DOI: 10.5553/MenM/138762362022025004002

Markt & MededingingAccess_open

Artikel

‘The good, the bad and the ugly’ van het nieuwe recht op toegang tot data in de Dataverordening

Trefwoorden Internet of Things, datamarkten, dataportabiliteit, gegevensbescherming, toezicht
Auteurs
DOI
Toon PDF Toon volledige grootte
Auteursinformatie Statistiek Citeerwijze
Dit artikel is keer geraadpleegd.
Dit artikel is 0 keer gedownload.
Aanbevolen citeerwijze bij dit artikel
Inge Graef, '‘The good, the bad and the ugly’ van het nieuwe recht op toegang tot data in de Dataverordening', M&M 2022-4, p. 117-122

Dit artikel wordt geciteerd in

    • Achtergrond en doelstellingen van de Dataverordening

      De Europese Commissie kondigde het voorstel voor de Dataverordening1x Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening), 23 februari 2022, COM(2022)68 def. (hierna: voorgestelde Dataverordening). in haar persbericht uit februari 2022 groots aan als ‘laatste horizontale bouwsteen van de datastrategie [die] een sleutelrol [zal] spelen in de digitale transformatie’.2x Persbericht Europese Commissie, ‘Dataverordening: Commissie komt met maatregelen voor een eerlijke en innovatieve data-economie’, 23 februari 2022, beschikbaar via https://ec.europa.eu/commission/presscorner/detail/nl/ip_22_1113. Het betreft een gezamenlijk initiatief van Eurocommissarissen Vestager, verantwoordelijk voor het mededingings- en digitale beleid, en Breton, verantwoordelijk voor het internemarktbeleid. De bepalingen van het voorstel brengen inderdaad een mengeling van overwegingen samen gerelateerd aan zowel concurrentie, empowerment van digitale gebruikers als marktintegratie.
      De nieuwe maatregelen die het voorstel introduceert, zijn te verdelen in een aantal pijlers, waaronder een recht op toegang tot door gebruikers (zowel consumenten als zakelijke gebruikers)3x Art. 2 onder 5 voorgestelde Dataverordening definieert een gebruiker als ‘een natuurlijke of rechtspersoon die een product in eigendom heeft, huurt of leaset of een dienst ontvangt’. gegenereerde data (art. 3-7), een reeks minimale wettelijke verplichtingen voor aanbieders van clouddataverwerkingsdiensten4x Art. 2 onder 12 voorgestelde Dataverordening definieert een dataverwerkingsdienst als ‘een andere digitale dienst dan een online-inhoudsdienst als gedefinieerd in artikel 2, lid 5, van Verordening (EU) 2017/1128, die aan een klant wordt aangeboden en die administratie op aanvraag en brede toegang op afstand tot een schaalbare en elastische pool van gedeelde computercapaciteit van gecentraliseerde, gedistribueerde of sterk gedistribueerde aard mogelijk maakt’. om klanten soepel te laten overstappen naar een andere aanbieder (art. 23-26) en een verplichting voor datahouders om data beschikbaar te stellen aan overheids­instanties op grond van uitzonderlijke noodzaak (art. 14-22).5x Deze opsomming is niet exhaustief. Andere belangrijke pijlers van de Dataverordening zijn de horizontale verplichtingen voor datahouders die wettelijk verplicht zijn om data beschikbaar te stellen (art. 8-13 en 30), bepalingen over internationale toegang en overdracht van niet-persoonsgebonden data (art. 27) en over interoperabiliteit (art. 28 en 29) en de uitsluiting van bescherming onder het sui generis databankenrecht van data die zijn verkregen uit of gegenereerd door het gebruik van een product of een gerelateerde dienst (art. 35).
      De Dataverordening bouwt voort op de Datagovern­anceverordening6x Verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening) (PbEU 2022, L 152/1). die in mei 2022 door de EU-wetgever is aangenomen. De Datagovernanceverordening voert regels in voor het hergebruik van bepaalde soorten data die in het bezit zijn van openbare lichamen en die normaliter niet toegankelijk zijn vanwege beperkingen op het gebied van vertrouwelijkheid, intellectuele-eigendomsbescherming en bescherming van persoonsgegevens. Ook bevat de Datagovernanceverordening eisen voor aanbieders van databemiddelingsdiensten (tussenpersonen die houders van data samenbrengen met mogelijke gebruikers)7x Art. 2 onder 11 Datagovernanceverordening definieert databemiddelingsdienst als ‘een dienst die gericht is op het tot stand brengen van commerciële relaties met het oog op het delen van gegevens tussen een onbepaald aantal datasubjecten en gegevenshouders enerzijds en gegevensgebruikers anderzijds, door middel van technische, juridische of andere middelen, onder meer voor de uitoefening van de rechten van datasubjecten met betrekking tot persoonsgegevens’. en regels omtrent data-altruïsme (het vrijwillig en zonder vergoeding delen van gegevens voor doelen van algemeen belang).8x Art. 2 onder 16 Datagovernanceverordening definieert data-altruïsme als ‘het vrijwillig delen van gegevens op basis van de toestemming van datasubjecten om persoonsgegevens die op hen betrekking hebben te verwerken, of op basis van de toelating van gegevenshouders om hun niet-persoonsgebonden gegevens te gebruiken zonder een vergoeding te vragen of te ontvangen die verder gaat dan vergoeding van de kosten die zij maken indien zij hun gegevens beschikbaar stellen voor doeleinden van algemeen belang zoals in voorkomend geval bepaald in het nationale recht, zoals gezondheidszorg, de strijd tegen klimaatverandering, verbetering van mobiliteit, facilitering van de ontwikkeling, productie en verspreiding van officiële statistieken, verbetering van openbare diensten, openbare besluitvorming of wetenschappelijk onderzoek in het algemeen belang’.
      Zowel de voorgestelde Dataverordening als de al aangenomen Datagovernanceverordening komt voort uit de mededeling ‘Een Europese datastrategie’ uit 2020 waarin de Commissie al liet blijken verschillende initiatieven te verkennen om het delen van data verder te bevorderen om zo innovatie en economische groei mogelijk te maken.9x Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s ‘Een Europese datastrategie’, 19 februari 2020, COM(2020)66 def. Naast wetgevingsinitiatieven met een algemener toepassingsgebied, zoals de Datagovernanceverordening en de Dataverordening, verwees de Commissie in haar mededeling naar de oprichting van ‘gemeenschappelijke Europese dataruimten’ in strategische sectoren zoals energie, mobiliteit, landbouw en financiën. In deze context heeft de Commissie inmiddels in mei 2022 haar voorstel voor een Verordening voor de Europese ruimte voor gezondheidsgegevens gepubliceerd.10x Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de Europese ruimte voor gezondheidsgegevens, 3 mei 2022, COM(2022)197 def. Wetsvoorstellen voor andere sectorspecifieke Europese dataruimten zullen later volgen.
      Buiten de Europese datastrategie om heeft de Europese wetgever ook andere wetgeving aangenomen, zoals de Wet inzake digitale markten11x Voorstel voor een Verordening van het Europees Parlement en de Raad over betwistbare en eerlijke markten in de digitale sector (Wet inzake ­digitale markten), 15 december 2020, COM(2020)842 def. en de Wet inzake digitale diensten12x Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende een eengemaakte markt voor digitale diensten (Wet inzake digitale diensten) en tot wijziging van Richtlijn 2000/31/EG, 15 december 2020, COM(2020)825 def. die meer specifiek zien op de macht van digitale platforms en zorgen aanpakken die verder gaan dan aan data gerelateerde problemen. Dit artikel richt zich op het recht op toegang tot door gebruikers gegenereerde data uit de voorgestelde Dataverordening, dat een meer horizontale reikwijdte heeft dat digitale platforms maar ook andere diensten binnen het ‘Internet of Things’ omvat. De voorgestelde Dataverordening voert hierbij voor het eerst een algemener recht op toegang tot data in voor zowel consumenten als zakelijke gebruikers dat persoonsgegevens alsook niet-persoonsgegevens kan behelzen. De centrale vraag hierbij is in hoeverre dit nieuwe recht in zijn huidige vorm kan bijdragen aan de doelen die de Commissie in haar persbericht noemt, namelijk ‘een eerlijke digitale omgeving creëren, een concurrerende datamarkt stimuleren, datagestuurde innovatie mogelijk maken en data toegankelijker maken voor iedereen’.13x Persbericht Europese Commissie, ‘Dataverordening: Commissie komt met maatregelen voor een eerlijke en innovatieve data-economie’, 23 februari 2022. Tegen deze achtergrond bespreek ik in deze bijdrage een aantal concrete aspecten van het voorstel aan de hand van drie categorieën die naar mijn oordeel onderscheiden kunnen worden:

      • ‘the good’: bepalingen uit de voorgestelde Dataverordening die in de definitieve tekst gehandhaafd moeten blijven, omdat ze een goede aanvulling vormen op het bestaande regelgevingskader en een goed evenwicht bereiken tussen de verschillende belangen waardoor ze bijdragen aan het bereiken van de doelstellingen van de Dataverordening en de Europese datastrategie;

      • ‘the bad’: bepalingen uit de voorgestelde Dataverordening die roepen om aanpassingen in de definitieve tekst of om aanvullingen in nieuwe sectorspecifieke wetgeving, omdat de doelstellingen van de Dataverordening of van de Europese datastrategie anders wellicht niet of niet voldoende bereikt kunnen worden; en

      • ‘the ugly’: bepalingen uit de voorgestelde Dataverordening waarvoor extra uitleg welkom is in de definitieve tekst, omdat ze vanwege de huidige open formuleringen zo’n mate van vrijheid laten aan marktspelers of lidstaten dat de implementatie onzeker wordt en daarmee ook twijfel rijst over de vraag of de Dataverordening haar doelstellingen kan bereiken.

    • ‘The good’

      Het recht op toegang tot door gebruikers gegenereerde data richt zich vooral op het ‘Internet of Things’, waar fabrikanten van smart devices in staat zijn om de toegang tot en overdracht van data te beperken door middel van technische restricties in het ontwerp van producten en diensten. Hierdoor kunnen zowel consumenten als zakelijke gebruikers vaak niet de data verkrijgen die nodig zijn om reparatie- en aanvullende diensten van andere aanbieders te benutten.14x Zie ook overweging 19 voorgestelde Dataverordening. Om deze reden stelt artikel 3 dat producten zodanig ontworpen en vervaardigd moeten worden dat de door het gebruik ervan gegenereerde data standaard toegankelijk zijn voor de gebruiker. Wanneer de gebruiker geen rechtstreekse toegang heeft tot de data via het product, dient de datahouder overeenkomstig artikel 4 de data die door het gebruik van een product of een gerelateerde dienst worden gegenereerd onverwijld, kosteloos en, waar relevant, continu en in realtime ter beschikking te stellen van de gebruiker. Daarnaast bepaalt artikel 5 dat de datahouder op verzoek of namens de gebruiker deze data ter beschikking dient te stellen aan een derde partij. Dit dient onverwijld en zonder kosten voor de gebruiker te gebeuren met dezelfde kwaliteit als die waarover de datahouder beschikt en, waar relevant, continu en in realtime. Door te bepalen dat de data beschikbaar gesteld moeten worden met dezelfde kwaliteit als die waarover de datahouder beschikt, wil de voorgestelde Dataverordening garanderen dat de verkregen data ook voor gebruikers en derden bruikbaar zijn.
      Deze bepalingen vormen een welkome aanvulling op het al bestaande recht op dataportabiliteit uit de Algemene verordening gegevensbescherming (AVG).15x Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming) (PbEU 2016, L 119/1). Artikel 20 AVG staat individuen toe hun persoonsgegevens die ze aan een aanbieder hebben verstrekt over te dragen aan een andere aanbieder. Het recht op toegang tot data uit de Dataverordening gaat verder wat betreft het soort data en de kring van begunstigden, doordat het zich niet beperkt tot persoonsgegevens en individuen maar ook van toepassing is op niet-persoonsgegevens en zakelijke gebruikers. Ook stelt de Dataverordening uitdrukkelijk dat toegang tot data continu en in realtime mogelijk moet zijn, terwijl er onduidelijkheid heerst over de vraag of het recht op dataportabiliteit uit de AVG zo geïnterpreteerd kan worden dat aanbieders naast het faciliteren van een eenmalige overdracht van persoonsgegevens ook moeten zorgen voor toegang op een doorlopende en realtime-basis.16x Zie bijvoorbeeld het expertrapport uit 2019 van J. Crémer, Y.-A. de Montjoye & H. Schweitzer, ‘Competition Policy for the Digital Era’, p. 81-82, beschikbaar via https://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf.
      Een ander sterk punt van de bepalingen over toegang tot door gebruikers genereerde data uit de Dataverordening is de uitsluiting van poortwachters op grond van de Wet inzake digitale markten als derde partijen die toegang kunnen krijgen tot data, zoals artikel 5 lid 2 Dataverordening bepaalt. De uitsluiting van poortwachters als begunstigden kan zorgen voorkomen die eerder zijn geuit naar aanleiding van de inwerkingtreding van de herziene Richtlijn betaaldiensten.17x Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (herziene Richtlijn betaaldiensten) (PbEU 2015, L 337/35). Deze richtlijn heeft tot doel diensten van opkomende FinTech-ondernemingen te stimuleren door hun toegang te geven tot de gegevens en infrastructuur van banken, maar stelt ongewild ook de Big Techs in staat om van die toegang gebruik te maken om zo het bereik van hun diensten te verbreden tot financiële markten.18x Zie M. de la Mano & J. Padilla, ‘Big tech banking’, Journal of Competition Law & Economics 2019, nr. 4, p. 494-526. Dit neveneffect was ten tijde van het opstellen van de herziene Richtlijn betaaldiensten niet voorzien. Hoewel het vaststaat dat techbedrijven waardevolle diensten aanbieden, is er steeds meer consensus dat hun groei en controle over markten beteugeld moet worden vanwege zorgen over concurrentie, privacy maar ook het waarborgen van een democratische rechtsstaat.19x Deze zorgen vormen bijvoorbeeld de onderliggende motivatie voor de Wet inzake digitale markten en de Wet inzake digitale diensten. Door poortwachters uit te sluiten als begunstigden van het recht op toegang tot data voorkomt de Dataverordening dat soortgelijke risico’s als bij de herziene Richtlijn betaaldiensten zich nu opnieuw voordoen.
      Net als bij de herziene Richtlijn betaaldiensten wil de voorgestelde Dataverordening vooral start-ups, kleine en middelgrote ondernemingen en bedrijven met minder ontwikkelde digitale mogelijkheden helpen om toegang te krijgen tot relevante data. Door poortwachters eenzelfde toegang te geven tot data zou de bestaande asymmetrie in de toegang tot data niet aangepakt worden, maar zouden poortwachters hun positie met betrekking tot de accumulatie en aggregatie van data zelfs nog verder kunnen versterken. Zoals de overwegingen van de voorgestelde Dataverordening stellen, zou het

      ‘gezien het ongeëvenaarde vermogen van deze ondernemingen om data te verkrijgen, (…) niet nodig zijn om de doelstelling van deze verordening te verwezenlijken, en zou het derhalve onevenredig zijn om datahouders te verplichten om dergelijke poortwachterondernemingen op te nemen als begunstigden van het recht op toegang tot data’.20x Overweging 36 voorgestelde Dataverordening.

      Wel dient hierbij aangetekend te worden dat de Dataverordening poortwachters niet belet om data op andere legale wijze te verkrijgen,21x Zie overweging 36 voorgestelde Dataverordening. bijvoorbeeld door middel van het – wel minder doeltreffende – recht op dataportabiliteit onder de AVG als het gaat om persoonsgegevens van individuen. Overigens kunnen gebruikers hun recht op toegang tot data uit de voorgestelde Dataverordening wel inroepen tegen poortwachters; poortwachters zijn alleen uitgesloten als begunstigden, niet als normadressaten van het recht op toegang tot data uit de Dataverordening.

    • ‘The bad’

      Uit de voorgaande discussie volgt dat het recht op toegang tot data uit de Dataverordening zich beperkt tot het delen van door gebruikers gegenereerde data op verzoek van de gebruiker. De bepalingen voorzien niet in rechten of verplichtingen om het rechtstreeks delen van data tussen bedrijven mogelijk te maken. De focus van de Dataverordening ligt op empowerment van gebruikers, zodat zij de volledige controle hebben over het delen van data gegeneerd door hun gebruik van producten of diensten. Vanuit het oogpunt van het stimuleren van een concurrerende datamarkt, een van de doelen die de Commissie in haar persbericht noemt, is dit een opvallende beperking van de reikwijdte van de Dataverordening. De uitwerking van het recht op toegang tot data op concurrentie hangt zo immers af van hoe actief gebruikers hun recht gaan inroepen. Dit kan afhangen van de waarde die gebruikers toedichten aan data, maar vooral van het feit of zij andere diensten willen gaan gebruiken met de data die zij bij een eerdere aanbieder hebben gegenereerd.
      Hetzelfde geldt voor het al bestaande recht op dataportabiliteit uit de AVG, dat individuen al toestaat om hun persoonsgegevens te verkrijgen van een aanbieder en die over te brengen naar een andere aanbieder.22x Art. 20 voorgestelde Dataverordening. Het verwachte en gewenste effect van het recht op dataportabiliteit uit de AVG op concurrentie en innovatie blijft door het – tot zo ver – beperkte gebruik door individuen nog uit.23x Zie de discussie in J. Krämer, P. Senellart & A. de Streel, ‘Making data ­portability more effective for the digital economy: economic implications and regulatory challenges’, CERRE-rapport juni 2020, beschikbaar via https://cerre.eu/wp-content/uploads/2020/07/cerre_making_data_portability_more_effective_for_the_digital_economy_june2020.pdf. Het ligt niet voor de hand dat de definitieve tekst van de Dataverordening het rechtstreeks delen van data mogelijk maakt zonder tussenkomst van de gebruiker, aangezien het een uitdrukkelijke keuze van de Commissie lijkt om de gebruiker centraal te stellen. Hoewel deze keuze begrijpelijk is, wordt hiermee de verantwoordelijkheid voor het creëren van open en innovatieve datamarkten in de schoot van gebruikers geworpen van wie niet verwacht kan worden dat zij naast hun eigen belangen ook de belangen van data-economie in het oog houden. Aangezien gebruikers de externe effecten van het uitwisselen van data doorgaans niet zullen meenemen in hun beslissing om het recht op toegang tot data al dan niet in te roepen, is het onwaarschijnlijk dat er op basis van de acties van gebruikers alleen al genoeg uitwisseling van data is om het gewenste niveau van openheid, concurrentie en innovatie in de data-economie te bereiken.
      Het mededingingsrecht kan in specifieke gevallen ingezet worden om toegang te krijgen tot data,24x Zie hierover een eerdere bijdrage in dit tijdschrift: E. van Damme, I. Graef & W. Sauter, ‘Machtsmisbruik op basis van big data’, M&M 2018/3. maar het is onwaarschijnlijk dat de per geval- en ex post-benadering van mededingingshandhaving voldoet om de ambitieuze doelstellingen van de Commissie uit haar Europese datastrategie te bereiken. Deze doelstellingen gaan immers verder dan scenario’s met aantoonbare concurrentieproblemen, bijvoorbeeld gerelateerd aan gedrag van bedrijven die over een economische machtspositie beschikken of kwalificeren als een poortwachter onder de Wet inzake digitale markten25x Art. 3 lid 1 en 2 Wet inzake digitale markten. die ook een aantal verplichtingen wat betreft toegang tot data oplegt. De keuze om het recht op toegang tot data uit de Dataverordening te beperken tot situaties waarin de gebruiker actie onderneemt laat zien dat verdere aanvullingen welkom zijn om het doel van een concurrerende datamarkt te bereiken, bijvoorbeeld in de vorm van toekomstige sectorspecifieke wetgeving tot oprichting van Europese dataruimten. Het voordeel van rechtstreekse verplichtingen tot het delen van data tussen bedrijven op basis van het mededingingsrecht of mogelijke nieuwe sectorspecifieke regulering is dat de concurrentie op een effectievere manier gewaarborgd kan worden, aangezien het uitwisselen van data dan niet meer afhankelijk is van de vraag of een voldoende grote groep gebruikers zijn recht op toegang tot data ook daadwerkelijk gaat inroepen.
      Een andere eigenaardigheid van het recht op toegang tot data uit de Dataverordening is het niet-concurrentiebeding uit artikel 4 lid 4 en artikel 6 lid 2 onder e dat gebruikers en derden niet toestaat de verkregen data te gebruiken om een product te ontwikkelen dat concurreert met het product waaruit de ontvangen data afkomstig zijn. Wel staat het gebruikers en derden vrij om de ontvangen data te gebruiken om concurrerende diensten te ontwikkelen. De Commissie legt uit dat ze de stimulans om te investeren in producten met functionaliteiten voor het verzamelen van data wil behouden en tegelijkertijd de ontwikkeling van nieuwe, innovatieve producten en aftermarket-diensten wil bevorderen.26x Zie overweging 28 voorgestelde Dataverordening. Daarom is ervoor gekozen gebruikers en derden niet toe te staan producten te ontwikkelen die concurreren met het product waarvan de data via de Dataverordening zijn verkregen. Met andere woorden, de Dataverordening verhindert de imitatie van producten die aan de basis liggen van de dataverzameling, terwijl de concurrentie voor nieuwe producten (gedefineerd als producten die niet concurreren met het product waaruit de data afkomstig zijn) en voor alle diensten – concurrerend of niet – wordt opengelaten. Zo kan een derde die via de gebruiker data gegenereerd door diens slimme koelkast heeft verkregen deze data niet gebruiken om een concurrerende koelkast met sensoren op de markt te brengen. Wel mag de derde partij de data gebruiken om reparatie- of onderhoudsdiensten aan te bieden, ook al concurreert de derde hiermee met diensten die de fabrikant van de koelkast zelf ook aanbiedt.
      Het verbod op het ontwikkelen van concurrerende producten komt voort uit goede intenties maar creëert tegelijkertijd een risico op ongewenste neveneffecten die de ontwikkeling van datamarkten kunnen afremmen, terwijl de Dataverordening juist tot doel heeft concurrentie en innovatie te stimuleren. In de praktijk zullen er grensgevallen zijn waar vragen rijzen over wanneer een product zo nieuw is dat het volgens de Dataverordening niet langer gezien kan worden als concurrerend met het product waaruit de data afkomstig zijn. Verder moet opgemerkt worden dat derden ook concurrerende producten kunnen introduceren zonder gebruik te maken van de op grond van de Dataverordening verkregen data. Voorkomen moet worden dat derden onnodig terugschrikken om concurrerende producten te introduceren, omdat ze bang zijn het niet-concurrentiebeding van de Dataverordening te overtreden. Zo zou het niet-concurrentiebeding een onbedoeld beperkend effect kunnen hebben op concurrentie tussen producten die gebruikt worden voor het verzamelen van data, ook in gevallen die buiten de Dataverordening vallen.27x Zie I. Graef & M. Husovec, ‘Seven Things to Improve in the Data Act’, SSRN working paper maart 2022, beschikbaar via https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4051793. Het is de vraag of het niet-concurrentiebeding nodig is om de stimulans te behouden voor investeringen in producten die data verzamelen. Er zijn geen signalen die wijzen op een gevreesde afname in nieuwe investeringen in sensors of smart devices als het derden zou worden toegestaan om concurrerende producten te ontwikkelen met de data die zij door middel van de Dataverordening hebben verkregen.28x Zie ook W. Kerber, ‘Governance of IoT Data: Why the EU Data Act will not fulfill its objectives’, SSRN working paper april 2022, p. 16-18, beschikbaar via https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4080436. Eerder discussies over het creëren van een mogelijk eigendomsrecht op niet-persoonsgegevens hebben laten zien dat een eventuele parallel met de noodzaak tot exclusiviteit onder het intellectuele-eigendomsrecht niet gemaakt kan worden, omdat er geen gebrek aan prikkels is om data te verzamelen.29x W. Kerber, ‘A New (Intellectual) Property Right for Non-Personal Data? An Economic Analysis’, GRUR International 2016, p. 989-999. Vanwege het risico op rechtsonzekerheid en ongewenste neven­effecten lijkt er daarom geen reden om vast te houden aan het niet-concurrentiebeding.

    • ‘The ugly’

      Wat duidelijk naar voren komt uit de manier waarop de bepalingen uit de Dataverordening zijn geformuleerd is dat de belangen van de oorspronkelijke datahouder en die van derden tegen elkaar zijn afgewogen. De Dataverordening wil het uitwisselen van data stimuleren, maar stelt ook voorwaarden aan het delen van data. Zo moet er een overeenkomst gesloten worden tussen de datahouder en de derde partij om vertrouwelijkheid te waarborgen als de te delen data bedrijfsgeheimen bevatten.30x Art. 5 lid 8 voorgestelde Dataverordening. Ook moet er een geldige rechtsgrondslag bestaan onder de AVG als de datahouder persoonsgegevens ter beschikking stelt aan een derde en mag het delen van data geen afbreuk doen aan het recht op gegevensbescherming van anderen.31x Art. 5 lid 6 en 9 voorgestelde Dataverordening. Hoewel dit logische voorwaarden zijn die naleving van andere regimes beogen te garanderen, laat de Dataverordening hierbij wel veel afhangen van de uitkomst van contractonderhandelingen tussen de datahouder en de derde. Net als bij de intellectuele-eigendomsgeschillen over FRAND-licenties tot standaard-essentiële octrooien, kunnen hier ook ingewikkelde kwesties verwacht worden. Artikel 6 lid 7 voorziet zelfs uitdrukkelijk in de mogelijkheid van ‘verzuim van de datahouder en de derde partij om regelingen voor het doorgeven van de data overeen te komen’. Zulk verzuim mag volgens diezelfde bepaling niet tot gevolg hebben dat de uitoefening van het recht op dataportabiliteit uit artikel 20 AVG wordt belemmerd.
      Terwijl de Dataverordening dus een nieuw recht op toegang tot data introduceert, wordt de concrete inhoud van dat recht op belangrijke punten opengelaten om ingevuld te worden door overeenkomsten die datahouders met derden moeten sluiten. Om uitsluitsel te geven over wiens belang voorrang zou moeten krijgen in twijfelgevallen of vastgelopen onderhandelingen, had de Dataverordening een duidelijkere beleidskeuze naar voren kunnen laten komen in de bepalingen. Vanwege de focus op concurrentie, innovatie en toegankelijkheid van data als doelstellingen ligt het voor de hand het belang van de derde zwaarder te laten wegen dan het belang van de datahouder. Op eenzelfde manier stelt het consumentenrecht dat een bepaling bij onhelderheid in het voordeel van de consument uitgelegd dient te worden.32x Art. 6:238 lid 2 Burgerlijk Wetboek en art. 5 Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PbEG 1993, L 95/29): ‘In geval van twijfel over de betekenis van een beding, prevaleert de voor de consument gunstigste interpretatie’. Eenzelfde principe dat de interpretatie in het voordeel van de derde voorop moet staan, zou opgenomen kunnen worden in de Dataverordening om richting te geven aan onduidelijke situaties. De focus op contractonderhandelingen en bepalingen als het niet-concurrentiebeding laten wellicht echter zien dat de beleidskeuze meer in de richting gaat van de datahouder wiens rendement op investeringen en contractsvrijheid de Europese Commissie nu nog niet verder durft in te perken. Zonder verdere richtsnoeren in de tekst van de Dataverordening laten haar bepalingen een marge van onduidelijkheid bestaan die aan het gehoopte effect van meer openheid en hergebruik van data in de weg kan staan.
      Een andere onzekere factor die de effectiviteit van het recht op toegang kan beïnvloeden is de handhaving. De Dataverordening laat het aan de lidstaten over om te bepalen welke toezichthouder bevoegd is voor de uitvoering en handhaving van de bepalingen. Dit kunnen een of meer en zowel bestaande als nieuwe toezichthouders zijn.33x Art. 31 lid 1 voorgestelde Dataverordening. Wel is duidelijk bepaald dat gegevensbeschermingsautoriteiten verantwoordelijk zijn voor het toezicht op de bepalingen die de bescherming van persoonsgegevens betreffen.34x Art. 31 lid 1 onder a voorgestelde Dataverordening. De coördinatie tussen toezichthouders zal niet altijd eenvoudig zijn, vooral in situaties waar zowel belangen over gegevensbescherming als belangen over concurrentie of innovatie relevant zijn. Terwijl het inperken van het gebruik van data een belangrijke manier kan zijn om gegevensbescherming te waarborgen, vereist het stimuleren van concurrentie of innovatie soms juist dat data gedeeld worden.
      De keuze van lidstaten voor de bevoegde toezichthouder(s) kan beïnvloeden hoe de bepalingen in de praktijk worden ingevuld vanwege de verschillende expertise en prioriteiten van bijvoorbeeld een mededingingstoezichthouder tegenover een gegevensbeschermingstoezichthouder. Lidstaten kunnen hierin ook onderling verschillende keuzes maken, waardoor de ene lidstaat wellicht een proactievere implementatie van de Dataverordening zal kennen dan de andere lidstaat. Hoewel dit niet meteen bevorderlijk is vanuit het perspectief van een eengemaakte markt, dwingt het lidstaten en toezichthouders wel om naar een holistischer vorm van handhaving toe te werken die inmiddels onvermijdelijk is doordat verschillende regimes en belangen steeds meer met elkaar verweven zijn. In een gezamenlijk advies hebben de Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming al opgeroepen gegevensbescherming voorrang te geven in geval van conflicten en de rol van gegevensbeschermingsautoriteiten de overhand te geven in de toezichtarchitectuur van de Dataverordening.35x EDPB-EDPS Joint Opinion 02/2022 on the Proposal of the European Parliament and of the Council on harmonised rules on fair access to and use of data (Data Act), 4 mei 2022, par. 21, 26 en 115, beschikbaar via https://edps.europa.eu/system/files/2022-05/22-05-05_edps-edpb-jo-data-act_en.pdf. De invoering van de Dataverordening kan een goede test vormen voor nationale initiatieven als het Nederlandse Samenwerkingsplatform Digitale Toezichthouders dat de Autoriteit Consument & Markt, de Autoriteit Financiële Markten, de Autoriteit Persoonsgegevens en het Commissariaat voor de Media samenbrengt.36x Zie www.acm.nl/nl/organisatie/samenwerking/nationale-samenwerking/samenwerkingsplatform-digitale-toezichthouders-sdt.
      Het verdient dan ook aanbeveling om in de tekst van de Dataverordening concretere handvatten te bieden voor samenwerking tussen toezichthouders, bijvoorbeeld in de vorm van samenwerkingsprotocollen waarvoor de lidstaten moeten zorgdragen. Hoewel het bestaan van verschillende vormen van toezicht tussen lidstaten op zichzelf niet problematisch hoeft te zijn, moet er wel uitwisseling van inzichten mogelijk zijn voor kwesties met een grensoverschrijdend karakter. Vooral met toezichthouders van buiten de eigen lidstaat die een andere bevoegdheid hebben is een dergelijke uitwisseling nog geen gegeven, bijvoorbeeld een mogelijke uitwisseling tussen de Duitse mededingingsautoriteit en de Franse gegevensbeschermingstoezichthouder die ieder voor hun eigen lidstaat de handhaving van de Dataverordening moeten waarborgen (als hypothetisch voorbeeld, aangezien de werkelijk bevoegde toezichthouders pas bepaald worden door de lidstaten na de invoering van de Dataverordening). De huidige verwijzing in een van de bepalingen dat de aangewezen nationale toezichthouders moeten samenwerken om de consistente toepassing van de verordening te waarborgen37x Art. 31 lid 3 onder f voorgestelde Dataverordening. lijkt te zwak om risico’s op een ineffectieve onderlinge coördinatie en samenwerking binnen de handhaving te ondervangen.

    • Conclusie

      Door het introduceren van een recht op toegang tot data heeft de Dataverordening de potentie om het uitwisselen van data te bevorderen binnen het Internet of Things. De nadruk ligt daarbij op het stimuleren van de ontwikkeling van aftermarket-diensten wanneer gebruikers hun datahouder verzoeken data die door het gebruik van een product of een gerelateerde dienst worden gegenereerd ter beschikking te stellen aan een derde. De Dataverordening bevat geen rechten of verplichtingen die het rechtstreeks delen van data tussen bedrijven reguleert, zonder tussenkomst of initiatief van de gebruiker. Daardoor blijft het mededingingsrecht – en blijven wellicht toekomstige sectorspecifieke regels over Europese dataruimten – belangrijk als aanvulling op de Dataverordening. Het mededingingsrecht en eventuele nieuwe sectorspecifieke regels kunnen door middel van rechtstreekse verplichtingen tot het delen van data tussen bedrijven effectiever optreden met het oog op het creëren van concurrerende datamarkten wanneer de uitwisseling van data niet langer afhankelijk is van het initiatief van gebruikers.
      Het recht op toegang tot data uit de Dataverordening gaat wel verder dan het al bestaande recht op dataportabiliteit uit de AVG, maar de concrete voorwaarden van toegang zijn voor een belangrijk gedeelte afhankelijk van de uitkomst van contractonderhandelingen tussen de datahouder en de derde. Wellicht is dit een bewuste keuze van de Europese Commissie om het waarborgen van de stimulans om te investeren in producten voor het verzamelen van data voorrang te geven. Hoewel de bepalingen omtrent het recht op toegang tot data soms een onduidelijk compromis lijken te vormen tussen de belangen van datahouders, gebruikers en derden, blijft het wat betreft de uiteindelijke uitwerking van de Dataverordening ook de vraag hoe de bevoegde instanties op nationaal niveau de bepalingen zullen interpreteren en hoe effectief de handhaving en onderlinge coördinatie zullen zijn. Er is ruimte voor de Europese wetgever om dit nog tijdens het wetgevingsproces te sturen door meer concreet en uitdrukkelijk te zijn in de uiteindelijke tekst van de Dataverordening.

    Noten

    • 1 Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening), 23 februari 2022, COM(2022)68 def. (hierna: voorgestelde Dataverordening).

    • 2 Persbericht Europese Commissie, ‘Dataverordening: Commissie komt met maatregelen voor een eerlijke en innovatieve data-economie’, 23 februari 2022, beschikbaar via https://ec.europa.eu/commission/presscorner/detail/nl/ip_22_1113.

    • 3 Art. 2 onder 5 voorgestelde Dataverordening definieert een gebruiker als ‘een natuurlijke of rechtspersoon die een product in eigendom heeft, huurt of leaset of een dienst ontvangt’.

    • 4 Art. 2 onder 12 voorgestelde Dataverordening definieert een dataverwerkingsdienst als ‘een andere digitale dienst dan een online-inhoudsdienst als gedefinieerd in artikel 2, lid 5, van Verordening (EU) 2017/1128, die aan een klant wordt aangeboden en die administratie op aanvraag en brede toegang op afstand tot een schaalbare en elastische pool van gedeelde computercapaciteit van gecentraliseerde, gedistribueerde of sterk gedistribueerde aard mogelijk maakt’.

    • 5 Deze opsomming is niet exhaustief. Andere belangrijke pijlers van de Dataverordening zijn de horizontale verplichtingen voor datahouders die wettelijk verplicht zijn om data beschikbaar te stellen (art. 8-13 en 30), bepalingen over internationale toegang en overdracht van niet-persoonsgebonden data (art. 27) en over interoperabiliteit (art. 28 en 29) en de uitsluiting van bescherming onder het sui generis databankenrecht van data die zijn verkregen uit of gegenereerd door het gebruik van een product of een gerelateerde dienst (art. 35).

    • 6 Verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening) (PbEU 2022, L 152/1).

    • 7 Art. 2 onder 11 Datagovernanceverordening definieert databemiddelingsdienst als ‘een dienst die gericht is op het tot stand brengen van commerciële relaties met het oog op het delen van gegevens tussen een onbepaald aantal datasubjecten en gegevenshouders enerzijds en gegevensgebruikers anderzijds, door middel van technische, juridische of andere middelen, onder meer voor de uitoefening van de rechten van datasubjecten met betrekking tot persoonsgegevens’.

    • 8 Art. 2 onder 16 Datagovernanceverordening definieert data-altruïsme als ‘het vrijwillig delen van gegevens op basis van de toestemming van datasubjecten om persoonsgegevens die op hen betrekking hebben te verwerken, of op basis van de toelating van gegevenshouders om hun niet-persoonsgebonden gegevens te gebruiken zonder een vergoeding te vragen of te ontvangen die verder gaat dan vergoeding van de kosten die zij maken indien zij hun gegevens beschikbaar stellen voor doeleinden van algemeen belang zoals in voorkomend geval bepaald in het nationale recht, zoals gezondheidszorg, de strijd tegen klimaatverandering, verbetering van mobiliteit, facilitering van de ontwikkeling, productie en verspreiding van officiële statistieken, verbetering van openbare diensten, openbare besluitvorming of wetenschappelijk onderzoek in het algemeen belang’.

    • 9 Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s ‘Een Europese datastrategie’, 19 februari 2020, COM(2020)66 def.

    • 10 Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de Europese ruimte voor gezondheidsgegevens, 3 mei 2022, COM(2022)197 def.

    • 11 Voorstel voor een Verordening van het Europees Parlement en de Raad over betwistbare en eerlijke markten in de digitale sector (Wet inzake ­digitale markten), 15 december 2020, COM(2020)842 def.

    • 12 Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende een eengemaakte markt voor digitale diensten (Wet inzake digitale diensten) en tot wijziging van Richtlijn 2000/31/EG, 15 december 2020, COM(2020)825 def.

    • 13 Persbericht Europese Commissie, ‘Dataverordening: Commissie komt met maatregelen voor een eerlijke en innovatieve data-economie’, 23 februari 2022.

    • 14 Zie ook overweging 19 voorgestelde Dataverordening.

    • 15 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming) (PbEU 2016, L 119/1).

    • 16 Zie bijvoorbeeld het expertrapport uit 2019 van J. Crémer, Y.-A. de Montjoye & H. Schweitzer, ‘Competition Policy for the Digital Era’, p. 81-82, beschikbaar via https://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf.

    • 17 Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (herziene Richtlijn betaaldiensten) (PbEU 2015, L 337/35).

    • 18 Zie M. de la Mano & J. Padilla, ‘Big tech banking’, Journal of Competition Law & Economics 2019, nr. 4, p. 494-526.

    • 19 Deze zorgen vormen bijvoorbeeld de onderliggende motivatie voor de Wet inzake digitale markten en de Wet inzake digitale diensten.

    • 20 Overweging 36 voorgestelde Dataverordening.

    • 21 Zie overweging 36 voorgestelde Dataverordening.

    • 22 Art. 20 voorgestelde Dataverordening.

    • 23 Zie de discussie in J. Krämer, P. Senellart & A. de Streel, ‘Making data ­portability more effective for the digital economy: economic implications and regulatory challenges’, CERRE-rapport juni 2020, beschikbaar via https://cerre.eu/wp-content/uploads/2020/07/cerre_making_data_portability_more_effective_for_the_digital_economy_june2020.pdf.

    • 24 Zie hierover een eerdere bijdrage in dit tijdschrift: E. van Damme, I. Graef & W. Sauter, ‘Machtsmisbruik op basis van big data’, M&M 2018/3.

    • 25 Art. 3 lid 1 en 2 Wet inzake digitale markten.

    • 26 Zie overweging 28 voorgestelde Dataverordening.

    • 27 Zie I. Graef & M. Husovec, ‘Seven Things to Improve in the Data Act’, SSRN working paper maart 2022, beschikbaar via https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4051793.

    • 28 Zie ook W. Kerber, ‘Governance of IoT Data: Why the EU Data Act will not fulfill its objectives’, SSRN working paper april 2022, p. 16-18, beschikbaar via https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4080436.

    • 29 W. Kerber, ‘A New (Intellectual) Property Right for Non-Personal Data? An Economic Analysis’, GRUR International 2016, p. 989-999.

    • 30 Art. 5 lid 8 voorgestelde Dataverordening.

    • 31 Art. 5 lid 6 en 9 voorgestelde Dataverordening.

    • 32 Art. 6:238 lid 2 Burgerlijk Wetboek en art. 5 Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PbEG 1993, L 95/29): ‘In geval van twijfel over de betekenis van een beding, prevaleert de voor de consument gunstigste interpretatie’.

    • 33 Art. 31 lid 1 voorgestelde Dataverordening.

    • 34 Art. 31 lid 1 onder a voorgestelde Dataverordening.

    • 35 EDPB-EDPS Joint Opinion 02/2022 on the Proposal of the European Parliament and of the Council on harmonised rules on fair access to and use of data (Data Act), 4 mei 2022, par. 21, 26 en 115, beschikbaar via https://edps.europa.eu/system/files/2022-05/22-05-05_edps-edpb-jo-data-act_en.pdf.

    • 36 Zie www.acm.nl/nl/organisatie/samenwerking/nationale-samenwerking/samenwerkingsplatform-digitale-toezichthouders-sdt.

    • 37 Art. 31 lid 3 onder f voorgestelde Dataverordening.


Print dit artikel