verordening vastgelegde bepalingen inzake overstappen moeten ook ten goede komen aan klanten die gebruikmaken van gratis diensten, opdat zij niet aan één aanbieder vastzitten.

Verordening (EU) 2018/1807 van het Europees Parlement en de Raad (30) moedigt aanbieders van dataverwerkingsdiensten aan om zelfregulerende gedragscodes te ontwikkelen die beste praktijken bevatten voor onder meer een gemakkelijkere overstap naar een andere aanbieder van dataverwerkingsdiensten en het overdragen van data, en deze doeltreffend uit te voeren. Aangezien er slechts beperkt gebruik wordt gemaakt van de zelfregulerende kaders die er naar aanleiding daarvan zijn ontwikkeld, en er een algemene gebrek is aan open normen en interfaces, is het noodzakelijk een reeks minimale wettelijke verplichtingen voor aanbieders van dataverwerkingsdiensten vast te stellen ter uitbanning van precommerciële, commerciële, technische, contractuele en organisatorische belemmeringen — zoals, maar niet uitsluitend, vertraagde dataoverdracht bij het vertrek van een klant — die een doeltreffende overstap tussen dataverwerkingsdiensten bemoeilijken.

Dataverwerkingsdiensten moeten betrekking hebben op diensten die alomtegenwoordige netwerktoegang op aanvraag mogelijk maken tot een configureerbare, schaalbare en elastische gedeelde pool van gedistribueerde computingmiddelen. Die computingmiddelen omvatten onder meer netwerken, servers of andere virtuele of fysieke infrastructuur, software, waaronder softwareontwikkelingsinstrumenten, opslag, toepassingen en diensten. Het vermogen van de klant van dataverwerkingsdiensten om eenzijdig zelfvoorzienend te zijn in computercapaciteit, zoals servertijd of netwerkopslag, zonder enige menselijke interactie door de aanbieder van dataverwerkingsdiensten, zou kunnen worden omschreven als een minimum aan inspanningen vereisend en minimale interactie tussen aanbieder en klant tot gevolg hebbend. Met ‘alomtegenwoordig’ wordt de computercapaciteit bedoeld die via het netwerk wordt aangeboden en toegankelijk is via mechanismen die het gebruik van heterogene thin- of thick-client-platforms bevorderen (van webbrowsers, mobiele telefoons, tot werkstations). Met ‘schaalbaar’ worden computingmiddelen bedoeld die, ongeacht de geografische locatie van de middelen, op flexibele wijze door de aanbieder van dataverwerkingsdiensten wordt toegewezen om schommelingen in de vraag te kunnen opvangen. Met ‘elastische’ worden de computingmiddelen bedoeld die, afhankelijk van de vraag, ter beschikking worden gesteld en worden vrijgegeven om die beschikbare middelen snel te kunnen verhogen of verlagen naargelang van het werkvolume. Met ‘gedeelde pool’ worden die computingmiddelen bedoeld die ter beschikking worden gesteld van meerdere gebruikers die een gemeenschappelijke toegang tot de dienst hebben, maar waarbij de verwerking voor elke gebruiker afzonderlijk plaatsvindt, hoewel de dienst door middel van dezelfde elektronische apparatuur wordt verleend. Met ‘gedistribueerd’ worden de computingmiddelen bedoeld die zich op verschillende netwerkcomputers of -toestellen bevinden en die onderling communiceren en coördineren door middel van het doorgeven van berichten. De term ‘sterk gedistribueerd’ wordt gebruikt om dataverwerkingsdiensten te beschrijven die betrekking hebben op dataverwerking dichter bij de plaats waar data worden gegenereerd of verzameld, bijvoorbeeld in een verbonden dataverwerkingsapparaat. Edge computing, een vorm van dergelijke sterk gedistribueerde dataverwerking, zal naar verwachting nieuwe bedrijfsmodellen en modellen voor de levering van clouddiensten genereren, die van meet af aan open en interoperabel moeten zijn.

Het algemene begrip ‘dataverwerkingsdiensten’ omvat een aanzienlijk aantal diensten met zeer veel verschillende doeleinden, functionaliteiten en technische opstellingen. Zoals algemeen wordt begrepen door aanbieders en gebruikers en in overeenstemming met algemeen gebruikte normen, vallen dataverwerkingsdiensten onder een of meer van de volgende drie modellen voor de levering van dataverwerkingsdiensten, namelijk infrastructuur als dienst (Infrastructure-as-a-Service — IaaS), platform als dienst (Platform-as-a-Service — PaaS) en software als dienst (Software-as-a-Service — SaaS). Die modellen voor de levering van diensten vertegenwoordigen een specifieke, voorverpakte combinatie van ICT-middelen die worden aangeboden door een aanbieder van dataverwerkingsdiensten. Die drie fundamentele modellen voor de levering van dataverwerkingsdiensten worden verder aangevuld door opkomende varianten, die elk bestaan uit een aparte combinatie van ICT-middelen, zoals opslag als dienst (Storage-as-a-Service) en databank als dienst (Database-as-a-Service). Dataverwerkingsdiensten kunnen in gedetailleerdere categorieën worden ingedeeld en opgedeeld in een niet-uitputtende lijst van reeksen dataverwerkingsdiensten die dezelfde primaire doelstelling en belangrijkste functionaliteiten alsook hetzelfde type dataverwerkingsmodellen delen die geen verband houden met de operationele kenmerken van de diensten (hetzelfde type dienst). Diensten van hetzelfde type kunnen hetzelfde model voor dataverwerkingsdiensten delen; twee databanken kunnen echter schijnbaar dezelfde primaire doelstelling hebben, maar na bestudering van hun dataverwerkingsmodel, distributiemodel en de gebruiksgevallen waarop zij gericht zijn, kan blijken dat dergelijke databanken onder een meer gedetailleerde subcategorie van soortgelijke diensten vallen. Diensten van hetzelfde type kunnen verschillende en concurrerende kenmerken hebben, zoals prestaties, veiligheid, veerkracht en kwaliteit van de dienst.

Het ondermijnen van de extractie van de exporteerbare data die eigendom zijn van de klant, vanuit de oorspronkelijke aanbieder van dataverwerkingsdiensten kan het herstel van de functionaliteiten van de dienst in de infrastructuur van de bestemmingsaanbieder van dataverwerkingsdiensten belemmeren. Om de exitstrategie van de klant te faciliteren, onnodige en belastende taken te vermijden en ervoor te zorgen dat de klant geen van zijn data verliest als gevolg van het overstapproces, moet de oorspronkelijke aanbieder van dataverwerkingsdiensten de klant van tevoren informeren over de reikwijdte van de data die kunnen worden geëxporteerd wanneer die klant besluit op een andere dienst van een andere aanbieder van dataverwerkingsdiensten of naar een on-premises (ICT-infrastructuur over te stappen. Onder ‘exporteerbare data’ vallen ten minste de input- en outputdata, met inbegrip van metagegevens, die direct of indirect worden gegenereerd, of worden medegegenereerd, door het gebruik door de klant van de dataverwerkingsdienst, met uitzondering van activa of gegevens van aanbieders van dataverwerkingsdiensten of van een derde. De exporteerbare data mogen geen activa of gegevens van de aanbieder van dataverwerkingsdiensten of van de derde omvatten die beschermd zijn op grond van intellectuele-eigendomsrechten of die bedrijfsgeheimen vormen van die aanbieder of van die derde, of gegevens met betrekking tot de integriteit en beveiliging van de dienst, waarvan de uitvoer de aanbieder van dataverwerkingsdiensten zal blootstellen aan kwetsbaarheden in de cyberbeveiliging. Die uitsluitingen mogen het overstapproces niet belemmeren of vertragen.

Digitale activa hebben betrekking op elementen in digitale vorm waarvoor de klant het gebruiksrecht heeft, waaronder toepassingen en metagegevens in verband met de configuratie van instellingen, beveiliging, en het beheer van toegangs- en controlerechten, en andere elementen zoals uitingen van virtualiseringstechnologieën, waaronder virtuele machines en containers. Digitale activa kunnen worden doorgegeven indien de klant het gebruiksrecht heeft, onafhankelijk van de contractuele relatie met de dataverwerkingsdienst die hij voornemens is te verlaten om over te stappen. Die andere elementen zijn essentieel voor een doeltreffend gebruik van de gegevens en toepassingen van de klant in de omgeving van de bestemmingsaanbieder van dataverwerkingsdiensten.

Deze verordening heeft tot doel de overstap tussen dataverwerkingsdiensten te vergemakkelijken, en omvat daartoe noodzakelijke voorwaarden en acties voor klanten om een overeenkomst van een dataverwerkingsdienst te beëindigen, een of meerdere nieuwe overeenkomsten af te sluiten met verschillende aanbieders van dataverwerkingsdiensten, hun exporteerbare data en digitale activa over te dragen, en waar van toepassing, te profiteren van functionele gelijkwaardigheid.

Overstappen is een klantgericht proces dat uit verschillende stappen bestaat, waaronder data-extractie, te weten het downloaden van gegevens uit het ecosysteem van de oorspronkelijke aanbieder van dataverwerkingsdiensten, transformatie, waarbij de gegevens zodanig worden gestructureerd dat zij niet passen in de structuur van de nieuwe locatie, en het uploaden van de gegevens op de nieuwe locatie. In een in deze verordening beschreven specifieke situatie moet het loskoppelen van een bepaalde dienst van de overeenkomst en het verplaatsen ervan naar een andere aanbieder eveneens als overstappen worden beschouwd. Het overstapproces wordt soms namens de klant door een derde entiteit beheerd. Dienovereenkomstig moeten alle krachtens deze verordening vastgestelde rechten en plichten van de klant, met inbegrip van de verplichting om te goeder trouw samen te werken, in die omstandigheden als van toepassing op een derde entiteit gelden. Aanbieders van dataverwerkingsdiensten en klanten hebben verschillende niveaus van verantwoordelijkheid, afhankelijk van de stappen in het proces. Zo is de oorspronkelijke aanbieder van dataverwerkingsdiensten verantwoordelijk voor de extractie van de gegevens in een machineleesbaar formaat, maar zijn de klant en de bestemmingsaanbieder van dataverwerkingsdiensten degenen die de gegevens in de nieuwe omgeving moeten uploaden, tenzij er een specifieke professionele overgangsdienst is verkregen. Een klant die voornemens is in deze verordening bedoelde rechten in verband met overstappen uit te oefenen, moet de oorspronkelijke aanbieder van dataverwerkingsdiensten in kennis stellen van het besluit om over te stappen op een andere aanbieder van dataverwerkingsdiensten of op een on-premises ICT-infrastructuur, dan wel om de activa en exporteerbare data van die klant te verwijderen.

Functionele gelijkwaardigheid betekent het herstellen, op basis van de exporteerbare data en digitale activa van de klant, van een minimumniveau van functionaliteit in de omgeving van een nieuwe dataverwerkingsdienst van hetzelfde type dienst na het overstappen, waarbij de dataverwerkingsdienst van bestemming een materieel vergelijkbaar resultaat oplevert met gebruikmaking van dezelfde input voor gedeelde kenmerken die in het kader van de overeenkomst aan de klant wordt geleverd. Van aanbieders van dataverwerkingsdiensten kan alleen worden verwacht dat zij functionele gelijkwaardigheid faciliteren voor de kenmerken die zowel de oorspronkelijke dataverwerkingsdiensten als de dataverwerkingsdiensten van bestemming onafhankelijk van elkaar aanbieden. Deze verordening houdt geen verplichting in om functionele gelijkwaardigheid te faciliteren voor andere aanbieders van dataverwerkingsdiensten dan die welke diensten van het leveringsmodel IaaS aanbieden.

Dataverwerkingsdiensten worden in uiteenlopende sectoren gebruikt en verschillen in complexiteit en type dienst. Dit is een belangrijk aspect dat in overweging moet worden genomen bij het overdrachtsproces en de termijnen. Een verlenging van de overgangsperiode op grond van technische onmogelijkheid om het overstapproces binnen de gegeven termijn te kunnen voltooien, mag niettemin alleen in naar behoren gemotiveerde gevallen worden ingeroepen. De bewijslast in dat verband moet volledig bij de aanbieder van de betrokken dataverwerkingsdienst liggen. Dit doet geen afbreuk aan het exclusieve recht van de klant om de overgangsperiode eenmaal te verlengen voor een periode die de klant voor zijn eigen doeleinden geschikter acht. De klant kan dat recht op verlenging vóór of tijdens de overgangsperiode inroepen, aangezien de overeenkomst tijdens de overgangsperiode van toepassing blijft.

Overstaptarieven zijn kosten die door aanbieders van dataverwerkingsdiensten aan klanten worden opgelegd voor het overstapproces. Doorgaans zijn die tarieven bedoeld om kosten die de oorspronkelijke aanbieder van dataverwerkingsdiensten maakt naar aanleiding van het overstapproces door te berekenen aan de klant die wil overstappen. Gebruikelijke voorbeelden van overstapkosten zijn kosten die verband houden met de overdracht van gegevens van de ene aanbieder van dataverwerkingsdiensten naar de andere of naar een on-premises ICT-infrastructuur (gegevensextractiekosten) of de kosten die gemoeid zijn met de specifieke ondersteuning die wordt geboden tijdens het overstapproces. Onnodig hoge gegevensextractietarieven en andere ongerechtvaardigde tarieven die geen verband houden met de feitelijke overstapkosten kunnen klanten ervan weerhouden over te stappen, beperken het vrije verkeer van gegevens, kunnen de mededinging beperken en hebben lock-in-effecten voor de klanten, doordat zij de prikkels verminderen om een andere of extra aanbieder te kiezen. Daarom dienen de overstaptarieven te worden afgeschaft drie jaar na de datum van inwerkingtreding van deze verordening. Aanbieders van dataverwerkingsdiensten moeten tot die datum lagere overstaptarieven kunnen opleggen.

De oorspronkelijke aanbieder van dataverwerkingsdiensten moet bepaalde taken kunnen uitbesteden en derde entiteiten een vergoeding bieden om de verplichtingen uit deze verordening na te komen. De klant mag niet opdraaien voor de kosten die voortkomen uit de uitbesteding van diensten door de oorspronkelijke aanbieder van dataverwerkingsdiensten tijdens het overstapproces, en dergelijke kosten moeten als ongerechtvaardigd worden beschouwd, tenzij zij betrekking hebben op werkzaamheden die de aanbieder van dataverwerkingsdiensten op verzoek van de klant verricht als aanvullende ondersteuning bij het overstapproces, die verder gaat dan de overstapverplichtingen van de aanbieder zoals uitdrukkelijk bepaald in deze verordening. Niets in deze verordening belet een klant derde entiteiten te vergoeden voor ondersteuning bij het migratieproces, of partijen om overeenkomsten voor dataverwerkingsdiensten met een vaste looptijd overeen te komen, met inbegrip van evenredige boetes voor vroegtijdige beëindiging om de vroegtijdige beëindiging van dergelijke overeenkomsten te dekken, in overeenstemming met het Unie- of nationale recht. Teneinde de mededinging te bevorderen, moet de geleidelijke afschaffing van tarieven die verband houden met het overstappen tussen verschillende aanbieders van dataverwerkingsdiensten, specifiek de gegevensextractiekosten omvatten die een aanbieder van dataverwerkingsdiensten aan een klant in rekening brengen. Standaardvergoedingen voor de verlening van de dataverwerkingsdiensten zelf zijn geen overstapkosten. Die standaardvergoedingen kunnen niet worden afgeschaft en blijven van toepassing totdat de overeenkomst voor de verlening van de relevante diensten niet meer van toepassing is. Bijgevolg biedt deze verordening de klant de mogelijkheid om aanvullende diensten te vragen die verder gaan dan de overstapverplichtingen van de aanbieder uit hoofde van deze verordening. Die aanvullende diensten kunnen door de aanbieder worden verricht en in rekening worden gebracht wanneer zij op verzoek van de klant worden verricht en de klant vooraf instemt met de prijs van die diensten.

Er is een ambitieuze en op innovatie gerichte regelgevingsbenadering van interoperabiliteit nodig om leveranciersafhankelijkheid (vendor lock-in) te beperken, aangezien deze de mededinging en de ontwikkeling van nieuwe diensten ondermijnt. Interoperabiliteit tussen dataverwerkingsdiensten omvat meerdere interfaces en lagen van infrastructuur en software en blijft zelden beperkt tot de simpele vraag of zij haalbaar is of niet. In plaats daarvan is de totstandbrenging van een dergelijke interoperabiliteit onderworpen aan een kosten-batenanalyse die nodig is om vast te stellen of het zinvol is redelijkerwijs voorspelbare resultaten na te streven. ISO/IEC 19941:2017 is een belangrijke internationale norm die een referentie vormt voor de verwezenlijking van de doelstellingen van deze verordening, aangezien zij technische overwegingen bevat waarmee de complexiteit van een dergelijk proces wordt verduidelijkt.

Indien aanbieders van dataverwerkingsdiensten op hun beurt klant zijn van dataverwerkingsdiensten die door een derde aanbieder worden verleend, zullen zij zelf profiteren van doeltreffender overstappen, terwijl zij tegelijkertijd gebonden blijven aan de verplichtingen van deze verordening wat hun eigen dienstenaanbod betreft.

Aanbieders van dataverwerkingsdiensten moeten worden verplicht om binnen hun vermogen en in verhouding tot hun respectieve verplichtingen, alle nodige bijstand en ondersteuning te bieden om het overstapproces naar een dienst van een andere aanbieder van dataverwerkingsdiensten succesvol, doeltreffend en veilig te laten verlopen. Deze verordening verlangt niet van aanbieders van dataverwerkingsdiensten dat zij onder meer binnen of op basis van de ICT-infrastructuur van verschillende aanbieders van dataverwerkingsdiensten nieuwe categorieën dataverwerkingsdiensten ontwikkelen om functionele gelijkwaardigheid in een andere omgeving dan hun eigen systemen te waarborgen. Een oorspronkelijke aanbieder van dataverwerkingsdiensten heeft geen toegang tot, noch inzicht in de omgeving van de nieuwe aanbieder van dataverwerkingsdiensten. Functionele gelijkwaardigheid mag niet worden opgevat als een verplichting voor de oorspronkelijke aanbieder van dataverwerkingsdiensten om de betrokken dienst opnieuw op te bouwen binnen de infrastructuur van de bestemmingsaanbieder van dataverwerkingsdiensten. In plaats daarvan moet de oorspronkelijke aanbieder van dataverwerkingsdiensten alle redelijke maatregelen nemen binnen zijn vermogen om het proces van het bereiken van functionele gelijkwaardigheid te vergemakkelijken door de verstrekking van capaciteit, adequate informatie, documentatie, technische ondersteuning en, in voorkomend geval, de benodigde instrumenten.

Aanbieders van dataverwerkingsdiensten moeten ook worden verplicht bestaande belemmeringen weg te nemen en geen nieuwe belemmeringen op te werpen, ook niet voor klanten die naar een on-premises ICT-infrastructuur willen overstappen. Belemmeringen kunnen onder meer van precommerciële, commerciële, technische, contractuele of organisatorische aard zijn. Aanbieders van dataverwerkingsdiensten moeten ook worden verplicht belemmeringen voor het loskoppelen van een specifieke individuele dienst van andere dataverwerkingsdiensten die in het kader van een overeenkomst worden verleend, weg te nemen en de relevante dienst beschikbaar te stellen voor overstappen, behoudens belangrijke, aangetoonde technische belemmeringen die een dergelijk loskoppelen in de weg staan.

Gedurende het hele overstapproces moet een hoog beveiligingsniveau worden gehandhaafd. Dit betekent dat de oorspronkelijke aanbieder van dataverwerkingsdiensten het beveiligingsniveau waartoe hij zich voor de dienst heeft verbonden, moet uitbreiden tot alle technische regelingen waarvoor die aanbieder verantwoordelijk is tijdens het overstapproces, zoals netwerkverbindingen of fysieke apparaten. Bestaande rechten in verband met de beëindiging van overeenkomsten, waaronder de rechten die zijn ingevoerd bij Verordening (EU) 2016/679 en Richtlijn (EU) 2019/770 van het Europees Parlement en de Raad (31), moeten onverlet worden gelaten. Deze verordening mag niet worden opgevat als een beletsel voor een aanbieder van dataverwerkingsdiensten om klanten nieuwe en verbeterde diensten, kenmerken en functionaliteiten aan te bieden of om daarop met andere aanbieders van dataverwerkingsdiensten te concurreren.

De door aanbieders van dataverwerkingsdiensten aan de klant te verstrekken informatie kan de exitstrategie van de klant ondersteunen. Die informatie moet betrekking hebben op procedures om te beginnen met het overstappen van de dataverwerkingsdienst; de machineleesbare dataformaten waarnaar de gegevens van de gebruiker kunnen worden geëxporteerd; de instrumenten die bedoeld zijn om gegevens te exporteren, waaronder open interfaces, alsook informatie over de compatibiliteit met geharmoniseerde normen of gemeenschappelijke specificaties op basis van open interoperabiliteitsspecificaties; informatie over bekende technische restricties en beperkingen die van invloed kunnen zijn op het overstapproces; en de geschatte tijd die nodig is om het overstapproces te voltooien.

Om interoperabiliteit en het overstappen tussen dataverwerkingsdiensten te vergemakkelijken, moeten gebruikers en aanbieders van dataverwerkingsdiensten het gebruik van implementatie- en nalevingsinstrumenten overwegen, met name het door de Commissie gepubliceerde rulebook voor de cloud van de EU en een Richtsnoer voor overheidsopdrachten voor dataverwerkingsdiensten. Met name standaardcontractbepalingen zijn nuttig omdat zij het vertrouwen in dataverwerkingsdiensten vergroten, een evenwichtigere relatie tussen gebruikers en aanbieders van dataverwerkingsdiensten tot stand brengen en de rechtszekerheid verbeteren met betrekking tot de voorwaarden die gelden voor het overstappen naar andere dataverwerkingsdiensten. In die context moeten gebruikers en aanbieders van dataverwerkingsdiensten overwegen gebruik te maken van standaardcontractbepalingen of andere instrumenten voor zelfregulering, op voorwaarde dat deze volledig in overeenstemming zijn met deze verordening, die zijn ontwikkeld door relevante organen of deskundigengroepen die krachtens het Unierecht zijn opgericht.

Om de overstap tussen dataverwerkingsdiensten te vergemakkelijken, moeten alle betrokken partijen, zowel de oorspronkelijke als de nieuwe aanbieders van dataverwerkingsdiensten, te goeder trouw samenwerken teneinde het overstapproces doeltreffend te maken, en een veilige en tijdige overdracht van noodzakelijke gegevens in een algemeen gebruikt en machineleesbaar formaat en door middel van open interfaces mogelijk te maken, waarbij onderbrekingen van de dienstverlening worden vermeden en de continuïteit van de dienst wordt gewaarborgd.

Dataverwerkingsdiensten die betrekking hebben op diensten waarvan de meeste hoofdkenmerken op maat zijn gemaakt om tegemoet te komen aan de specifieke behoeften van een individuele klant of waarbij alle componenten zijn ontwikkeld ten behoeve van een individuele klant, moeten worden vrijgesteld van een aantal verplichtingen bij het overstappen naar een andere dataverwerkingsdienst. Diensten die de aanbieder van dataverwerkingsdiensten op grote commerciële schaal aanbiedt via zijn dienstencatalogus mogen hier niet onder vallen. Het behoort tot de verplichtingen van de aanbieder van dataverwerkingsdiensten om potentiële klanten vóór het sluiten van een overeenkomst naar behoren te informeren over de verplichtingen van deze verordening die niet op de betrokken diensten van toepassing zijn. Niets belet de aanbieder van dataverwerkingsdiensten om dergelijke diensten later op grote schaal in te zetten, in welk geval de aanbieder wel aan alle overstapverplichtingen van deze verordening moet voldoen.

In overeenstemming met het minimumvereiste om overstappen tussen aanbieders van dataverwerkingsdiensten toe te staan, heeft deze verordening ook tot doel de interoperabiliteit voor parallel gebruik van meerdere dataverwerkingsdiensten met aanvullende functionaliteiten te verbeteren. Het gaat dan om situaties waarin klanten een overeenkomst niet beëindigen wanneer zij overstappen naar een andere aanbieder van dataverwerkingsdiensten, maar waarin meerdere diensten van verschillende aanbieders parallel, op interoperabele wijze, worden gebruikt om te profiteren van de aanvullende functionaliteiten van de verschillende diensten in het systeem van de klant. Er wordt echter erkend dat de extractie van gegevens van de ene aanbieder van dataverwerkingsdiensten door de andere aanbieder om het parallelle gebruik van diensten te faciliteren, een doorlopende activiteit kan zijn, in tegenstelling tot de eenmalige extractie die nodig is in het kader van een overstapproces. Daarom moeten aanbieders van dataverwerkingsdiensten ook na een periode van drie jaar na de datum van inwerkingtreding van deze verordening de gegevensextractiekosten, die niet hoger zijn dan de gemaakte kosten, voor parallel gebruik in rekening kunnen blijven brengen. Dat is onder meer belangrijk voor de succesvolle uitrol van multicloudstrategieën, waarmee klanten toekomstbestendige ICT-strategieën kunnen uitvoeren en waarmee de afhankelijkheid van individuele aanbieders van dataverwerkingsdiensten wordt verminderd. Het bevorderen van de mogelijkheden voor klanten om gebruik te maken van verschillende dataverwerkingsdiensten kan ook bijdragen aan hun digitale operationele veerkracht, zoals wordt erkend met betrekking tot instellingen voor financiële dienstverlening in Verordening (EU) 2022/2554 van het Europees Parlement en de Raad (32).

Open interoperabiliteitsspecificaties en -normen die zijn ontwikkeld overeenkomstig bijlage II bij Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad (33) op het gebied van interoperabiliteit en overdraagbaarheid, maken naar verwachting een cloudomgeving met diverse verkopers mogelijk, wat een essentiële vereiste is voor open innovatie in de Europese data-economie. Aangezien de marktacceptatie van vastgestelde normen in het kader van het in 2016 afgeronde initiatief inzake coördinatie van cloudnormalisatie (CSC) beperkt is gebleven, is het ook noodzakelijk dat de Commissie een beroep doet op de partijen op de markt om relevante open interoperabiliteitsspecificaties te ontwikkelen om gelijke tred te houden met het snelle tempo van de technologische ontwikkeling in deze sector. Dergelijke open interoperabiliteitsspecificaties kunnen vervolgens door de Commissie worden vastgesteld in de vorm van gemeenschappelijke specificaties. Indien niet is gebleken dat marktgestuurde processen kunnen leiden tot het vaststellen van gemeenschappelijke specificaties of normen die doeltreffende cloudinteroperabiliteit op PaaS- en SaaS-niveau bevorderen, moet de Commissie op basis van deze verordening en in overeenstemming met Verordening (EU) nr. 1025/2012 Europese normalisatie-instellingen kunnen verzoeken om dergelijke normen te ontwikkelen voor de specifieke soorten diensten waarvoor dergelijke normen nog niet bestaan. Daarnaast zal de Commissie de marktpartijen aanmoedigen relevante open interoperabiliteitsspecificaties te ontwikkelen. Na overleg met de belanghebbenden, moet de Commissie door middel van uitvoeringshandelingen in staat zijn het gebruik van geharmoniseerde normen voor interoperabiliteit of gemeenschappelijke specificaties voor specifieke soorten diensten voor te schrijven, door middel van een verwijzing in een centraal register voor Unienormen voor de interoperabiliteit van dataverwerkingsdiensten. Aanbieders van dataverwerkingsdiensten moeten zorgen voor compatibiliteit met die geharmoniseerde normen en gemeenschappelijke specificaties op basis van open interoperabiliteitsspecificaties, die geen negatieve gevolgen mogen hebben voor de beveiliging of integriteit van gegevens. Er wordt alleen naar geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten en gemeenschappelijke specificaties op basis van open interoperabiliteitsspecificaties verwezen indien deze in overeenstemming zijn met de in deze verordening gespecificeerde criteria, die dezelfde betekenis hebben als de eisen in bijlage II bij Verordening (EU) nr. 1025/2012 en de interoperabiliteitsfacetten zoals gedefinieerd in de internationale norm ISO/IEC 19941:2017. Daarnaast wordt bij normalisatie rekening gehouden met de behoeften van kmo's.

Derde landen mogen wetten, voorschriften en andere rechtshandelingen vaststellen die gericht zijn op het rechtstreeks overdragen van of het verlenen van toegang door de overheid tot niet-persoonsgebonden gegevens die zich buiten hun grenzen, ook in de Unie, bevinden. Rechterlijke uitspraken of besluiten van andere justitiële of administratieve instanties, waaronder rechtshandhavingsinstanties van derde landen die vereisen dat niet-persoonsgebonden gegevens worden overgedragen of dat er toegang tot die gegevens wordt verschaft, moeten afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtshulp, tussen het verzoekende derde land en de Unie of een lidstaat. In andere gevallen kan een situatie ontstaan waarin een verzoek om overdracht van of het verlenen van toegang tot niet-persoonsgebonden gegevens op grond van het recht van een derde land in strijd is met een verplichting om die gegevens te beschermen uit hoofde van het Unierecht of uit hoofde van het nationale recht van de betreffende lidstaat, met name wat betreft de bescherming van de grondrechten van het individu, zoals het recht op veiligheid en het recht op een doeltreffende voorziening in rechte, of de fundamentele belangen van een lidstaat in verband met de nationale veiligheid of defensie, alsook de bescherming van commercieel gevoelige gegevens, inclusief de bescherming van bedrijfsgeheimen, en de bescherming van intellectuele-eigendomsrechten, met inbegrip van de contractuele verbintenissen inzake vertrouwelijkheid overeenkomstig dat recht. Bestaan er geen internationale overeenkomsten die dergelijke kwesties regelen, dan mag overdracht van of toegang tot niet-persoonsgebonden gegevens alleen worden toegestaan indien gecontroleerd is dat het systeem van het derde land voorschrijft dat de redenen voor en de evenredigheid van het besluit worden toegelicht, dat het vonnis of het besluit van de rechtbank een specifiek karakter heeft, en dat het met redenen omklede bezwaar van de geadresseerde wordt getoetst door een bevoegde rechterlijke instantie van een derde land die gemachtigd is om rekening te houden met de relevante juridische belangen van de gegevensverstrekker. Indien mogelijk op grond van de voorwaarden van het verzoek om toegang tot gegevens van de autoriteit van het derde land, moet de aanbieder van dataverwerkingsdiensten de klant wiens gegevens worden opgevraagd hierover kunnen informeren voordat toegang tot die gegevens wordt verleend, om na te gaan of er sprake is van een mogelijk conflict van een dergelijke toegang met Unie- of nationaal recht, zoals dat inzake de bescherming van commercieel gevoelige gegevens, waaronder de bescherming van bedrijfsgeheimen en intellectuele-eigendomsrechten en de contractuele verbintenissen inzake vertrouwelijkheid.

Om het vertrouwen in gegevens te vergroten, is het belangrijk dat de waarborgen die ervoor zorgen dat Unieburgers, overheidsinstanties en het bedrijfsleven controle hebben over hun gegevens zo veel mogelijk worden toegepast. Daarnaast moeten het recht, de waarden en de normen van de Unie in acht worden genomen op het gebied van onder meer veiligheid, gegevensbescherming en privacy, en consumentenbescherming. Om onrechtmatige overheidstoegang tot niet-persoonsgebonden gegevens door autoriteiten van derde landen te voorkomen, moeten aanbieders van dataverwerkingsdiensten die onder deze verordening vallen, zoals cloud- en edgediensten, alle redelijke maatregelen nemen om de toegang tot systemen waarop niet-persoonsgebonden gegevens worden opgeslagen te voorkomen, onder meer, in voorkomend geval, door middel van versleuteling van gegevens, frequente audits, geverifieerde naleving van relevante certificeringsregelingen voor veiligheidsgaranties en door de wijziging van het bedrijfsbeleid.

Normalisatie en semantische interoperabiliteit moeten een sleutelrol spelen bij het bieden van technische oplossingen om interoperabiliteit te waarborgen binnen en tussen gemeenschappelijke Europese dataruimten, die doel- of sectorspecifieke of sectoroverschrijdende interoperabele kaders vormen voor gemeenschappelijke normen en praktijken op het gebied van gegevensdeling of gezamenlijke dataverwerking met het oog op onder meer de ontwikkeling van nieuwe producten en diensten, wetenschappelijk onderzoek of initiatieven van het maatschappelijk middenveld. Bij deze verordening worden bepaalde essentiële vereisten inzake interoperabiliteit vastgesteld. Deelnemers aan dataruimten die gegevens of op gegevensdiensten aanbieden aan andere deelnemers, zijnde entiteiten die het delen van gegevens binnen gemeenschappelijke Europese dataruimten faciliteren of daarbij betrokken zijn, met inbegrip van gegevenshouders, moeten aan die vereisten voldoen voor zover het elementen betreft waar zij zeggenschap over hebben. De naleving van die voorschriften kan worden gewaarborgd door te voldoen aan de bij deze verordening vastgestelde essentiële vereisten of worden verondersteld door naleving van geharmoniseerde normen of gemeenschappelijke specificaties op basis van een vermoeden van conformiteit. Om conformiteit met de interoperabiliteitseisen te vergemakkelijken, moet worden voorzien in een vermoeden van conformiteit voor interoperabiliteitsoplossingen die voldoen aan geharmoniseerde normen of delen daarvan, overeenkomstig Verordening (EU) nr. 1025/2012, die het standaardkader vormt voor het opstellen van normen voor een dergelijk vermoeden. De Commissie moet belemmeringen voor interoperabiliteit beoordelen en prioriteit geven aan normalisatiebehoeften, op basis waarvan zij op grond van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties kan verzoeken geharmoniseerde normen op te stellen die aan de essentiële eisen uit deze verordening voldoen. Wanneer dergelijke verzoeken niet leiden tot geharmoniseerde normen of dergelijke geharmoniseerde normen ontoereikend zijn om conformiteit met de essentiële eisen van deze verordening te waarborgen, moet de Commissie gemeenschappelijke specificaties op die gebieden kunnen vaststellen, op voorwaarde dat zij daarbij de rol en de functies van normalisatieorganisaties naar behoren eerbiedigt. Gemeenschappelijke specificaties mogen alleen worden vastgesteld als een uitzonderlijke terugvaloplossing om de naleving van de essentiële eisen van deze verordening te faciliteren, of indien het normalisatieproces stilligt of de vaststelling van passende geharmoniseerde normen vertraging oploopt. Indien een vertraging te wijten is aan de technische complexiteit van de betrokken norm, moet de Commissie hier rekening mee houden alvorens de vaststelling van gemeenschappelijke specificaties te overwegen. Gemeenschappelijke specificaties moeten op een open en inclusieve manier worden opgesteld en in voorkomend geval rekening houden met het advies van het bij Verordening (EU) 2022/868 opgerichte Europees Comité voor gegevensinnovatie. Daarnaast kunnen er nog gemeenschappelijke specificaties voor verschillende sectoren worden vastgesteld, overeenkomstig het Unie- of nationale recht, op basis van de specifieke behoeften van die sectoren. Daarnaast moet de Commissie in staat worden gesteld opdracht te geven tot het ontwikkelen van geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten.

Om de interoperabiliteit van instrumenten voor de geautomatiseerde uitvoering van gegevensdelingsovereenkomsten te bevorderen, moeten er essentiële eisen worden vastgesteld voor slimme contracten die professionals voor anderen sluiten of integreren in toepassingen die de uitvoering van gegevensdelingsovereenkomsten ondersteunen. Om de conformiteit van dergelijke slimme contracten met die essentiële eisen te vergemakkelijken, moet worden voorzien in een vermoeden van conformiteit van slimme contracten die voldoen aan geharmoniseerde normen of delen daarvan, overeenkomstig Verordening (EU) nr. 1025/2012. Het begrip ‘slim contract’ in deze verordening is technologisch neutraal. Slimme contracten kunnen bijvoorbeeld worden gekoppeld aan een elektronisch register. De essentiële eisen moeten alleen van toepassing zijn op de verkopers van slimme contracten, maar niet wanneer zij binnen hun bedrijf slimme contracten voor uitsluitend intern gebruik ontwikkelen. De essentiële eis dat slimme contracten moeten kunnen worden onderbroken en beëindigd, impliceert wederzijdse instemming van de partijen bij de overeenkomst inzake het delen van gegevens. Het gebruik van slimme contracten voor de geautomatiseerde uitvoering van gegevensdelingsovereenkomsten laat de toepasselijkheid van de relevante regels van burgerlijk, contractueel en consumentenbeschermingsrecht op dergelijke overeenkomsten onverlet of moet die onverlet laten.

Om aan te tonen dat aan de essentiële eisen van deze verordening is voldaan, moet de verkoper van een slim contract, of bij ontstentenis daarvan, de persoon van wie de handels-, bedrijfs- of beroepsactiviteit de uitrol van slimme contracten voor anderen met zich meebrengt in de context van de uitvoering van een overeenkomst of een deel daarvan, om gegevens beschikbaar te stellen in het kader van deze verordening, een conformiteitsbeoordeling uitvoeren en een EU-conformiteitsverklaring afgeven. Een dergelijke conformiteitsbeoordeling moet worden onderworpen aan de algemene beginselen van Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (34) en Besluit (EG) nr. 768/2008 van het Europees Parlement en de Raad (35).

Naast de verplichting voor professionele ontwikkelaars van slimme contracten om aan essentiële eisen te voldoen, is het ook belangrijk om deelnemers binnen dataruimten die gegevens of op gegevens gebaseerde diensten aanbieden aan andere deelnemers binnen en tussen gemeenschappelijke Europese dataruimten aan te moedigen de interoperabiliteit van gegevensdelingsinstrumenten, met inbegrip van slimme contracten, te ondersteunen.

Met het oog op een efficiënte toepassing en handhaving van deze verordening moeten de lidstaten hiervoor een of meer bevoegde autoriteiten aanwijzen. Indien een lidstaat meer dan één bevoegde autoriteit aanwijst, moet hij ook één van hen als datacoördinator aanwijzen. De bevoegde autoriteiten moeten met elkaar samenwerken. Door de uitoefening van hun onderzoeksbevoegdheden overeenkomstig de toepasselijke nationale procedures moeten de bevoegde autoriteiten informatie kunnen opzoeken en verkrijgen, met name met betrekking tot activiteiten van entiteiten die onder hun bevoegdheid vallen en, onder meer in de context van gezamenlijke onderzoeken, met inachtneming van het feit dat toezicht- en handhavingsmaatregelen met betrekking tot entiteiten die onder de bevoegdheid van een andere lidstaat vallen, in voorkomend geval door de bevoegde autoriteit van die andere lidstaat moeten worden vastgesteld overeenkomstig de procedures inzake grensoverschrijdende samenwerking. De bevoegde autoriteiten moeten elkaar tijdig bijstaan, met name wanneer een bevoegde autoriteit in een lidstaat over relevante informatie beschikt voor een onderzoek dat door de bevoegde autoriteiten in andere lidstaten wordt uitgevoerd, of wanneer een bevoegde autoriteit in een lidstaat informatie kan verzamelen waar de bevoegde autoriteiten in de lidstaat waar de entiteit is gevestigd geen toegang toe hebben. Bevoegde autoriteiten en datacoördinatoren moeten worden geïdentificeerd in een openbaar register dat door de Commissie wordt bijgehouden. De datacoördinator kan een extra faciliterende factor zijn voor samenwerking in grensoverschrijdende situaties, bijvoorbeeld wanneer een bevoegde autoriteit van een bepaalde lidstaat niet weet welke autoriteit zij in de lidstaat van de datacoördinator moet benaderen, wat het geval kan zijn als de zaak betrekking heeft op meer dan één bevoegde autoriteit of sector. De datacoördinator moet onder meer optreden als centraal contactpunt voor alle kwesties in verband met de toepassing van deze verordening. Indien er geen datacoördinator is aangewezen, moet de bevoegde autoriteit de taken op zich nemen die uit hoofde van deze verordening aan de datacoördinator zijn toegewezen. De autoriteiten die verantwoordelijk zijn voor het toezicht op de naleving van gegevensbescherming en de bevoegde autoriteiten die krachtens Unie- of nationaal recht zijn aangewezen, moeten verantwoordelijk zijn voor de toepassing van deze verordening op hun bevoegdheidsgebieden. Om belangenconflicten te voorkomen, mogen de bevoegde autoriteiten die verantwoordelijk zijn voor de toepassing en handhaving van deze verordening op het gebied van het beschikbaar stellen van gegevens na een verzoek op basis van een uitzonderlijke noodzaak, niet het recht hebben om een dergelijk verzoek in te dienen.

Om hun rechten uit hoofde van deze verordening te doen gelden, moeten natuurlijke en rechtspersonen het recht hebben verhaal te halen voor inbreuken op hun rechten uit hoofde van deze verordening door een klacht in te dienen. De datacoördinator moet natuurlijke en rechtspersonen op verzoek alle benodigde informatie verstrekken om hun klachten bij de juiste bevoegde autoriteit in te dienen. Die autoriteiten moeten worden verplicht samen te werken om ervoor te zorgen dat een klacht naar behoren wordt behandeld en doeltreffend en tijdig wordt opgelost. Om gebruik te maken van het samenwerkingsnetwerkmechanisme voor consumentenbescherming en om representatieve vorderingen mogelijk te maken, wijzigt deze verordening de bijlagen bij Verordening (EU) 2017/2394 van het Europees Parlement en de Raad (36) en Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad (37).

De bevoegde autoriteiten moeten ervoor zorgen dat inbreuken op de in deze verordening vastgelegde verplichtingen worden onderworpen aan sancties. Dergelijke sancties kunnen onder meer bestaan uit financiële sancties, waarschuwingen, berispingen of bevelen om handelspraktijken in overeenstemming te brengen met de verplichtingen uit hoofde van deze verordening. De door de lidstaten vastgestelde sancties moeten doeltreffend, evenredig en afschrikkend zijn en moeten rekening houden met de aanbevelingen van het Europees Comité voor gegevensinnovatie, en aldus bijdragen tot een zo groot mogelijke mate van consistentie bij de vaststelling en toepassing van sancties. In voorkomend geval moeten de bevoegde autoriteiten gebruikmaken van voorlopige maatregelen om de gevolgen van een vermeende inbreuk te beperken zolang het onderzoek naar die inbreuk aan de gang is. Daarbij moeten zij onder meer rekening houden met de aard, de ernst, de omvang en de duur van de inbreuk in het licht van het algemeen belang, de omvang en de aard van de verrichte activiteiten, alsmede de economische draagkracht van de inbreukmakende partij. Zij moeten er ook rekening mee houden of de inbreukmakende partij systematisch of herhaaldelijk zijn verplichtingen uit hoofde van deze verordening niet nakomt. Om ervoor te zorgen dat het ne-bis-in-idem-beginsel wordt nageleefd, en met name om te voorkomen dat dezelfde inbreuk op de verplichtingen van deze verordening meer dan eens wordt bestraft, moet elke lidstaat die voornemens is zijn bevoegdheid met betrekking tot een inbreukmakende partij die niet in de Unie is gevestigd noch daar een rechtsvertegenwoordiger heeft aangewezen uit te oefenen, onverwijld alle datacoördinatoren alsook de Commissie daarvan in kennis stellen.

Het Europees Comité voor gegevensinnovatie moet de Commissie advies verstrekken en bijstaan bij de coördinatie van nationale praktijken en beleidsmaatregelen met betrekking tot de onderwerpen die onder deze verordening vallen, alsook bij de verwezenlijking van haar doelstellingen met betrekking tot technische normalisatie om de interoperabiliteit te verbeteren. Zij moet ook een sleutelrol spelen bij het faciliteren van uitgebreide besprekingen tussen de bevoegde autoriteiten over de toepassing en handhaving van deze verordening. Die uitwisseling van informatie is bedoeld om de daadwerkelijke toegang tot de rechter en de handhaving en justitiële samenwerking in de hele Unie te verbeteren. De bevoegde autoriteiten moeten onder meer gebruikmaken van het Europees Comité voor gegevensinnovatie als platform om de sancties voor inbreuken op deze verordening te evalueren en te coördineren en daarover aanbevelingen aan te nemen. Het Comité moet de bevoegde autoriteiten, met behulp van de Commissie, in staat stellen om de optimale aanpak voor de vaststelling en oplegging van dergelijke sancties te coördineren. Die aanpak voorkomt versnippering, zorgt ervoor dat de lidstaten flexibel blijven en moet leiden tot doeltreffende aanbevelingen die een consistente toepassing van deze verordening ondersteunen. Het Europees Comité voor gegevensinnovatie moet ook een adviserende rol spelen bij de normalisatieprocessen en de vaststelling van gemeenschappelijke specificaties door middel van uitvoeringshandelingen, bij de vaststelling van gedelegeerde handelingen met het oog op de invoering van een monitoringmechanisme voor overstapkosten, opgelegd door aanbieders van dataverwerkingsdiensten, en bij de nadere bepaling van de essentiële eisen inzake de interoperabiliteit van gegevens, mechanismen en diensten voor het delen van gegevens en de gemeenschappelijke Europese dataruimten. Het Comité moet de Commissie tevens advies verstrekken en haar bijstaan bij het vaststellen van richtsnoeren met daarin interoperabiliteitsspecificaties voor de werking van de gemeenschappelijke Europese dataruimten.

Om ondernemingen te helpen overeenkomsten op te stellen en daarover te onderhandelen, moet de Commissie niet-bindende modelcontractvoorwaarden voor gegevensdelingsovereenkomsten tussen ondernemingen ontwikkelen en aanbevelen, zo nodig rekening houdend met de voorwaarden in specifieke sectoren en de bestaande praktijken met vrijwillige gegevensdelingsmechanismen. Die modelcontractvoorwaarden moeten in de eerste plaats een praktisch instrument zijn om met name kmo's te helpen een overeenkomst te sluiten. Wanneer die modelcontractvoorwaarden op grote schaal en integraal worden gebruikt, moeten zij ook het gunstige effect hebben dat zij van invloed zijn op de opzet van overeenkomsten inzake de toegang tot en het gebruik van gegevens en derhalve in bredere zin leiden tot eerlijkere contractuele betrekkingen bij de toegang tot en het delen van gegevens.

Om het risico weg te nemen dat houders van gegevens in databanken die zijn verkregen of gegenereerd door middel van fysieke componenten, zoals sensoren, van een verbonden product en een gerelateerde dienst of andere door machines gegenereerde gegevens, aanspraak maken op het sui-generis-recht uit hoofde van artikel 7 van Richtlijn 96/9/EG en daardoor in het bijzonder de daadwerkelijke uitoefening van het recht van gebruikers op toegang tot en gebruik van gegevens en het recht om gegevens met derden te delen uit hoofde van deze verordening, belemmeren, moet worden verduidelijkt dat het sui-generis-recht niet van toepassing is op dergelijke databanken. Dit doet geen afbreuk aan de mogelijke toepassing van het sui-generis-recht uit hoofde van artikel 7 van Richtlijn 96/9/EG op databanken die gegevens bevatten die buiten het toepassingsgebied van deze verordening vallen op voorwaarde dat wordt voldaan aan de vereisten voor bescherming uit hoofde van lid 1 van dat artikel.

Teneinde rekening te houden met de technische aspecten van dataverwerkingsdiensten, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen om deze verordening aan te vullen met het oog op de invoering van een monitoringmechanisme voor door aanbieders van dataverwerkingsdiensten aan de markt opgelegde overstaptarieven en tot nadere bepaling van de essentiële eisen inzake interoperabiliteit voor deelnemers van dataruimten die gegevens of datadiensten aan andere deelnemers aanbieden. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven(38). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend zodat zij gemeenschappelijke specificaties kan vaststellen met het oog op de interoperabiliteit van gegevens, van mechanismen en diensten voor het delen van gegevens alsook van gemeenschappelijke Europese dataruimten, gemeenschappelijke specificaties voor de interoperabiliteit van dataverwerkingsdiensten, en gemeenschappelijke specificaties voor de interoperabiliteit van slimme contracten. De Commissie moet ook uitvoeringsbevoegdheden worden toegekend voor de bekendmaking van de referenties van geharmoniseerde normen en gemeenschappelijke specificaties voor de interoperabiliteit van dataverwerkingsdiensten in een centraal Unienormenarchief voor de interoperabiliteit van dataverwerkingsdiensten. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (39).

Deze verordening mag geen afbreuk doen aan regels die gericht zijn op specifieke behoeften van afzonderlijke sectoren of gebieden van algemeen belang. Dergelijke regels kunnen aanvullende vereisten omvatten met betrekking tot de technische aspecten van toegang tot gegevens, zoals interfaces voor de toegang tot gegevens, of de wijze waarop toegang tot gegevens kan worden verleend, bijvoorbeeld rechtstreeks vanuit het product of via databemiddelingsdiensten. Dergelijke regels kunnen ook beperkingen omvatten van de rechten van gegevenshouders om toegang te krijgen tot of gebruik te maken van gebruikersgegevens, of andere aspecten dan de toegang tot en het gebruik van gegevens, zoals governance-aspecten of beveiligingseisen, waaronder cyberbeveiligingsvereisten. Deze verordening mag evenmin afbreuk doen aan specifiekere regels in het kader van de ontwikkeling van gemeenschappelijke Europese dataruimten of, onder voorbehoud van de in deze verordening genoemde uitzonderingen, aan het Unierecht en het nationale recht die voorzien in toegang tot en toestemming voor het gebruik van gegevens voor wetenschappelijk onderzoek.

Deze verordening mag geen afbreuk doen aan de toepassing van de regels inzake mededinging, en met name de artikelen 101 en 102 VWEU. De maatregelen van deze verordening mogen niet worden gebruikt om de mededinging te beperken op een wijze die strijdig is met het VWEU.

Om actoren binnen het toepassingsgebied van deze verordening in staat te stellen zich aan te passen aan de nieuwe regels van deze verordening en de noodzakelijke technische maatregelen te treffen, moeten die regels van toepassing worden vanaf 12 september 2025.

Overeenkomstig artikel 42, leden 1 en 2, van Verordening (EU) 2018/1725 zijn de Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming geraadpleegd, en op 4 mei 2022 hebben zij hun advies uitgebracht.

Daar de doelstellingen van deze verordening, namelijk het waarborgen van een eerlijke toewijzing van de waarde van gegevens aan de actoren in de data-economie en het bevorderen van eerlijke toegang tot en gebruik van gegevens om bij te dragen tot de vaststelling van een echte interne datamarkt, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het optreden en het grensoverschrijdend gegevensgebruik beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag van de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstellingen te verwezenlijken,