Privacy en gegevensbescherming:
in conflict met de GBA

Webinar on demand

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten en gegevensbescherming

Webinar on demand

Fraudebestrijding binnen de eigen organisatie

Webinar on demand

Privacy, gegevensbescherming en arbeidsrecht

Webinar on demand

De EU Data Act: naar een open en veilige omgeving voor het delen van data in Europa? (Sirius Legal)

Auteur: Bart Van den Brande (Sirius Legal)

GDPR is na 4 jaar langzaamaan ingeburgerd bij Europese bedrijven. De hieraan gekoppelde ePrivacy verordening, die in de toekomst nieuwe regels moet voorzien voor onder andere het gebruik van cookies, worstelt zich nog steeds tergend traag door het Europese beslissingsproces.

Maar intussen staat de tijd niet stil en evolueren onze economie en technologische middelen natuurlijk verder. Het is dan ook niet verwonderlijk dat de Europese Unie naarstig werkt aan een serie nieuwe verordeningen die onze digitale economie in goede banen moeten leiden. Over DSA/DMA, AI, MiCA kon je al eerder lezen op deze blog.

Vandaag duiken we even in het voorstel voor de Data Act, die het delen van en de toegang tot alle niet-persoonsgebonden data in Europa wil reguleren.

Wat is de Data Act nu precies?

Controle over je data behouden en deze veilig en makkelijk delen met partijen die je vertrouwt, dat is wat Europa wil bereiken met het voorstel voor de Data Act die ze op 23 februari officieel bekend maakte. Die Data Act bevat daarom een hele reeks regels die, samen met de toekomstige Data Governance Act, een eerlijke en open digitale omgeving moeten creëren voor burgers, bedrijven én overheden.

Concreet bevat de Data Act nieuwe regels die de toegang tot en het gebruik van data die niet als persoonsgegevens onder GDPR beschouwd kunnen worden wil regelen. Het gaat dan bijvoorbeeld over de massa informatie die verzameld wordt door IoT-toepassingen zoals smart home apparaten of connected cars.

Vandaag hebben in veel gevallen alleen de fabrikanten van zo’n toestellen toegang tot de data die deze toestellen verzamelen. Als het om persoonsgegevens gaat is dat natuurlijk een goede zaak. Dat is immers precies wat GDPR wil bereiken: vertrouwelijkheid en veiligheid van persoonlijke data. Niemand hoeft te weten om hoe laat jouw smart home security systeem in werking treedt of waar jouw wagen precies geparkeerd staat.

Maar smart devices verzamelen natuurlijk ook een berg gegevens die anoniem en geaggregeerd érg veel commerciële waarde hebben. Die (“big”) data leveren immers veel kennis op die vervolgens ingezet kan worden om nog betere producten en toepassingen te ontwikkelen, die nog beter inspelen op jouw en mijn noden en verwachtingen door bijvoorbeeld “aftermarket” bedrijven, die vervangonderdelen of compatibele accessoires voor populaire technologie ontwikkelen.

De Commissie schat de wereldwijde waarde van het Internet of Things tegen 2030 op 5 tot 11 biljoen euro en de toekomstige Data Act moet precies die markt faciliteren en reguleren. De Commissie rekent op een economisch groei van 270 miljard Euro tegen 2028 met deze nieuwe regels.

Wat staat er in de Data Act?

Het Data Act voorstel bevat een hele reeks verschillende maatregelen, die moeten zorgen voor:

  • Toegang voor de gebruikers van verbonden apparaten (jij en ik dus) tot de over hen gegenereerde data.
  • Een sterkere onderhandelingspositie voor KMO’s ten opzichte van grote techbedrijven (bijvoorbeeld door een verbod op bepaalde onevenwichtige contractclausules die het delen van data met kleinere spelers beperken of verbieden).
  • Toegang voor overheden tot (geanonimiseerde) data die in handen is van privébedrijven als die data nodig is voor de openbare taken van die overheden bij bijvoorbeeld noodsituaties, rampen, terroristische aanslagen, etc…
    In die gevallen kan de data van privébedrijven levens redden.  In die context moet data zelfs gratis vrijgegeven worden.  In minder acute situaties zal een bedrijf nog steeds verplicht kunnen zijn om data te delen, maar dan wel tegen een kostendekkende vergoeding.
  • Makkelijkere data portability voor consumenten als ze willen overstappen van de ene naar de andere cloud service provider.

Al deze regels zullen vanzelfsprekend in samenspel met bestaande wetgeving gaan werken.  We verwezen al naar GDPR als bepaalde data als persoonsgegevens aanzien moeten worden.  Tegelijkertijd zien we ook verwijzingen naar het principe van de “Poortwachter” zoals we dat ook kennen uit de Digital Markets Act: grote spelers die een aanzienlijk marktaandeel hebben en die dus een soort van “poortwachter” over bepaalde data hebben omdat iedereen via hen moet gaan, zullen strengere regels opgelegd krijgen.  Amazon, Microsoft, Google en de andere usual suspects moeten zo de data en applicaties in hun diensten uitwisselbaar maken en de communicatie tussen hun diensten garanderen.

Voor wie is de Data ACT precies bedoeld?

De ontwerpverordening is concreet gericht op:

  • Fabrikanten en aanbieders van diensten (IoT-diensten, smart devices, cloud services, connected cars, …)
  • Al wie data deelt of ontvangt in de EU
  • Al wie data processing diensten aanbiedt op zulke data aan klanten in de EU.
What’s next?

Voorlopig is dit slechts een voorstel van Verordening, dat nu aan zijn reis door de Europese instellingen begint.  Dat betekent dat het komende jaar het Europees Parlement, de Europese Raad en de Europese Commissie allemaal hun zegje kunnen doen over het ontwerp en uiteindelijk een finale tekst moeten goedkeuren.  Dat zal wellicht voor 2023 zijn. Zodra de verordening effectief goedgekeurd zal zijn, wordt zij, net als bijvoorbeeld GDPR, rechtstreeks toepasselijk in de hele EU.

Bron: Sirius Legal