Na het vrije verkeer van goederen, diensten, mensen en kapitaal, moet data ook vrij(er) verhandeld kunnen worden binnen de Europese Unie. Tenminste, als het aan de Europese Commissie ligt. Dit kan worden afgeleid uit de ‘European data strategy’. Als data voor iedereen binnen de Europese Unie toegankelijk wordt gemaakt, leidt dat volgens de Europese Commissie tot meer concurrentie en daarmee innovatie.

Doorgifte van Europese data moet makkelijker

Onderdeel van de European data strategy is het op 23 februari gepubliceerde wetsvoorstel: Regulation on harmonised rules on fair access to and use of data (oftewel: Data Act). De wet moet de doorgifte van data in de Europese Unie gaan vergemakkelijken. Op alle mogelijke vormen van informatie waaronder ook persoonlijke informatie (oftewel: persoonsgegevens) is de wet van toepassing. Daarmee komt de Data Act in het werkveld van de Algemene Verordening Gegevensbescherming (AVG), die de bescherming van persoonsgegevens regelt. Maar als op basis van de Data Act persoonsgegevens gedeeld moeten worden met een partij, terwijl dit op grond van de AVG niet mag, gaat de AVG voor; de Data Act doet dus geen afbreuk aan de werking van de AVG.

De belangrijkste regels op een rij

Ten eerste, bij tastbare producten zoals een smart TV kan het zijn dat door de gebruiker data wordt geproduceerd (denk aan: voorkeuren, tijd van kijken, gebruikte apps, etc.). Aanbieders van dergelijke producten moeten de gebruikers te allen tijde toegang geven tot de data die zij bij het gebruik produceren. Uitgangspunt hierbij is dat direct toegang moet worden gegeven tot de data. Dit betekent dat niet eerst een verzoek ingediend moet worden om toegang te krijgen. Personen kunnen bedrijven machtigen om in plaats van hun toegang te krijgen tot dit soort gegevens. Kleine organisaties worden uitgesloten van de transparantieverplichting zodat hun concurrentiepositie wordt beschermd/verbeterd ten opzichte van grotere organisaties. Een kleine organisatie is een organisatie met minder dan 50 werknemers en/of een jaaromzet van minder dan 10 miljoen euro.

Ten tweede bevat de Data Act strengere regels voor aanbieders van cloudopslag. Zo moeten cloud-providers op basis van het wetsvoorstel de mogelijkheid gaan bieden om gemakkelijk te switchen met een andere cloud-provider. Dit betekent dat als een organisatie besluit gebruik te willen maken van een andere cloudopslag de cloud-provider dit moet faciliteren. Dit wordt ook wel interoperabiliteit genoemd.

Tot slot moeten cloud-providers maatregelen treffen om de doorgifte van data die geen persoonsgegevens zijn naar landen buiten de Europese Unie te voorkomen als dit in strijd is met Europees of nationaal recht. Persoonsgegevens zijn in dit geval uitgesloten, omdat de doorgifte van persoonsgegevens naar landen buiten de Europese Unie al is geregeld in de AVG. Zo heeft de Oostenrijkse gegevensbeschermingsautoriteit op basis van de AVG geoordeeld dat het gebruik van Google Analytics onrechtmatig is. Doordat Google persoonsgegevens die het verzamelt met Google Analytics zou delen met de Amerikaanse tak van het bedrijf.

Meer transparantie en interoperabiliteit

In de Data Act is een beweging richting meer online transparantie en interoperabiliteit duidelijk te herkennen. Deze beweging kan ook worden gezien in de Digital Services Act en Digital Markets Act. Dit zijn twee voorstellen die eerder dit jaar door het Europees Parlement zijn behandeld. In de voorstellen wordt meer transparantie afgedwongen bij het tonen en gebruik van gepersonaliseerde advertenties en daarnaast verplicht het dat bepaalde diensten met elkaar moeten kunnen samenwerken (interoperabiliteit). De verwachting is dat deze beweging in de toekomst voortgezet wordt.

Het Europees Parlement en Raad van de Europese Unie hebben het wetsvoorstel in behandeling genomen. Het is nog onduidelijk wanneer (en of) de definitieve versie bekend gemaakt wordt.