Aanhef

Het Verdrag betreffende de werking van de Europese Unie (VWEU) voorziet in de totstandbrenging van een interne markt en de invoering van een systeem waardoor wordt verzekerd dat de mededinging binnen de interne markt niet wordt vervalst. De vaststelling van gemeenschappelijke regels en praktijken in de lidstaten met betrekking tot de ontwikkeling van een kader inzake datagovernance draagt bij tot het bereiken van die doelstellingen, met volledige inachtneming van de grondrechten. Het moet ook de versterking van de open strategische autonomie van de Unie waarborgen, en tegelijk het internationale vrije verkeer van gegevens bevorderen.

De afgelopen tien jaar hebben digitale technologieën de economie en de samenleving ingrijpend veranderd en een impact gehad op alle economische sectoren en ons dagelijks leven. Gegevens zijn de hoeksteen van die transformatie: datagestuurde innovatie zal zowel de burgers van de Unie als de economie enorme voordelen brengen, bijvoorbeeld door te zorgen voor betere geneeskunde en medische behandelingen op maat, door nieuwe mobiliteit aan te bieden en door bij te dragen aan de mededeling van de Commissie van 11 december 2019 over de Europese Green Deal. Om de datagestuurde economie inclusief te maken voor alle burgers van de Unie, moet bijzondere aandacht worden besteed aan het verkleinen van de digitale kloof, het stimuleren van de participatie van vrouwen in de data-economie en het bevorderen van geavanceerde Europese expertise in de technologiesector. De data-economie moet zo worden opgezet dat ondernemingen, met name kleine, middelgrote en micro-ondernemingen (kmo's, ook wel midden- en kleinbedrijf (mkb) genoemd) zoals gedefinieerd in de bijlage bij Aanbeveling 2003/361/EG van de Commissie (3), alsook start-ups, kunnen floreren, waarbij de neutraliteit van de toegang tot en de overdraagbaarheid en interoperabiliteit van gegevens moeten worden gewaarborgd en lock-in-effecten moeten worden vermeden. In haar mededeling van 19 februari 2020 over een Europese datastrategie (de ‘Europese datastrategie’) schetste de Commissie haar visie op een gemeenschappelijke Europese gegevensruimte, te weten een interne gegevensmarkt waarin gegevens kunnen worden gebruikt ongeacht de plaats in de Unie waar ze zijn opgeslagen in overeenstemming met het toepasselijke recht, hetgeen onder meer van cruciaal belang zou kunnen zijn voor de snelle ontwikkeling van technologieën op het gebied van artificiële intelligentie.

De Commissie pleit tevens voor een vrije en veilige stroom van gegevens van en naar derde landen, met inachtneming van de uitzonderingen en beperkingen voor de openbare veiligheid, de openbare orde en andere legitieme beleidsdoelstellingen van de Unie, in lijn met alle internationale verplichtingen, ook wat betreft de grondrechten. Om die visie in de praktijk te brengen, heeft de Commissie voorgesteld domeinspecifieke gemeenschappelijke Europese gegevensruimten voor het delen en bundelen van gegevens op te zetten. Zoals voorgesteld in de Europese datastrategie kunnen dergelijke gemeenschappelijke Europese gegevensruimten domeinen zoals gezondheid, mobiliteit, industrie, financiële diensten, energie of landbouw bestrijken, of een combinatie van die domeinen, bijvoorbeeld energie en klimaat, alsook thematische domeinen zoals de Europese Green Deal of Europese gegevensruimten voor overheidsdiensten of vaardigheden. De gemeenschappelijke Europese gegevensruimten moeten ervoor zorgen dat gegevens vindbaar, toegankelijk, interoperabel en herbruikbaar zijn (de ‘FAIR-gegevensbeginselen’), en tegelijk een hoog niveau van cyberbeveiliging waarborgen. Indien sprake is van een gelijk speelveld in de data-economie, concurreren ondernemingen op kwaliteit van diensten en niet op de hoeveelheid gegevens onder hun beheer. Voor het ontwerp, de totstandkoming en de handhaving van het gelijke speelveld in de data-economie is goede governance nodig waaraan alle belanghebbenden van een gemeenschappelijke Europese gegevensruimte moeten deelnemen en waarin zij vertegenwoordigd moeten zijn.

De voorwaarden voor het delen van gegevens op de interne markt moeten worden verbeterd door een geharmoniseerd kader voor gegevensuitwisseling tot stand te brengen en bepaalde basisvereisten voor datagovernance vast te stellen, met bijzondere aandacht voor het faciliteren van de samenwerking tussen de lidstaten. Deze verordening moet gericht zijn op de verdere ontwikkeling van de digitale interne markt zonder grenzen en een betrouwbare en veilige datasamenleving en -economie waarin mensen centraal staan. In het kader van sectorspecifiek Unierecht, zoals het geplande Unierecht inzake de Europese ruimte voor gezondheidsgegevens en inzake de toegang tot voertuiggegevens, kunnen in het licht van de specifieke kenmerken van de sector nieuwe en aanvullende elementen worden ontwikkeld, aangepast en voorgesteld. Daarnaast worden bepaalde economische sectoren reeds gereguleerd door sectorspecifiek Unierecht, dat regels bevat inzake de grensoverschrijdende of Uniebrede deling van of toegang tot gegevens, bijvoorbeeld Richtlijn 2011/24/EU van het Europees Parlement en de Raad (4) in de context van de Europese ruimte voor gezondheidsgegevens, en relevante wetgevingshandelingen op het gebied van vervoer zoals de Verordeningen (EU) 2019/1239 (5) en (EU) 2020/1056 (6) en Richtlijn 2010/40/EU (7) van het Europees Parlement en de Raad in de context van de Europese ruimte voor mobiliteitsgegevens.

Deze verordening mag daarom geen afbreuk doen aan de Verordeningen (EG) nr. 223/2009 (8), (EU) 2018/858 (9) en (EU) 2018/1807 (10), noch aan de Richtlijnen 2000/31/EG (11), 2001/29/EG (12), 2004/48/EG (13), 2007/2/EG (14), 2010/40/EU, (EU) 2015/849 (15), (EU) 2016/943 (16), (EU) 2017/1132 (17), (EU) 2019/790 (18) en (EU) 2019/1024 (19) van het Europees Parlement en de Raad en al het andere sectorspecifieke Unierecht dat de toegang tot en het hergebruik van gegevens regelt. Deze verordening mag geen afbreuk doen aan het Unierecht en het nationale recht inzake de toegang tot en het gebruik van gegevens met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, noch aan de internationale samenwerking in die context.

Deze verordening mag geen afbreuk doen aan de bevoegdheden van de lidstaten met betrekking tot hun activiteiten in verband met openbare veiligheid, defensie en nationale veiligheid. Het hergebruik van om dergelijke redenen beschermde gegevens die in het bezit zijn van openbare lichamen, met inbegrip van gegevens van aanbestedingsprocedures die binnen het toepassingsgebied van Richtlijn 2009/81/EG van het Europees Parlement en de Raad (20) vallen, mag niet onder deze verordening vallen. Er moet een horizontale regeling worden vastgesteld voor het hergebruik van bepaalde categorieën beschermde gegevens die in het bezit zijn van openbare lichamen, voor het aanbieden van databemiddelingsdiensten en voor op data-altruïsme gebaseerde diensten in de Unie. Vanwege de specifieke kenmerken van verschillende sectoren kan het nodig zijn systemen te ontwikkelen op basis van sectorale gegevens, voortbouwend op de eisen van deze verordening. Aanbieders van databemiddelingsdiensten die voldoen aan de vereisten van deze verordening, moeten het label ‘in de Unie erkende aanbieder van databemiddelingsdiensten’ kunnen gebruiken. Rechtspersonen die doeleinden van algemeen belang wensen te ondersteunen door op basis van data-altruïsme op een bepaalde schaal relevante gegevens beschikbaar te stellen en die aan de in deze verordening neergelegde vereisten voldoen, moeten zich kunnen registreren als ‘in de Unie erkende organisatie voor data-altruïsme’ en moeten dat label kunnen gebruiken. Indien sectorspecifiek Unierecht of nationaal recht vereist dat openbare lichamen, zulke aanbieders van databemiddelingsdiensten of zulke rechtspersonen (erkende organisaties voor data-altruïsme) voldoen aan specifieke aanvullende technische, administratieve of organisatorische vereisten, onder meer via een vergunnings- of certificeringsregeling, moeten die bepalingen van dat sectorspecifieke Unierecht of nationaal recht ook van toepassing zijn.

Deze verordening mag geen afbreuk doen aan de Verordeningen (EU) 2016/679 (21) en (EU) 2018/1725 (22) van het Europees Parlement en de Raad, noch aan de Richtlijnen 2002/58/EG (23) en (EU) 2016/680 (24) van het Europees Parlement en de Raad en de overeenkomstige bepalingen van het nationale recht, ook indien persoonsgegevens en niet-persoonsgebonden gegevens in een gegevensverzameling onlosmakelijk met elkaar verbonden zijn. Van deze verordening mag met name niet gedacht worden dat ze een nieuwe rechtsgrondslag creëert voor de verwerking van persoonsgegevens in het kader van de gereguleerde activiteiten, of dat ze de informatievereisten van Verordening (EU) 2016/679 wijzigt. De uitvoering van deze verordening mag grensoverschrijdende doorgiften van gegevens als bedoeld in hoofdstuk V van Verordening (EU) 2016/679 niet in de weg staan. In geval van een strijdigheid tussen deze verordening en het Unierecht inzake de bescherming van persoonsgegevens of het overeenkomstig dat Unierecht vastgestelde nationale recht, moet het toepasselijke Unierecht of nationale recht inzake de bescherming van persoonsgegevens prevaleren. Gegevensbeschermingsautoriteiten moeten als bevoegde autoriteiten uit hoofde van deze verordening beschouwd kunnen worden. Indien andere autoriteiten functioneren als bevoegde autoriteiten uit hoofde van deze verordening, mogen zij daarbij geen afbreuk doen aan de toezichthoudende bevoegdheden van de gegevensbeschermingsautoriteiten uit hoofde van Verordening (EU) 2016/679.

Maatregelen op Unieniveau zijn noodzakelijk om het vertrouwen in het delen van gegevens te vergroten door passende mechanismen in te stellen die het voor datasubjecten en gegevenshouders mogelijk maken gegevens die op hen betrekking hebben te controleren, en om andere belemmeringen voor een goed werkende en concurrerende datagestuurde economie weg te nemen. Die maatregelen mogen geen afbreuk doen aan de verplichtingen en verbintenissen in door de Unie gesloten internationale handelsovereenkomsten. Een Uniebreed governancekader moet als doel hebben vertrouwen te scheppen bij personen en ondernemingen wat betreft de toegang tot, de controle over, alsook het delen, het gebruik en het hergebruik van gegevens, met name door passende mechanismen in te stellen die het voor datasubjecten mogelijk maken om hun rechten te kennen en op zinvolle wijze uit te oefenen, alsook inzake het hergebruik van bepaalde soorten gegevens die in het bezit zijn van openbare lichamen, het verlenen van diensten door aanbieders van databemiddelingsdiensten aan datasubjecten, gegevenshouders en gegevensgebruikers, alsmede het verzamelen en verwerken van gegevens die door natuurlijke en rechtspersonen voor altruïstische doeleinden beschikbaar worden gesteld. Een grotere transparantie ten aanzien van het doel van het gebruik en de wijze van opslag van gegevens door ondernemingen kan met name helpen om het vertrouwen te versterken.

In het Uniebeleid is reeds lang het beginsel opgenomen dat gegevens die door openbare lichamen of andere entiteiten met overheidsmiddelen zijn gegenereerd of verzameld de samenleving ten goede moeten komen. Richtlijn (EU) 2019/1024 en sectorspecifiek Unierecht zorgen ervoor dat de openbare lichamen meer gegevens die zij zelf genereren gemakkelijk voor gebruik en hergebruik beschikbaar stellen. Bepaalde in openbare databanken opgeslagen categorieën gegevens, zoals commercieel vertrouwelijke gegevens, gegevens die onder de statistische geheimhoudingsplicht vallen en door intellectuele-eigendomsrechten van derden beschermde gegevens, met inbegrip van bedrijfsgeheimen en persoonsgegevens, worden echter doorgaans niet beschikbaar gesteld, zelfs niet voor onderzoek of innoverende activiteiten in het algemeen belang, hoewel dat mogelijk is overeenkomstig het toepasselijke Unierecht, met name Verordening (EU) 2016/679 en de Richtlijnen 2002/58/EG en (EU) 2016/680. Gezien de gevoeligheid van dergelijke gegevens mogen ze pas beschikbaar worden gesteld nadat een aantal technische en wettelijke procedurele vereisten vervuld zijn, niet het minst om ervoor te zorgen dat de rechten van anderen op dergelijke gegevens niet worden geschonden, of om de negatieve gevolgen voor de grondrechten, voor het beginsel van non-discriminatie en voor de gegevensbescherming te beperken. Het vergt doorgaans veel tijd en kennis om aan die vereisten te voldoen. Daardoor blijven dergelijke gegevens onderbenut. Sommige lidstaten creëren structuren, processen en wetgeving om dat soort hergebruik te faciliteren, maar dat gebeurt niet overal in de Unie. Om het gebruik van gegevens voor Europees onderzoek en Europese innovatie door particuliere en publieke entiteiten te faciliteren, moeten in de hele Unie duidelijke voorwaarden voor de toegang tot en het gebruik van dergelijke gegevens worden vastgesteld.

Er zijn technieken die analyses van databanken met persoonsgegevens mogelijk maken, zoals anonimisering, differentiële privacy, generalisering, onderdrukking en randomisering, het gebruik van synthetische gegevens of soortgelijke methoden, en andere geavanceerde methoden om de privacy te beschermen, die kunnen bijdragen tot een privacyvriendelijkere gegevensverwerking. De lidstaten moeten steun verlenen aan openbare lichamen om optimaal gebruik te maken van dergelijke technieken en aldus zo veel mogelijk gegevens beschikbaar te stellen voor gegevensdeling. De toepassing van dergelijke technieken, in combinatie met omvattende effectbeoordelingen op het gebied van gegevensbescherming en andere beschermingsmaatregelen, kan bijdragen tot meer veiligheid bij het gebruik en hergebruik van persoonsgegevens en moet het veilige hergebruik van commercieel vertrouwelijke bedrijfsgegevens voor onderzoeks-, innovatie- en statistische doeleinden waarborgen. In veel gevallen betekent de toepassing van dergelijke technieken, effectbeoordelingen en andere beschermingsmaatregelen dat gegevens alleen mogen worden gebruikt en hergebruikt binnen een beveiligde verwerkingsomgeving die ter beschikking gesteld wordt of gecontroleerd wordt door het openbaar lichaam. Op Unieniveau is ervaring opgedaan met dergelijke veilige verwerkingsomgevingen die op basis van Verordening (EU) nr. 557/2013 van de Commissie (25) worden gebruikt voor onderzoek naar statistische microgegevens. In het algemeen moet voor de verwerking van persoonsgegevens voldaan zijn aan een of meer van de in de artikelen 6 en 9 van Verordening (EU) 2016/679 bepaalde rechtsgrondslagen voor verwerking.

Overeenkomstig Verordening (EU) 2016/679 mogen de gegevensbeschermingsbeginselen niet van toepassing zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon, of op persoonsgegevens die zodanig anoniem zijn gemaakt dat het datasubject niet of niet meer identificeerbaar is. De heridentificatie van datasubjecten uit geanonimiseerde gegevensverzamelingen moet worden verboden. Dat mag geen afbreuk doen aan de mogelijkheid om, overeenkomstig Verordening (EU) 2016/679, onderzoek te verrichten naar anonimiseringstechnieken, met name om de beveiliging van informatie te waarborgen, bestaande anonimiseringstechnieken te verbeteren en de anonimisering algeheel te versterken.

Om de bescherming van persoonsgegevens en vertrouwelijke gegevens te faciliteren en om dergelijke gegevens sneller beschikbaar te stellen voor hergebruik uit hoofde van deze verordening, moeten de lidstaten openbare lichamen aansporen om gegevens te genereren en beschikbaar te stellen overeenkomstig het beginsel ‘open door ontwerp en door standaardinstellingen’ (‘open by design and by default’), als bedoeld in artikel 5, lid 2, van Richtlijn (EU) 2019/1024, en om te bevorderen dat gegevens worden gegenereerd en verworven in formaten en structuren die anonimisering in die context faciliteren.

De categorieën gegevens die in het bezit zijn van openbare lichamen en die uit hoofde van deze verordening hergebruikt moeten kunnen worden, vallen buiten het toepassingsgebied van Richtlijn (EU) 2019/1024, die niet van toepassing is op gegevens die niet toegankelijk zijn wegens het statistisch of handelsgeheim, noch op gegevens die vervat zijn in werken of andere materialen waarvan de intellectuele-eigendomsrechten bij derden berusten. Commercieel vertrouwelijke gegevens zijn gegevens die beschermd zijn door bedrijfsgeheimen, beschermde knowhow en alle andere informatie waarvan de ongeoorloofde openbaarmaking gevolgen zou hebben voor de marktpositie of de financiële gezondheid van de onderneming. Deze verordening moet van toepassing zijn op persoonsgegevens die buiten het toepassingsgebied van Richtlijn (EU) 2019/1024 vallen indien de toegang tot die gegevens door toegangsregelingen is uitgesloten of beperkt met het oog op de bescherming van gegevens, de persoonlijke levenssfeer en de integriteit van het individu, met name in overeenstemming met de regels inzake gegevensbescherming. Het hergebruik van gegevens die bedrijfsgeheimen kunnen bevatten, moet gebeuren onverminderd Richtlijn (EU) 2016/943, die het kader vaststelt voor het rechtmatig verkrijgen, gebruiken of openbaar maken van bedrijfsgeheimen.

Deze verordening mag geen verplichting scheppen om het hergebruik toe te staan van gegevens die in het bezit zijn van openbare lichamen. Met name moet elke lidstaat daarom kunnen beslissen of gegevens toegankelijk worden gemaakt voor hergebruik, en over het doel en de reikwijdte van die toegang. Deze verordening moet een aanvulling vormen op, en mag geen afbreuk doen aan, meer specifieke verplichtingen voor openbare lichamen in sectorspecifiek Unie- of nationaal recht om hergebruik van gegevens toe te staan. De toegang van het publiek tot officiële documenten kan als een algemeen belang worden beschouwd. Aangezien toegang van het publiek tot officiële documenten en transparantie belangrijk zijn in een democratische samenleving, mag deze verordening evenmin afbreuk doen aan het Unie- of nationale recht inzake het verlenen van toegang tot en het openbaar maken van officiële documenten. Toegang tot officiële documenten kan met name overeenkomstig het nationale recht worden verleend zonder specifieke voorwaarden op te leggen of door specifieke voorwaarden op te leggen waarin deze verordening niet voorziet.

De regeling voor hergebruik waarin deze verordening voorziet, moet van toepassing zijn op gegevens waarvan de verstrekking uit hoofde van het recht of van andere bindende regels van de lidstaten onder de openbare taken van de betrokken openbare lichamen valt. Indien dergelijke regels ontbreken, moeten de openbare taken worden gedefinieerd overeenkomstig de gangbare bestuurspraktijk in de lidstaten, mits de afbakening van de openbare taken transparant is en aan toetsing is onderworpen. De openbare taken kunnen hetzij in algemene termen, hetzij afzonderlijk voor elk openbaar lichaam worden gedefinieerd. Aangezien overheidsondernemingen niet onder de definitie van openbaar lichaam vallen, mogen de gegevens die in het bezit van overheidsondernemingen zijn, niet onder deze verordening vallen. Gegevens die in het bezit zijn van culturele instellingen, zoals bibliotheken, archieven, musea, orkesten, operahuizen, balletgezelschappen en theaters, en van onderwijsinstellingen mogen niet onder deze verordening vallen aangezien de werken en andere documenten in hun bezit voornamelijk onderworpen zijn aan intellectuele-eigendomsrechten van derden. Onderzoeksinstellingen en organisaties die onderzoek financieren, kunnen ook als openbare lichamen of publiekrechtelijke instellingen worden georganiseerd.

Deze verordening mag op dergelijke hybride organisaties enkel van toepassing zijn met betrekking tot hun hoedanigheid van onderzoeksinstelling. Ook gegevens die een onderzoeksinstelling in bezit heeft in het kader van een specifieke publiek-private associatie met organisaties uit de particuliere sector of andere openbare lichamen, publiekrechtelijke instellingen of hybride onderzoeksinstellingen, d.w.z. georganiseerd als openbaar lichaam of als overheidsonderneming, die als hoofddoel onderzoek verrichten, mogen niet onder deze verordening vallen. Waar relevant moeten de lidstaten deze verordening kunnen toepassen op overheidsondernemingen of particuliere ondernemingen die openbare taken vervullen of diensten van algemeen belang verrichten. De bepalingen van deze verordening betreffende het hergebruik van bepaalde categorieën beschermde gegevens die in het bezit zijn van openbare lichamen, mogen niet worden toegepast op de uitwisseling van gegevens, louter in de uitoefening van hun openbare taken, tussen openbare lichamen in de Unie onderling of tussen openbare lichamen in de Unie en openbare lichamen in derde landen of internationale organisaties, en evenmin op de uitwisseling van gegevens tussen onderzoekers voor niet-commerciële wetenschappelijke onderzoeksdoeleinden.

Openbare lichamen moeten het mededingingsrecht naleven bij het vaststellen van de beginselen voor het hergebruik van gegevens waarover zij beschikken en vermijden overeenkomsten te sluiten die tot doel of tot gevolg kunnen hebben dat exclusieve rechten voor het hergebruik van bepaalde gegevens worden gecreëerd. Dergelijke overeenkomsten mogen alleen worden toegestaan indien ze gerechtvaardigd en noodzakelijk zijn voor de verlening van een dienst of de levering van een product in het algemeen belang. Dat kan het geval zijn indien het exclusief gebruik van de gegevens de enige manier is om de maatschappelijke voordelen van de betrokken gegevens optimaal te benutten, bijvoorbeeld als er slechts één entiteit (die gespecialiseerd is in de verwerking van een specifieke gegevensverzameling) is die de dienst kan verlenen die of het product kan leveren dat het openbaar lichaam in staat stelt in het algemeen belang een dienst te verlenen of een product te leveren. Dergelijke regelingen moeten echter worden gesloten overeenkomstig het toepasselijke Unierecht of nationale recht, en regelmatig worden herzien op basis van een marktanalyse om na te gaan of de exclusiviteit nog steeds noodzakelijk is. Bovendien moeten dergelijke regelingen waar passend in overeenstemming zijn met de toepasselijke staatssteunregels en moet hun duurtijd beperkt worden tot maximaal twaalf maanden. Met het oog op transparantie moeten dergelijke exclusieve overeenkomsten online worden gepubliceerd in een vorm die in overeenstemming is met het toepasselijke Unierecht inzake overheidsopdrachten. Een exclusief recht op hergebruik van gegevens dat niet aan deze verordening voldoet, moet ongeldig zijn.

Vóór de datum van inwerkingtreding van deze verordening geldende of gesloten verboden exclusieve overeenkomsten en andere praktijken of regelingen betreffende het hergebruik van gegevens die in het bezit zijn van openbare lichamen die niet uitdrukkelijk exclusieve rechten verlenen, maar waarvan redelijkerwijs kan worden aangenomen dat zij de beschikbaarheid van gegevens voor hergebruik beperken, mogen na het verstrijken van hun looptijd niet worden verlengd. Overeenkomsten voor onbepaalde of langere termijn moeten binnen 30 maanden na de datum van inwerkingtreding van deze verordening worden beëindigd.

In deze verordening moeten voorwaarden voor het hergebruik van beschermde gegevens worden vastgesteld die van toepassing zijn op openbare lichamen die uit hoofde van het nationale recht als bevoegd zijn aangewezen om de toegang voor hergebruik toe te staan of te weigeren, en die de rechten of verplichtingen met betrekking tot de toegang tot dergelijke gegevens onverlet laten. Die voorwaarden moeten niet-discriminerend, transparant, evenredig en objectief gerechtvaardigd zijn en mogen de mededinging niet beperken, waarbij met name de toegang tot dergelijke gegevens voor kmo's en start-ups moet worden bevorderd. De voorwaarden voor hergebruik moeten zodanig worden ontworpen dat zij wetenschappelijk onderzoek bevorderen, zodat bijvoorbeeld het bevoorrechten van wetenschappelijk onderzoek in principe als niet-discriminerend beschouwd moet worden. Openbare lichamen die hergebruik toestaan, moeten over de nodige technische middelen beschikken om de bescherming van de rechten en belangen van derde partijen te waarborgen en moeten de bevoegdheid krijgen om de nodige informatie op te vragen bij de hergebruiker. De voorwaarden voor het hergebruik van gegevens moeten beperkt blijven tot hetgeen noodzakelijk is om de rechten en belangen van derden met betrekking tot de gegevens en de integriteit van de informatietechnologie en communicatiesystemen van de openbare lichamen te beschermen. Openbare lichamen moeten voorwaarden hanteren die de belangen van de hergebruiker het best dienen, zonder dat dat leidt tot buitensporige lasten voor de openbare lichamen. De voorwaarden die aan het hergebruik van gegevens verbonden worden, moeten zodanig worden ontworpen dat zij doeltreffende waarborgen bieden met betrekking tot de bescherming van persoonsgegevens. Persoonsgegevens moeten vóór de doorgifte geanonimiseerd worden, zodat het onmogelijk is de datasubjecten te identificeren, en gegevens die commercieel vertrouwelijke informatie bevatten moeten zodanig worden gewijzigd dat er geen vertrouwelijke informatie wordt vrijgegeven. Indien de verstrekking van geanonimiseerde of gewijzigde gegevens niet aan de behoeften van de hergebruiker beantwoordt, indien is voldaan aan de artikelen 35 en 36 van Verordening (EU) 2016/679, op grond waarvan respectievelijk een gegevensbeschermingseffectbeoordeling moet worden verricht en de toezichthoudende autoriteit moet worden geraadpleegd, en indien de risico's voor de rechten en belangen van datasubjecten minimaal zijn bevonden, kan hergebruik ter plaatse of op afstand binnen een beveiligde verwerkingsomgeving worden toegestaan.

Dat kan een geschikte regeling zijn voor het hergebruik van gepseudonimiseerde gegevens. Om de rechten en belangen van derden te beschermen, moeten gegevensanalyses in dergelijke beveiligde verwerkingsomgevingen onder toezicht staan van het openbaar lichaam. Persoonsgegevens mogen met name slechts aan een derde partij worden doorgegeven voor hergebruik indien een rechtsgrondslag uit hoofde van het gegevensbeschermingsrecht dat toestaat. Niet-persoonsgebonden gegevens mogen alleen worden doorgegeven als er geen reden is om aan te nemen dat de combinatie van niet-persoonsgebonden gegevensverzamelingen zou leiden tot de identificatie van datasubjecten. Dat moet ook gelden voor gepseudonimiseerde gegevens die hun status van persoonsgegevens behouden. In geval van de heridentificatie van datasubjecten moet een verplichting gelden om een dergelijke inbreuk in verband met persoonsgegevens aan het openbaar lichaam te melden, naast een verplichting om een dergelijke inbreuk overeenkomstig Verordening (EU) 2016/679 aan een toezichthoudende autoriteit en het datasubject te melden. Op basis van de toestemming van datasubjecten of de toelating van gegevenshouders voor het hergebruik van hun gegevens moeten openbare lichamen, indien relevant, het hergebruik van gegevens met behulp van passende technische middelen faciliteren. In dat verband moet het openbaar lichaam alles in het werk stellen om potentiële hergebruikers te ondersteunen bij het verkrijgen van dergelijke toestemming of toelating door technische mechanismen op te zetten waarmee verzoeken om toestemming of toelating van hergebruikers kunnen worden doorgegeven, voor zover dat praktisch haalbaar is. Er mag geen contactinformatie worden verstrekt die hergebruikers in staat stelt rechtstreeks contact op te nemen met datasubjecten of gegevenshouders. Indien het openbaar lichaam een verzoek om toestemming of toelating doorgeeft, moet het ervoor zorgen dat het datasubject of de gegevenshouder duidelijk wordt geïnformeerd over de mogelijkheid om de toestemming of toelating te weigeren.

Om het gebruik voor wetenschappelijk onderzoek van gegevens die in het bezit zijn van openbare lichamen te faciliteren en aan te moedigen, worden openbare lichamen aangespoord een geharmoniseerde aanpak en geharmoniseerde processen uit te werken om die gegevens gemakkelijk toegankelijk te maken voor wetenschappelijk onderzoek dat het algemeen belang dient. Dat zou onder meer kunnen betekenen dat wordt voorzien in gestroomlijnde administratieve procedures, gestandaardiseerde gegevensformattering, informatieve metagegevens over de methodische en gegevensverzamelingskeuzes en gestandaardiseerde gegevensvelden die het mogelijk maken gegevensverzamelingen uit verschillende bronnen van overheidsgegevens gemakkelijk te koppelen wanneer dat relevant is voor analysedoeleinden. Die praktijken moeten gericht zijn op de bevordering van door de overheid gefinancierde en geproduceerde gegevens ten behoeve van wetenschappelijk onderzoek overeenkomstig het beginsel ‘zo open als mogelijk, zo gesloten als nodig’.

Deze verordening mag geen afbreuk doen aan de intellectuele-eigendomsrechten van derde partijen. Zij mag evenmin gevolgen hebben voor het bestaan of bezit van intellectuele-eigendomsrechten van openbare lichamen en mag geen enkele beperking inhouden voor de uitoefening van die rechten. De overeenkomstig deze verordening opgelegde verplichtingen zijn alleen van toepassing indien zij verenigbaar zijn met de internationale overeenkomsten inzake de bescherming van intellectuele-eigendomsrechten, in het bijzonder de Berner Conventie voor de bescherming van werken van letterkunde en kunst (Berner conventie), de Overeenkomst inzake de handelsaspecten van de intellectuele eigendom (TRIPS-overeenkomst) en het Verdrag van de Wereldorganisatie voor de intellectuele eigendom inzake auteursrecht (World Intellectual Property Organization Copyright Treaty — WCT), en met het Unierecht of het nationale recht inzake intellectuele eigendom. Openbare lichamen dienen evenwel hun auteursrechten op dusdanige wijze uit te oefenen dat hergebruik wordt gefaciliteerd.

Gegevens die onderworpen zijn aan intellectuele-eigendomsrechten of die bedrijfsgeheimen bevatten, mogen alleen aan een derde partij worden doorgegeven indien dat is toegestaan krachtens het Unierecht of het nationale recht of mits de rechthebbende daarmee instemt. Openbare lichamen die over het recht van de fabrikant van een databank beschikken als bedoeld in artikel 7, lid 1, van Richtlijn 96/9/EG van het Europees Parlement en de Raad (26), mogen dat recht niet uitoefenen om hergebruik van gegevens te voorkomen of meer te beperken dan bepaald in deze verordening.

Ondernemingen en datasubjecten moeten erop kunnen vertrouwen dat hun rechten en belangen worden geëerbiedigd bij het hergebruik van bepaalde categorieën beschermde gegevens die in het bezit zijn van de openbare lichamen. Daarom moet worden voorzien in aanvullende waarborgen voor situaties waarin die overheidsgegevens worden hergebruikt op basis van een verwerking van de gegevens buiten de overheidssector, zoals een vereiste dat openbare lichamen er in alle gevallen, ook indien die gegevens aan derde landen worden doorgegeven, voor zorgen dat de rechten en belangen van natuurlijke en rechtspersonen volledig worden beschermd, met name wat betreft persoonsgegevens, commercieel gevoelige gegevens en intellectuele-eigendomsrechten. Openbare lichamen mogen niet toestaan dat verzekeringsmaatschappijen of andere aanbieders van diensten met het oog op discriminerende prijsstelling informatie hergebruiken die in e-gezondheidstoepassingen is opgeslagen, aangezien dat in strijd zou zijn met het fundamentele recht op toegang tot gezondheidszorg.

Voorts is het, met het oog op de instandhouding van eerlijke mededinging en de open markteconomie, van het allergrootste belang dat beschermde niet-persoonsgebonden gegevens, met name bedrijfsgeheimen, maar ook niet-persoonsgebonden gegevens die door intellectuele-eigendomsrechten beschermde inhoud vertegenwoordigen, worden gevrijwaard tegen onrechtmatige toegang die tot diefstal van intellectuele eigendom of industriële spionage zou kunnen leiden. Om de bescherming van de rechten of de belangen van de gegevenshouders te waarborgen, moeten niet-persoonsgebonden gegevens die overeenkomstig het Unierecht of het nationale recht beschermd moeten worden tegen onrechtmatige of ongeoorloofde toegang en die in het bezit zijn van openbare lichamen, aan derde landen kunnen worden doorgegeven, maar enkel indien passende waarborgen voor het gebruik van gegevens worden geboden. Dergelijke passende waarborgen moeten een vereiste omvatten dat het openbaar lichaam uitsluitend beschermde gegevens doorgeeft aan een hergebruiker indien die contractuele verbintenissen aangaat in het belang van de bescherming van de gegevens. Een hergebruiker die voornemens is de beschermde gegevens aan een derde land door te geven, moet de in deze verordening neergelegde verplichtingen nakomen, ook na de doorgifte. Om de naleving van die verplichtingen te handhaven, moet de hergebruiker voor de gerechtelijke beslechting van geschillen ook de jurisdictie aanvaarden van de lidstaat van het openbaar lichaam dat het hergebruik heeft toegestaan.

De invoering van passende waarborgen moet eveneens worden overwogen indien er in het derde land waaraan niet-persoonsgebonden gegevens worden doorgegeven, gelijkwaardige maatregelen bestaan die ervoor zorgen dat gegevens een beschermingsniveau genieten dat vergelijkbaar is met dat van het Unierecht, met name wat betreft de bescherming van bedrijfsgeheimen en intellectuele-eigendomsrechten. Daartoe moet de Commissie, indien gerechtvaardigd door een aanzienlijk aantal verzoeken in de Unie met betrekking tot het hergebruik van niet-persoonsgebonden gegevens in specifieke derde landen, door middel van uitvoeringshandelingen kunnen verklaren dat een derde land een beschermingsniveau biedt dat in wezen gelijkwaardig is aan de door het Unierecht geboden bescherming. De Commissie moet de noodzaak van dergelijke uitvoeringshandelingen beoordelen op basis van de informatie die de lidstaten via het Europees Comité voor gegevensinnovatie hebben verstrekt. Dergelijke uitvoeringshandelingen zouden openbare lichamen de zekerheid bieden dat hergebruik van gegevens die in het bezit zijn van openbare lichamen, in het betrokken derde land het beschermde karakter ervan niet in gevaar zou brengen. Bij de beoordeling van het in het betrokken derde land geboden beschermingsniveau moet met name rekening worden gehouden met de toepasselijke algemene en sectorale wetgeving, onder meer op het gebied van openbare veiligheid, defensie, nationale veiligheid en het strafrecht, betreffende de toegang tot en de bescherming van niet-persoonsgebonden gegevens, alsook met eventuele toegang van de openbare lichamen van dat derde land tot de doorgegeven gegevens, met het bestaan en het effectief functioneren van een of meer onafhankelijke toezichthoudende autoriteiten in het derde land welke belast zijn met het waarborgen en handhaven van de wettelijke regeling inzake de toegang tot dergelijke gegevens, met de internationale toezeggingen van het derde land met betrekking tot de bescherming van gegevens, of andere verplichtingen die voortvloeien uit juridisch bindende overeenkomsten of instrumenten, alsmede uit de deelname van dat derde land of die internationale organisatie aan multilaterale of regionale regelingen.

Het bestaan van doeltreffende rechtsmiddelen voor gegevenshouders, openbare lichamen of databemiddelingsdiensten in het betrokken derde land is van bijzonder belang in de context van de doorgifte van niet-persoonsgebonden gegevens aan dat derde land. Dergelijke waarborgen moeten daarom ook de beschikbaarheid van afdwingbare rechten en doeltreffende rechtsmiddelen omvatten. Dergelijke uitvoeringshandelingen mogen geen afbreuk doen aan wettelijke verplichtingen of contractuele regelingen die een hergebruiker reeds is aangegaan in het belang van de bescherming van niet-persoonsgebonden gegevens, met name industriële gegevens, noch aan het recht van openbare lichamen om hergebruikers te verplichten te voldoen aan de voorwaarden voor hergebruik, overeenkomstig deze verordening.

Sommige derde landen stellen wetten, verordeningen en andere rechtshandelingen vast die gericht zijn op de rechtstreekse doorgifte van of het verlenen van toegang van de overheid tot niet-persoonsgebonden gegevens in de Unie onder toezicht van natuurlijke en rechtspersonen die onder de jurisdictie van de lidstaten vallen. Rechterlijke beslissingen en uitspraken in derde landen of besluiten van administratieve autoriteiten in derde landen op grond waarvan doorgifte van of toegang tot niet-persoonsgebonden persoonsgegevens wordt geëist, moeten afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijds rechtshulp, tussen het verzoekende derde land en de Unie of een lidstaat. In sommige gevallen kan een situatie ontstaan waarin de uit het recht van een derde land voortvloeiende verplichting tot doorgifte van of toegang tot niet-persoonsgebonden gegevens in strijd is met een concurrerende verplichting om die gegevens te beschermen uit hoofde van het Unierecht of het nationale recht, met name wat betreft de bescherming van de grondrechten van het individu of van de fundamentele belangen van een lidstaat in verband met de nationale veiligheid of defensie, alsook de bescherming van commercieel gevoelige gegevens en de bescherming van intellectuele-eigendomsrechten, met inbegrip van contractuele verplichtingen inzake vertrouwelijkheid overeenkomstig dat recht. Bij ontstentenis van internationale overeenkomsten die dergelijke kwesties regelen, mag doorgifte van of toegang tot niet-persoonsgebonden gegevens slechts worden toegestaan indien met name is nagegaan of het rechtsstelsel van het derde land voorschrijft dat de redenen voor en de evenredigheid van de beslissing, de uitspraak of het besluit worden toegelicht, of de beslissing, de uitspraak of het besluit een specifiek karakter heeft, en of het met redenen omklede bezwaar van de geadresseerde wordt getoetst door een bevoegde rechterlijke instantie in het derde land die gemachtigd is om rekening te houden met de relevante juridische belangen van de gegevensverstrekker.

Bovendien moeten openbare lichamen, natuurlijke personen of rechtspersonen waaraan het recht op hergebruik van gegevens is verleend, aanbieders van databemiddelingsdiensten en erkende organisaties voor data-altruïsme er bij de ondertekening van contractuele overeenkomsten met andere particuliere partijen voor zorgen dat in de Unie bewaarde niet-persoonsgebonden gegevens in derde landen alleen kunnen worden geraadpleegd of aan derde landen alleen kunnen worden doorgegeven overeenkomstig het Unierecht of het nationale recht van de betrokken lidstaat.

Om het vertrouwen in de data-economie van de Unie verder te versterken, is het van essentieel belang dat de burgers van de Unie, de overheidssector en de ondernemingen wordt gewaarborgd dat hun strategische en gevoelige gegevens worden gecontroleerd en dat het recht, de waarden en de normen van de Unie worden gehandhaafd op het gebied van, maar niet beperkt tot, veiligheid, gegevensbescherming en consumentenbescherming. Om onrechtmatige toegang tot niet-persoonsgebonden gegevens te voorkomen, moeten openbare lichamen, natuurlijke personen of rechtspersonen waaraan het recht op hergebruik van gegevens is verleend, aanbieders van databemiddelingsdiensten en erkende organisaties voor data-altruïsme alle redelijke maatregelen nemen om de toegang tot de systemen waar niet-persoonsgebonden gegevens zijn opgeslagen, te voorkomen, met inbegrip van versleuteling van gegevens of bedrijfsgebonden beleidsmaatregelen. Daartoe moet ervoor worden gezorgd dat openbare lichamen, natuurlijke personen of rechtspersonen waaraan het recht op hergebruik van gegevens is verleend, aanbieders van databemiddelingsdiensten en erkende organisaties voor data-altruïsme zich houden aan alle desbetreffende technische normen, gedragscodes en certificeringen op het niveau van de Unie.

Om vertrouwen in hergebruikmechanismen op te bouwen, kan het nodig zijn strengere voorwaarden te hanteren voor bepaalde soorten niet-persoonsgebonden gegevens die in toekomstige specifieke wetgevingshandelingen van de Unie als zeer gevoelig kunnen worden aangemerkt wat betreft de doorgifte aan derde landen, indien de doelstellingen van het overheidsbeleid van de Unie, in overeenstemming met internationale verbintenissen, door de doorgifte in het gedrang zouden komen. Op het gebied van gezondheid kunnen bijvoorbeeld bepaalde gegevensverzamelingen die in het bezit zijn van actoren in de openbare gezondheidszorg, zoals openbare ziekenhuizen, worden aangemerkt als zeer gevoelige gezondheidsgegevens. Andere betrokken sectoren zijn onder meer vervoer, energie, milieu en financiën. Om geharmoniseerde praktijken in de hele Unie te waarborgen, moeten dergelijke soorten zeer gevoelige niet-persoonsgebonden openbare gegevens in het Unierecht worden gedefinieerd, bijvoorbeeld in het kader van de Europese ruimte voor gezondheidsgegevens of andere sectorale wetgeving. Die voorwaarden voor de doorgifte van dergelijke gegevens aan derde landen moeten in gedelegeerde handelingen worden vastgelegd. De voorwaarden moeten evenredig, niet-discriminerend en noodzakelijk zijn om de vastgestelde legitieme doelstellingen van het overheidsbeleid van de Unie te beschermen, zoals bescherming van de volksgezondheid, de veiligheid, het milieu en de openbare zedelijkheid, alsook consumentenbescherming en bescherming van de persoonlijke levenssfeer en persoonsgegevens. De voorwaarden moeten overeenkomen met de vastgestelde risico's in verband met de gevoeligheid van die gegevens, met inbegrip van het risico van heridentificatie van personen. Het kan gaan om voorwaarden voor de doorgifte of technische regelingen, zoals de verplichting om een beveiligde verwerkingsomgeving te gebruiken, beperkingen met betrekking tot het hergebruik van gegevens in derde landen of met betrekking tot categorieën van personen die dergelijke gegevens mogen doorgeven aan derde landen of die in dat derde land toegang kunnen krijgen tot de gegevens. In uitzonderlijke gevallen kunnen dergelijke voorwaarden ook beperkingen op de doorgifte van gegevens aan derde landen omvatten om het algemeen belang te beschermen.

Openbare lichamen moeten vergoedingen kunnen aanrekenen voor het hergebruik van gegevens, maar moeten, in overeenstemming met de staatssteunregels, ook hergebruik tegen een gereduceerde vergoeding of kosteloos hergebruik kunnen toestaan, bijvoorbeeld voor bepaalde categorieën hergebruik, zoals niet-commercieel hergebruik voor wetenschappelijke onderzoeksdoeleinden, of hergebruik door kmo's en start-ups, maatschappelijke organisaties en onderwijsinstellingen, om dergelijk hergebruik ten behoeve van onderzoek en innovatie te stimuleren en ondernemingen te ondersteunen die een belangrijke bron van innovatie vormen en het doorgaans moeilijker vinden om zelf relevante gegevens te verzamelen. In die specifieke context moet onder wetenschappelijke onderzoeksdoeleinden worden verstaan elk onderzoeksgerelateerd doel, ongeacht de organisatorische of financiële structuur van de betrokken onderzoeksinstelling, met uitzondering van onderzoek dat wordt uitgevoerd door een onderneming en gericht is op de ontwikkeling, verbetering of optimalisering van producten of diensten. Dergelijke vergoedingen moeten transparant en niet-discriminerend zijn en beperkt tot de gemaakte noodzakelijke kosten, en zij mogen de mededinging niet beperken. Er moet een lijst worden gepubliceerd met de categorieën hergebruikers waarvoor gereduceerde of geen vergoedingen gelden, en met de criteria die zijn gebruikt om die lijst op te stellen.

Om het hergebruik van specifieke categorieën van gegevens die in het bezit zijn van openbare lichamen te stimuleren, moeten de lidstaten een centraal informatiepunt oprichten dat fungeert als een aanspreekpunt voor hergebruikers die die gegevens willen hergebruiken. Het centraal informatiepunt moet een sectoroverschrijdend mandaat hebben en zo nodig een aanvulling vormen op de regelingen op sectoraal niveau. Het moet bij het doorgeven van verzoeken om informatie of hergebruik gebruik kunnen maken van geautomatiseerde middelen. Er moet worden gezorgd voor voldoende menselijk toezicht in de doorgifteprocedure. Daartoe zouden bestaande praktische regelingen zoals opendataportalen kunnen worden gebruikt. Het centraal informatiepunt moet beschikken over een inventaris met een overzicht van alle beschikbare gegevensbronnen, met inbegrip van, waar relevant, de gegevensbronnen die beschikbaar zijn op sectorale, regionale of lokale informatiepunten, met relevante informatie ter beschrijving van de beschikbare gegevens. Daarnaast dienen de lidstaten bevoegde organen aan te wijzen, op te richten of de oprichting daarvan te faciliteren om ondersteuning te bieden voor de activiteiten van openbare lichamen die het hergebruik van bepaalde categorieën beschermde gegevens toestaan. Indien het sectorale Unie- of nationale recht daarin voorziet, kan het ook tot hun taken behoren om toegang tot gegevens te verlenen. Die bevoegde organen moeten openbare lichamen bijstaan met geavanceerde technieken, onder meer wat betreft de beste manier om gegevens te structureren en op te slaan teneinde ervoor te zorgen dat zij gemakkelijk toegankelijk worden, met name via applicatieprogramma-interfaces, alsook wat betreft het interoperabel, overdraagbaar en doorzoekbaar maken van gegevens, rekening houdend met de beste praktijken voor gegevensverwerking, alsmede met bestaande regulerings- en technische normen en beveiligde verwerkingsomgevingen, die het mogelijk maken gegevens te analyseren zonder het vertrouwelijke karakter van de informatie te schenden.

De bevoegde organen moeten daarbij handelen in overeenstemming met de instructies van het openbaar lichaam. Een dergelijke bijstandsstructuur kan de datasubjecten en gegevenshouders bijstaan bij het beheer van de toestemming of toelating tot hergebruik, met inbegrip van toestemming en toelating voor bepaalde gebieden van wetenschappelijk onderzoek overeenkomstig erkende ethische normen voor wetenschappelijk onderzoek. De bevoegde organen mogen geen toezichtfunctie hebben; die is uit hoofde van Verordening (EU) 2016/679 voorbehouden aan toezichthoudende autoriteiten. Onverminderd de toezichthoudende bevoegdheden van de gegevensbeschermingsautoriteiten moet de gegevensverwerking plaatsvinden onder de verantwoordelijkheid van het openbaar lichaam dat verantwoordelijk is voor het register dat de gegevens bevat en dat, wat de persoonsgegevens betreft, de verwerkingsverantwoordelijke blijft in de zin van Verordening (EU) 2016/679. De lidstaten moeten een of meer bevoegde organen kunnen hebben, die in verschillende sectoren kunnen optreden. De interne diensten van openbare lichamen kunnen ook optreden als bevoegde organen. Een bevoegd orgaan kan een openbaar lichaam zijn dat andere openbare lichamen bijstaat bij het toestaan van hergebruik van gegevens, indien van toepassing, of een openbaar lichaam dat zelf hergebruik toestaat. Het bijstaan van andere openbare lichamen moet inhouden dat zij op verzoek worden geïnformeerd over beste praktijken betreffende de wijze waarop aan de in deze verordening neergelegde vereisten kan worden voldaan, zoals de technische middelen om een beveiligde verwerkingsomgeving beschikbaar te stellen of de technische middelen om privacy en vertrouwelijkheid te waarborgen indien toegang tot het hergebruik van gegevens die binnen het toepassingsgebied van deze verordening vallen, werd verleend.

Van databemiddelingsdiensten wordt verwacht dat zij een sleutelrol spelen in de data-economie, met name bij het ondersteunen en bevorderen van vrijwillige praktijken voor het delen van gegevens tussen ondernemingen of bij het faciliteren van gegevensdeling in het kader van verplichtingen op basis van het Unierecht of het nationale recht. Zij kunnen een facilitator worden van de uitwisseling van aanzienlijke hoeveelheden relevante gegevens. Aanbieders van databemiddelingsdiensten, waartoe ook openbare organen kunnen behoren, die diensten aanbieden die verschillende actoren met elkaar verbinden, kunnen bijdragen tot een efficiënte bundeling van gegevens en tot het faciliteren van bilaterale gegevensdeling. Gespecialiseerde databemiddelingsdiensten die onafhankelijk zijn van datasubjecten, gegevenshouders en gegevensgebruikers, kunnen de opkomst faciliteren van nieuwe datagestuurde ecosystemen die onafhankelijk zijn van alle spelers met een aanzienlijke marktmacht en kunnen daarbij ondernemingen van elke omvang, met name kmo's en start-ups met beperkte financiële, juridische en administratieve middelen, niet-discriminerende toegang bieden tot de data-economie. Dat zal met name van belang zijn bij de totstandbrenging van ‘gemeenschappelijke Europese gegevensruimten’, namelijk doel- of sectorspecifieke of sectoroverschrijdende interoperabele kaders van gemeenschappelijke normen en praktijken op het gebied van gegevensdeling of gezamenlijke gegevensverwerking met het oog op onder meer de ontwikkeling van nieuwe producten en diensten, wetenschappelijk onderzoek of initiatieven van maatschappelijke organisaties. Databemiddelingsdiensten bilaterale of multilaterale gegevensdeling omvatten, alsook de oprichting van platforms of databanken die de uitwisseling of het gezamenlijk gebruik van gegevens mogelijk maken, en de oprichting van specifieke infrastructuur voor de interconnectie van datasubjecten en gegevenshouders met gegevensgebruikers.

Deze verordening moet van toepassing zijn op diensten die gericht zijn op het tot stand brengen van commerciële relaties met het oog op het delen van gegevens tussen een onbepaald aantal datasubjecten en gegevenshouders enerzijds en gegevensgebruikers anderzijds, via technische, juridische of andere middelen, onder meer voor de uitoefening van de rechten van datasubjecten met betrekking tot persoonsgegevens. Indien ondernemingen of andere entiteiten meerdere gegevensgerelateerde diensten aanbieden, mogen alleen de activiteiten die rechtstreeks verband houden met de levering van databemiddelingsdiensten onder deze verordening vallen. De levering van cloudopslag, analyse, gegevensdelingssoftware, webbrowsers, browserplug-ins of e-maildiensten mag niet beschouwd worden als een databemiddelingsdienst in de zin van deze verordening, op voorwaarde dat die diensten alleen technische instrumenten bieden voor datasubjecten of gegevenshouders om gegevens met anderen te delen, maar de levering van die instrumenten noch wordt gebruikt om een commerciële relatie tot stand te brengen tussen gegevenshouders en gegevensgebruikers, noch de aanbieder van databemiddelingsdiensten in staat stelt informatie te verwerven over het aangaan van commerciële relaties met het oog op gegevensdeling. Voorbeelden van databemiddelingsdiensten zijn onder meer datamarkten waarop ondernemingen gegevens beschikbaar kunnen stellen aan anderen, orkestratoren van ecosystemen voor het delen van gegevens die toegankelijk zijn voor alle belanghebbenden, bijvoorbeeld in het kader van gemeenschappelijke Europese dataruimten, alsook datapools die gezamenlijk door verschillende rechtspersonen of natuurlijke personen zijn opgericht met de bedoeling het gebruik van dergelijke datapools aan alle belanghebbende partijen in licentie te geven op zodanige wijze dat alle deelnemers die aan de datapools bijdragen, daarvoor een beloning ontvangen.

Daardoor zijn datadiensten die gegevens van gegevenshouders verkrijgen en de gegevens aggregeren, verrijken of transformeren met het oog op het toevoegen van substantiële waarde en het gebruik van de resulterende gegevens in licentie geven aan gegevensgebruikers, zonder dat er een commerciële relatie tussen gegevenshouders en gegevensgebruikers tot stand wordt gebracht, uitgesloten. Daardoor zijn ook diensten die uitsluitend door één gegevenshouder worden gebruikt om het gebruik mogelijk te maken van de gegevens waarover die gegevenshouder beschikt, of die worden gebruikt door meerdere rechtspersonen in een gesloten groep, met inbegrip van leveranciers- of klantenrelaties of contractueel vastgelegde samenwerkingsverbanden, met name die welke als hoofddoel hebben de functionaliteiten van met het internet van de dingen verbonden voorwerpen en apparaten te waarborgen, uitgesloten.

Diensten die zich richten op de bemiddeling van auteursrechtelijk beschermde inhoud, zoals aanbieders van onlinediensten voor het delen van inhoud als gedefinieerd in artikel 2, punt 6), van Richtlijn (EU) 2019/790, mogen niet onder deze verordening vallen. ‘Verstrekkers van een consolidated tape’ als gedefinieerd in artikel 2, lid 1, punt 35), van Richtlijn (EU) nr. 600/2014 van het Europees Parlement en de Raad (27) en ‘rekeninginformatiedienstaanbieders’ als gedefinieerd in artikel 4, punt 19), van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad (28) mogen voor de toepassing van deze verordening niet als aanbieders van databemiddelingsdiensten beschouwd worden. Deze verordening mag niet van toepassing zijn op diensten die door openbare lichamen worden aangeboden om het hergebruik van beschermde gegevens die in het bezit zijn van openbare lichamen overeenkomstig deze verordening of het gebruik van andere gegevens te faciliteren, voor zover die diensten niet tot doel hebben commerciële relaties tot stand te brengen. Organisaties voor data-altruïsme die onder deze verordening vallen, mogen niet worden beschouwd als aanbieders van databemiddelingsdiensten, op voorwaarde dat die diensten geen commerciële relatie tot stand brengen tussen potentiële gegevensgebruikers enerzijds en datasubjecten en gegevenshouders die om altruïstische redenen gegevens beschikbaar stellen anderzijds. Andere diensten die niet tot doel hebben commerciële relaties tot stand te brengen, zoals databanken die het hergebruik van wetenschappelijke onderzoeksgegevens overeenkomstig de beginselen van open toegang tot doel hebben, mogen niet als databemiddelingsdiensten in de zin van deze verordening beschouwd worden.

Een specifieke categorie van databemiddelingsdiensten zijn aanbieders van diensten die hun diensten aanbieden aan datasubjecten. Dergelijke aanbieders van databemiddelingsdiensten streven ernaar datasubjecten meer zeggenschap te geven, en met name meer controle over de gegevens die op hen betrekking hebben. Dergelijke aanbieders zouden personen helpen hun rechten uit hoofde van Verordening (EU) 2016/679 uit te oefenen, met name het geven en intrekken van hun toestemming voor de gegevensverwerking, het recht op toegang tot hun eigen gegevens, het recht op rectificatie van onjuiste persoonsgegevens, het recht op het wissen van gegevens of om ‘te worden vergeten’, het recht om de verwerking te beperken en het recht op gegevensoverdraagbaarheid, waardoor datasubjecten hun persoonsgegevens naar een andere gegevensverwerkingsverantwoordelijke kunnen overbrengen. In dat verband is het belangrijk dat het bedrijfsmodel van dergelijke aanbieders waarborgt dat er geen ongewenste prikkels gegenereerd worden die personen ertoe aansporen dergelijke diensten te gebruiken om meer gegevens beschikbaar te stellen voor verwerking dan in hun eigen belang is. Dat kan onder meer betekenen dat personen advies krijgen over de mogelijke manieren waarop hun gegevens worden gebruikt en dat zorgvuldigheidscontroles op gegevensgebruikers worden uitgevoerd voordat zij contact mogen opnemen met datasubjecten, teneinde frauduleuze praktijken te voorkomen. In bepaalde situaties kan het wenselijk zijn om feitelijke gegevens te verzamelen in een persoonsgegevensruimte, zodat de verwerking binnen die ruimte kan gebeuren zonder dat persoonsgegevens aan derden worden doorgegeven, teneinde de persoonsgegevens en de persoonlijke levenssfeer maximaal te beschermen. Dergelijke persoonsgegevensruimten kunnen statische persoonsgegevens zoals naam, adres of geboortedatum bevatten, alsook dynamische gegevens die een persoon genereert, bijvoorbeeld door gebruik te maken van een onlinedienst of een met het internet van de dingen verbonden voorwerp. Zij kunnen ook worden gebruikt voor het opslaan van gecontroleerde identiteitsgegevens, zoals paspoortnummers of socialezekerheidsinformatie, en van persoonlijke gegevens, zoals rijbewijzen, diploma's of bankrekeninginformatie.

Gegevenscoöperaties streven de verwezenlijking van een aantal doelstellingen na, en met name helpen zij individuele personen geïnformeerde keuzes te maken alvorens toestemming te verlenen voor het gebruik van gegevens, door de voorwaarden van organisaties van gegevensgebruikers die verbonden zijn aan het gebruik van gegevens zodanig te beïnvloeden dat de individuele leden van de groep betere keuzes kunnen maken of dat mogelijk oplossingen worden gevonden voor tegenstrijdige standpunten van individuele leden van een groep over de wijze waarop gegevens kunnen worden gebruikt indien die gegevens betrekking hebben op meerdere datasubjecten van de groep. In dat verband is het belangrijk te erkennen dat de rechten uit hoofde van Verordening (EU) 2016/679 persoonlijke rechten van het datasubject zijn en dat datasubjecten geen afstand kunnen doen van die rechten. Gegevenscoöperaties kunnen ook een nuttig middel zijn voor eenpersoonsondernemingen en kmo's die qua kennis over het delen van gegevens vaak vergelijkbaar zijn met individuele personen.

Om het vertrouwen in databemiddelingsdiensten te vergroten, met name in verband met het gebruik van gegevens en de naleving van de door de datasubjecten en de gegevenshouders opgelegde voorwaarden, is er op Unieniveau behoefte aan een regelgevingskader dat sterk geharmoniseerde eisen stelt met betrekking tot de betrouwbare verlening van databemiddelingsdiensten, en dat door de bevoegde autoriteiten wordt geïmplementeerd. Dat kader zal er mee voor zorgen dat zowel datasubjecten en gegevenshouders als gegevensgebruikers een betere controle hebben over de toegang tot en het gebruik van hun gegevens, overeenkomstig het Unierecht. De Commissie kan ook de ontwikkeling van gedragscodes op Unieniveau, met name op het gebied van interoperabiliteit, aanmoedigen en faciliteren, en daarbij belanghebbenden betrekken. Zowel voor het delen van gegevens in een bedrijf-tot-bedrijf-context als in een bedrijf-tot-consument-context, moeten aanbieders van databemiddelingsdiensten een nieuwe ‘Europese’ manier van datagovernance aanbieden door in de data-economie een onderscheid te bieden tussen gegevensverstrekking, -bemiddeling en -gebruik. Aanbieders van databemiddelingsdiensten kunnen ook specifieke technische infrastructuur beschikbaar stellen voor de interconnectie van datasubjecten en gegevenshouders met gegevensgebruikers. In dat verband is het bijzonder belangrijk die infrastructuur zodanig vorm te geven dat kmo's en start-ups geen technische of andere belemmeringen ondervinden voor hun deelname aan de data-economie.

Aanbieders van databemiddelingsdiensten moeten aanvullende specifieke instrumenten en diensten aan gegevenshouders en datasubjecten kunnen aanbieden met het specifieke doel de gegevensuitwisseling te faciliteren, zoals tijdelijke opslag, curatie, conversie, anonimisering en pseudonimisering. Die instrumenten en diensten mogen alleen worden gebruikt op uitdrukkelijk verzoek of met de uitdrukkelijke goedkeuring van de gegevenshouder of het datasubject, en de in dat verband aangeboden instrumenten van derden gebruiken gegevens niet voor andere doeleinden. Tegelijkertijd moeten aanbieders van databemiddelingsdiensten de mogelijkheid krijgen om de uitgewisselde gegevens aan te passen, bijvoorbeeld door ze om te zetten in een specifiek format, teneinde de bruikbaarheid van de gegevens voor de gegevensgebruiker te verbeteren wanneer de gegevensgebruiker dat wenst, of teneinde de interoperabiliteit te verbeteren.

Het is belangrijk om voor een concurrerend klimaat voor gegevensdeling te zorgen. Een belangrijk element om het vertrouwen en de controle van gegevenshouders, datasubjecten en gegevensgebruikers met betrekking tot databemiddelingsdiensten te versterken, is de neutraliteit van de aanbieders van databemiddelingsdiensten met betrekking tot de tussen gegevenshouders of datasubjecten en gegevensgebruikers uitgewisselde gegevens. Daarom is het noodzakelijk dat aanbieders van databemiddelingsdiensten uitsluitend optreden als tussenpersoon bij de transacties en de uitgewisselde gegevens niet voor andere doeleinden gebruiken. De commerciële voorwaarden voor het verlenen van databemiddelingsdiensten, met inbegrip van het prijsbeleid, mogen niet afhangen van de vraag of en zo ja in welke mate een potentiële gegevenshouder of -gebruiker gebruikmaakt van andere, door dezelfde aanbieder van databemiddelingsdiensten of door een aanverwante entiteit aangeboden diensten, zoals opslag, analyse, artificiële intelligentie of andere op gegevens gebaseerde toepassingen. Dat zal ook een structurele scheiding vergen tussen de databemiddelingsdienst en alle andere verleende diensten, om belangenconflicten te voorkomen. Dat betekent dat de databemiddelingsdienst moet worden verleend via een rechtspersoon die geen band heeft met de andere activiteiten van de aanbieder van databemiddelingsdiensten. Aanbieders van databemiddelingsdiensten moeten evenwel de door de gegevenshouder verstrekte gegevens kunnen gebruiken om hun databemiddelingsdiensten te verbeteren.

Aanbieders van databemiddelingsdiensten moeten hun eigen instrumenten of instrumenten van derden ter beschikking kunnen stellen van gegevenshouders, datasubjecten en gegevensgebruikers om de uitwisseling van gegevens te faciliteren, bijvoorbeeld instrumenten waarmee gegevens uitsluitend op uitdrukkelijk verzoek of met de uitdrukkelijke goedkeuring van het datasubject of de gegevenshouder worden geconverteerd of gecureerd. De in dat verband aangeboden instrumenten van derden mogen de gegevens uitsluitend gebruiken voor de doeleinden die verband houden met de databemiddelingsdiensten. Aan aanbieders van databemiddelingsdiensten die optreden als tussenpersoon voor de uitwisseling van gegevens tussen natuurlijke personen als datasubjecten en rechtspersonen als gegevensgebruikers, moeten bovendien fiduciaire verplichtingen worden opgelegd jegens de natuurlijke personen om ervoor te zorgen dat zij handelen in het belang van de datasubjecten. Kwesties in verband met de aansprakelijkheid voor alle materiële en immateriële schade en schade als gevolg van een gedraging van de aanbieder van databemiddelingsdiensten kunnen in het desbetreffende contract worden geregeld, op basis van de nationale aansprakelijkheidsregelingen.

Aanbieders van databemiddelingsdiensten moeten redelijke maatregelen nemen om interoperabiliteit binnen een sector en tussen verschillende sectoren te waarborgen, teneinde de goede werking van de interne markt te waarborgen. Redelijke maatregelen kunnen onder meer bestaan in het volgen van de bestaande, algemeen gebruikte normen in de sector waarin de aanbieders van databemiddelingsdiensten actief zijn. Het Europees Comité voor gegevensinnovatie moet indien nodig de totstandkoming van aanvullende industrienormen faciliteren. Aanbieders van databemiddelingsdiensten moeten te gelegener tijd de door het Europees Comité voor gegevensinnovatie vastgestelde maatregelen voor interoperabiliteit tussen de databemiddelingsdiensten ten uitvoer leggen.

Deze verordening mag geen afbreuk doen aan de verplichting van aanbieders van databemiddelingsdiensten om Verordening (EU) 2016/679 na te leven, noch aan de verantwoordelijkheid van de toezichthoudende autoriteiten om de naleving van die verordening te waarborgen. Waar het gaat om de verwerking van persoonsgegevens door de aanbieders van databemiddelingsdiensten, moet deze verordening de bescherming van persoonsgegevens onverlet laten. Aanbieders van databemiddelingsdiensten die verwerkingsverantwoordelijken of verwerkers zijn als gedefinieerd in Verordening (EU) 2016/679 moeten de regels van die verordening naleven.

Aanbieders van databemiddelingsdiensten worden geacht over procedures en maatregelen te beschikken om sancties op te leggen voor frauduleuze of onrechtmatige praktijken met betrekking tot partijen die via hun databemiddelingsdiensten toegang wensen te krijgen, waaronder maatregelen zoals de uitsluiting van gegevensgebruikers die de dienstverleningsvoorwaarden niet naleven of het geldende recht schenden.

Aanbieders van databemiddelingsdiensten moeten ook maatregelen nemen om de naleving van het mededingingsrecht te waarborgen en daartoe over procedures beschikken. Dat is met name het geval wanneer informatie wordt gedeeld die ondernemingen inzicht kan verschaffen in de marktstrategieën van hun huidige of potentiële concurrenten. Concurrentiegevoelige informatie omvat doorgaans informatie over klantgegevens, toekomstige prijzen, productiekosten, hoeveelheden, omzet, verkoop of capaciteit.

Er moet een aanmeldingsprocedure voor databemiddelingsdiensten worden vastgesteld om ervoor te zorgen dat datagovernance binnen de Unie op basis van betrouwbare gegevensuitwisseling gebeurt. De voordelen van een betrouwbare omgeving kunnen het best worden bereikt door voor het aanbieden van databemiddelingsdiensten een aantal voorwaarden op te leggen, maar zonder daarvoor een uitdrukkelijk besluit of administratieve handeling van de voor databemiddelingsdiensten bevoegde autoriteit te verlangen. De aanmeldingsprocedure mag geen onnodige obstakels opwerpen voor kmo's, start-ups en maatschappelijke organisaties en moet het non-discriminatiebeginsel in acht nemen.

Om effectieve grensoverschrijdende dienstverlening te ondersteunen, moet de aanbieder van databemiddelingsdiensten alleen worden verplicht een aanmelding te sturen naar de voor databemiddelingsdiensten bevoegde autoriteit van de lidstaat waar zijn hoofdvestiging zich bevindt of waar zijn wettelijke vertegenwoordiger is gevestigd. Een dergelijke aanmelding moet beperkt blijven tot een verklaring van het voornemen om dergelijke diensten te verlenen en mag alleen worden aangevuld met de verstrekking van de in deze verordening bepaalde informatie. Na de betrokken aanmelding moet de aanbieder van databemiddelingsdiensten zonder verdere aanmeldingsverplichtingen in om het even welke lidstaat actief kunnen worden.

De in deze verordening neergelegde aanmeldingsprocedure mag geen afbreuk doen aan specifieke aanvullende regels voor het aanbieden van databemiddelingsdiensten die middels sectorspecifiek recht worden opgelegd.

De hoofdvestiging van een aanbieder van databemiddelingsdiensten in de Unie moet de plaats zijn waar zijn centrale administratie in de Unie is gelegen. De hoofdvestiging van een aanbieder van databemiddelingsdiensten in de Unie moet worden bepaald aan de hand van objectieve criteria en in die hoofdvestiging moeten daadwerkelijk managementactiviteiten worden verricht. De activiteiten van een aanbieder van databemiddelingsdiensten moeten in overeenstemming zijn met het nationale recht van de lidstaat waar hij zijn hoofdvestiging heeft.

Om te waarborgen dat aanbieders van databemiddelingsdiensten deze verordening naleven, moeten zij hun hoofdvestiging in de Unie hebben. Indien een aanbieder van databemiddelingsdiensten niet in de Unie is gevestigd maar zijn diensten wel in de Unie aanbiedt, moet hij een wettelijke vertegenwoordiger aanwijzen. De aanwijzing van een wettelijke vertegenwoordiger is in dergelijke gevallen noodzakelijk aangezien aanbieders van databemiddelingsdiensten zowel persoonsgegevens als commercieel vertrouwelijke gegevens verwerken, waardoor er nauwlettend op moet worden toegezien dat zij deze verordening naleven. Om te bepalen of een aanbieder van databemiddelingsdiensten diensten aanbiedt in de Unie, moet worden nagegaan of hij kennelijk voornemens is diensten aan te bieden aan personen in één of meer lidstaten. Uit de loutere toegankelijkheid in de Unie van de website of van een e-mailadres en andere contactgegevens van de aanbieder van databemiddelingsdiensten, of het gebruik van een taal die algemeen wordt gebruikt in het derde land waar de aanbieder van databemiddelingsdiensten is gevestigd, kan niet worden afgeleid dat dat voornemen aanwezig is. Uit factoren zoals het gebruik van een taal of een valuta die in één of meer lidstaten algemeen wordt gebruikt, met de mogelijkheid om in die taal diensten te bestellen, of de vermelding van gebruikers die zich in de Unie bevinden, kan evenwel blijken dat de aanbieder van databemiddelingsdiensten voornemens is diensten aan te bieden in de Unie.

Een aangewezen wettelijke vertegenwoordiger moet namens de aanbieder van databemiddelingsdiensten handelen en de voor databemiddelingsdiensten bevoegde autoriteiten moeten zich in plaats van tot een aanbieder van de databemiddelingsdienst tot de wettelijke vertegenwoordiger kunnen wenden, of tot beiden, onder meer in het geval van inbreuken, om een handhavingsprocedure te starten tegen een niet in de Unie gevestigde aanbieder van databemiddelingsdiensten die de voorschriften niet naleeft. De wettelijke vertegenwoordiger moet via een schriftelijk mandaat van de aanbieder van databemiddelingsdiensten worden aangewezen om namens laatstgenoemde op te treden met betrekking tot diens verplichtingen uit hoofde van deze verordening.

Om datasubjecten en gegevenshouders te helpen om in de Unie erkende aanbieders van databemiddelingsdiensten eenvoudig te identificeren en aldus hun vertrouwen in die aanbieders te vergroten, moet er, boven op het label ‘in de Unie erkende aanbieder van databemiddelingsdiensten’, een gemeenschappelijk logo worden ingevoerd dat in de hele Unie herkenbaar is.

De voor databemiddelingsdiensten bevoegde autoriteiten die aangewezen zijn om toezicht te houden op de naleving van de verplichtingen van deze verordening door aanbieders van databemiddelingsdiensten, moeten worden gekozen op basis van hun capaciteit en deskundigheid op het gebied van horizontale of sectorale gegevensuitwisseling. Zij moeten zowel onafhankelijk van enige aanbieder van databemiddelingsdiensten zijn als transparant en onpartijdig bij de uitoefening van hun taken. De lidstaten moeten de Commissie in kennis stellen van de identiteit van die voor databemiddelingsdiensten bevoegde autoriteiten. De bevoegdheden van de voor databemiddelingsdiensten bevoegde autoriteiten mogen geen afbreuk doen aan de bevoegdheden van de gegevensbeschermingsautoriteiten. Met name voor elke kwestie die een beoordeling van de naleving van Verordening (EU) 2016/679 vereist, dient de voor databemiddelingsdiensten bevoegde autoriteit, indien relevant, een advies of besluit te vragen van de op grond van die verordening opgerichte bevoegde toezichthoudende autoriteit.

Er is een groot potentieel voor doeleinden van algemeen belang bij het gebruik van gegevens die vrijwillig door datasubjecten beschikbaar worden gesteld op basis van hun geïnformeerde toestemming of, wanneer het niet-persoonsgebonden gegevens betreft, die door gegevenshouders beschikbaar worden gesteld. Tot dergelijke doeleinden behoren gezondheidszorg, bestrijding van de klimaatverandering, mobiliteitsverbetering, facilitering van de ontwikkeling, productie en verspreiding van officiële statistieken, verbetering van openbare diensten, of openbare besluitvorming. Steun voor wetenschappelijk onderzoek moet ook worden beschouwd als een doeleinde van algemeen belang. Deze verordening moet tot doel hebben bij te dragen tot het ontstaan van op basis van data-altruïsme beschikbaar gestelde datapools die voldoende groot zijn, om gegevensanalyse en machinaal leren mogelijk te maken, ook in de Unie. Om dat doel te bereiken, moeten de lidstaten kunnen voorzien in organisatorische en/of technische regelingen die data-altruïsme faciliteren. Dergelijke regelingen kunnen onder meer betrekking hebben op de beschikbaarheid van gemakkelijk bruikbare instrumenten voor datasubjecten of gegevenshouders voor het verlenen van toestemming of toelating voor het altruïstisch gebruik van hun gegevens, de organisatie van bewustmakingscampagnes of een gestructureerde uitwisseling tussen bevoegde autoriteiten over de voordelen van data-altruïsme voor het overheidsbeleid, zoals verbetering van het verkeer, volksgezondheid en bestrijding van klimaatverandering. Daartoe moeten de lidstaten een nationaal beleid voor data-altruïsme vast kunnen stellen. Datasubjecten moeten enkel compensatie kunnen krijgen voor de kosten die zij maken wanneer zij hun gegevens beschikbaar stellen voor doeleinden van algemeen belang.

De registratie van erkende organisaties voor data-altruïsme en het gebruik van het label ‘in de Unie erkende organisatie voor data-altruïsme’ zal naar verwachting leiden tot het ontstaan van gegevensregisters. Registratie in een lidstaat zou voor de hele Unie gelden en zal naar verwachting het grensoverschrijdend gebruik van gegevens binnen de Unie en het ontstaan van datapools die verschillende lidstaten bestrijken, faciliteren. Gegevenshouders kunnen toelating verlenen voor de verwerking van hun niet-persoonsgebonden gegevens voor een reeks doeleinden die op het moment van het verlenen van de toelating niet zijn vastgelegd. Als erkende organisaties voor data-altruïsme een reeks vereisten als neergelegd in deze verordening naleven, moet dat het vertrouwen wekken dat de voor altruïstische doeleinden beschikbaar gestelde gegevens een doeleinde van algemeen belang dienen. Dat vertrouwen moet met name voortvloeien uit een plaats van vestiging of een wettelijk vertegenwoordiger binnen de Unie, alsook uit de vereiste dat erkende organisaties voor data-altruïsme organisaties zonder winstoogmerk moeten zijn, uit transparantievereisten en uit specifieke waarborgen om de rechten en belangen van datasubjecten en ondernemingen te beschermen.

Verdere waarborgen zijn onder meer de mogelijkheid om relevante gegevens te verwerken in een beveiligde verwerkingsomgeving die door de erkende organisaties voor data-altruïsme wordt beheerd, toezichtsmechanismen zoals ethische commissies of raden waar vertegenwoordigers van maatschappelijke organisaties deel van uitmaken, om te waarborgen dat de verwerkingsverantwoordelijke strenge normen op het gebied van wetenschappelijke ethiek en bescherming van de grondrechten handhaaft, effectieve en duidelijk bekendgemaakte technische middelen hanteert om de toestemming te allen tijde in te trekken of te wijzigen, op basis van de informatieverplichtingen van de gegevensverwerkers uit hoofde van Verordening (EU) 2016/679, en gebruikmaakt van middelen waarmee datasubjecten op de hoogte kunnen blijven van het gebruik van de door hen beschikbaar gestelde gegevens. Registratie als een erkende organisatie voor data-altruïsme mag geen voorwaarde zijn voor het uitvoeren van activiteiten in verband met data-altruïsme. De Commissie moet in nauwe samenwerking met organisaties voor data-altruïsme en belanghebbenden door middel van gedelegeerde handelingen een rulebook voorbereiden. Naleving van dat rulebook moet een vereiste voor registratie als erkende organisatie voor data-altruïsme zijn.

Om datasubjecten en gegevenshouders te helpen om erkende organisaties voor data-altruïsme eenvoudig te identificeren en aldus hun vertrouwen in die organisaties te vergroten, moet er een gemeenschappelijk logo worden ingevoerd dat in de hele Unie herkenbaar is. Het gemeenschappelijke logo moet vergezeld gaan van een QR-code met een link naar het openbaar Unieregister van erkende organisaties voor data-altruïsme.

Deze verordening mag geen afbreuk doen aan de oprichting, organisatie en werking van entiteiten die op grond van het nationale recht aan data-altruïsme wensen te doen en moet voortbouwen op de nationale wettelijke vereisten om rechtmatig in een lidstaat te werken als een organisatie zonder winstoogmerk.

Deze verordening mag geen afbreuk doen aan de oprichting, organisatie en werking van andere entiteiten dan openbare lichamen die zich bezighouden met het delen van gegevens en inhoud op basis van open licenties en aldus bijdragen tot de totstandbrenging van voor iedereen beschikbare gemeenschappelijke bronnen. Dat moet open samenwerkingsplatformen voor het delen van kennis, wetenschappelijke en academische openaccessdatabanken, platformen voor de ontwikkeling van opensourcesoftware, en openaccessplatformen voor het verzamelen van inhoud omvatten.

Erkende organisaties voor data-altruïsme moeten relevante gegevens rechtstreeks bij natuurlijke en rechtspersonen kunnen verzamelen of door anderen verzamelde gegevens kunnen verwerken. Verzamelde gegevens kunnen door organisaties voor data-altruïsme worden verwerkt voor doeleinden die zij zelf bepalen, of zij kunnen, indien relevant, derden toelating geven om gegevens te verwerken voor die doeleinden. Erkende organisaties voor data-altruïsme die verwerkingsverantwoordelijken of verwerkers als gedefinieerd in Verordening (EU) 2016/679 zijn, moeten die verordening naleven. Data-altruïsme berust doorgaans op de toestemming van datasubjecten in de zin van artikel 6, lid 1, punt a), en artikel 9, lid 2), punt a), van Verordening (EU) 2016/679, waarbij moet worden voldaan aan de vereisten voor rechtmatige toestemming overeenkomstig de artikelen 7 en 8 van die verordening. Overeenkomstig Verordening (EU) 2016/679 kan wetenschappelijk onderzoek worden ondersteund door toestemming voor bepaalde onderzoeksgebieden indien erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen, of alleen door toestemming voor specifieke onderzoeksgebieden of delen van onderzoeksprojecten. In artikel 5, lid 1, punt b), van Verordening (EU) 2016/679 is bepaald dat verdere verwerking met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, van die verordening niet als onverenigbaar met de oorspronkelijke doeleinden wordt beschouwd. Voor niet-persoonsgebonden gegevens moeten de gebruiksbeperkingen worden vermeld bij het verlenen van toelating door de gegevenshouder.

De voor registratie van organisaties voor data-altruïsme bevoegde autoriteiten die zijn aangewezen om toezicht te houden op de naleving van de vereisten van deze verordening door erkende organisaties voor data-altruïsme, moeten worden gekozen op basis van hun capaciteit en deskundigheid. Zij moeten zowel onafhankelijk van enige organisatie voor data-altruïsme zijn als transparant en onpartijdig bij de uitoefening van hun taken. De lidstaten moeten de Commissie in kennis stellen van de identiteit van de voor registratie van organisaties voor data-altruïsme bevoegde autoriteiten. De bevoegdheden van de voor registratie van organisaties voor data-altruïsme bevoegde autoriteiten mogen geen afbreuk doen aan de bevoegdheden van de gegevensbeschermingsautoriteiten. Met name voor elke kwestie die beoordeling van de naleving van Verordening (EU) 2016/679 vereist, dient de voor registratie van organisaties voor data-altruïsme bevoegde autoriteit, indien relevant, een advies of besluit te vragen van de op grond van die verordening opgerichte bevoegde toezichthoudende autoriteit.

Om het vertrouwen te bevorderen en extra rechtszekerheid en gebruikersvriendelijkheid te bieden bij het proces inzake het verlenen en intrekken van toestemming, met name in het kader van wetenschappelijk onderzoek en statistisch gebruik van gegevens die uit altruïsme beschikbaar worden gesteld, moet een Europees toestemmingsformulier voor data-altruïsme worden ontwikkeld en gebruikt in de context van het altruïstisch delen van gegevens. Dat formulier moet datasubjecten meer transparantie verschaffen over het feit dat hun gegevens zullen worden geraadpleegd en gebruikt in overeenstemming met hun toestemming en met volledige inachtneming van de regels inzake gegevensbescherming. Het formulier moet ook het verlenen en intrekken van toestemming faciliteren en worden gebruikt om het data-altruïsme van ondernemingen te stroomlijnen en die ondernemingen een mechanisme te bieden om hun toelating tot het gebruik van de gegevens in te trekken. Om rekening te houden met de specifieke kenmerken van individuele sectoren, ook vanuit het oogpunt van gegevensbescherming, moet het Europees toestemmingsformulier voor data-altruïsme gebruikmaken van een modulaire benadering, zodat het specifiek kan worden afgestemd op bepaalde sectoren of op verschillende doeleinden.

Om de invoering van het datagovernancekader te doen slagen, moet een Europees Comité voor gegevensinnovatie worden opgericht, in de vorm van een deskundigengroep. Het Europees Comité voor gegevensinnovatie moet bestaan uit vertegenwoordigers van de voor databemiddelingsdiensten bevoegde autoriteiten en de voor registratie van organisaties voor data-altruïsme bevoegde autoriteiten van alle lidstaten, het Europees Comité voor gegevensbescherming, de Europese Toezichthouder voor gegevensbescherming, het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), de Commissie, de kmo-gezant van de EU of een door het netwerk van kmo-gezanten aangewezen vertegenwoordiger, en andere vertegenwoordigers van relevante organen in specifieke sectoren en organen met specifieke deskundigheid. Het Europees Comité voor gegevensinnovatie moet bestaan uit een aantal subgroepen, met inbegrip van een subgroep voor de betrokkenheid van belanghebbenden die bestaat uit relevante vertegenwoordigers van het bedrijfsleven, zoals gezondheid, milieu, landbouw, vervoer, energie, industriële productie, media, culturele en creatieve sectoren en statistiek, en van de onderzoekswereld, de academische wereld, maatschappelijke organisaties, organisaties voor normalisatie en relevante gemeenschappelijke Europese gegevensruimten, en uit andere relevante belanghebbenden en derden, onder meer instanties met specifieke deskundigheid zoals nationale bureaus voor de statistiek.

Het Europees Comité voor gegevensinnovatie moet de Commissie bijstaan bij de coördinatie van nationale praktijken en beleidsmaatregelen met betrekking tot de onderwerpen die onder deze verordening vallen, en bij de bevordering van sectoroverschrijdend gegevensgebruik door toepassing van de beginselen van het Europees interoperabiliteitskader (EIF) en door gebruik van Europese en internationale normen en specificaties, onder meer via het EU-multistakeholdersplatform inzake ICT-normalisatie, de Core Vocabularies en de CEF-bouwstenen, en moet rekening houden met lopende normalisatiewerkzaamheden in specifieke sectoren of domeinen. De technische normalisatiewerkzaamheden kunnen betrekking hebben op het bepalen van prioriteiten voor de ontwikkeling van normen en op de vaststelling en instandhouding van een reeks technische en wettelijke normen voor de overdracht van gegevens tussen twee verwerkingsomgevingen die het mogelijk maken gegevensruimten te organiseren, met name door te verduidelijken en te bepalen welke normen en praktijken sectoroverschrijdend en welke sectorspecifiek zijn. Het Europees Comité voor gegevensinnovatie moet samenwerken met sectorale organen, netwerken of deskundigengroepen of met andere sectoroverschrijdende organisaties die zich bezighouden met het hergebruik van gegevens. Wat data-altruïsme betreft, moet het Europees Comité voor gegevensinnovatie de Commissie bijstaan bij de ontwikkeling van het toestemmingsformulier voor data-altruïsme, na overleg met het Europees Comité voor gegevensbescherming. Het Europees Comité voor gegevensinnovatie moet, in overeenstemming met de Europese datastrategie, de ontwikkeling van een goed functionerende, op gemeenschappelijke Europese gegevensruimten gebaseerde Europese data-economie ondersteunen door richtsnoeren voor die gegevensruimten voor te stellen.

De lidstaten moeten voorschriften vaststellen inzake de sancties die van toepassing zijn op inbreuken op deze verordening en alle nodige maatregelen nemen om ervoor te zorgen dat zij worden uitgevoerd. Die sancties moeten doeltreffend, evenredig en afschrikkend zijn. Grote verschillen tussen de sanctieregels kunnen leiden tot concurrentieverstoring op de digitale eengemaakte markt. De harmonisatie van dergelijke regels kan in dat opzicht nuttig zijn.

Om ervoor te zorgen dat deze verordening doeltreffend wordt gehandhaafd en aanbieders van databemiddelingsdiensten en entiteiten die zich willen registreren als erkende organisatie voor data-altruïsme de hele aanmeldings- en registratieprocedures online kunnen opzoeken en doorlopen, ongeacht het land waar ze zich bevinden, moeten die procedures worden aangeboden via de digitale toegangspoort die is opgezet op grond van Verordening (EU) 2018/1724 van het Europees Parlement en de Raad (29). Die procedures moeten worden toegevoegd aan de lijst van procedures in bijlage II bij Verordening (EU) 2018/1724.

Verordening (EU) 2018/1724 moet daarom dienovereenkomstig worden gewijzigd.

Teneinde de doeltreffendheid van deze verordening te waarborgen, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen teneinde deze verordening aan te vullen door bijzondere voorwaarden op te leggen voor de doorgifte aan derde landen van bepaalde niet-persoonsgebonden gegevens die in specifieke volgens een wetgevingsprocedure vastgestelde handelingen van de Unie als zeer gevoelig worden beschouwd, en door een reglement op te stellen voor erkende organisaties voor data-altruïsme met daarin informatie, technische en beveiligingsvereisten, en stappenplannen voor communicatie en interoperabiliteitsnormen die die organisaties in acht moeten nemen. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven(30). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van gedelegeerde handelingen.

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend teneinde openbare lichamen en hergebruikers te helpen aan de in deze verordening vervatte voorwaarden voor hergebruik te voldoen door contractuele modelbepalingen op te stellen voor het doorgeven door hergebruikers van niet-persoonsgebonden gegevens aan een derde land, teneinde de juridische, toezichts- en handhavingsregelingen van een derde land als gelijkwaardig aan de uit hoofde van het Unierecht geboden bescherming te verklaren, teneinde het ontwerp voor het gemeenschappelijke logo voor aanbieders van databemiddelingsdiensten en voor het gemeenschappelijke logo voor erkende organisaties voor data-altruïsme te ontwikkelen, en teneinde het Europees toestemmingsformulier voor data-altruïsme vast te stellen en te ontwikkelen. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (31).

Deze verordening mag geen afbreuk doen aan de toepassing van de regels inzake mededinging, en met name de artikelen 101 en 102 VWEU. De in deze verordening vervatte maatregelen mogen niet worden gebruikt om de mededinging te beperken op een wijze die strijdig is met het VWEU. Dat betreft met name de regels voor de uitwisseling van concurrentiegevoelige informatie tussen bestaande of potentiële concurrenten via databemiddelingsdiensten.

De Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming werden geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725, en hebben op 10 maart 2021 hun advies uitgebracht.

Deze verordening heeft als leidende beginselen de eerbiediging van de grondrechten en de beginselen die met name zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie, met inbegrip van het recht op eerbiediging van het privéleven, de bescherming van persoonsgegevens, de vrijheid van ondernemerschap, het recht op eigendom en de integratie van personen met een handicap. De openbare lichamen en diensten uit hoofde van deze verordening moeten in verband met dat laatstgenoemde recht, waar relevant, de Richtlijnen (EU) 2016/2102 (32) en (EU) 2019/882 (33) van het Europees Parlement en de Raad in acht nemen. Verder moet bij informatie- en communicatietechnologie rekening worden gehouden met universeel ontwerp, hetgeen betekent dat er bewust en systematisch moet worden getracht beginselen, methoden en hulpmiddelen ter bevordering van universeel ontwerp in computergerelateerde technologieën, waaronder internettechnologieën, proactief toe te passen, zodat er geen aanpassingen achteraf of aangepaste ontwerpen nodig zijn.

Daar de doelstellingen van deze verordening, te weten het hergebruik binnen de Unie van bepaalde categorieën gegevens die in het bezit zijn van openbare lichamen en de vaststelling van een aanmeldings- en toezichtskader voor de verstrekking van databemiddelingsdiensten, een kader voor de vrijwillige registratie van entiteiten die voor altruïstische doeleinden gegevens beschikbaar stellen en een kader voor de oprichting van een Europees Comité voor gegevensinnovatie, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang en de gevolgen ervan beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstellingen te verwezenlijken,