Overwegingen bij COM(2022)68 - Geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening)

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

 
 
(1) De afgelopen jaren hebben datagestuurde technologieën alle sectoren van de economie grondig getransformeerd. Met name de verspreiding van producten die verband houden met het internet der dingen heeft het volume en de potentiële waarde van data voor consumenten, bedrijven en de samenleving vergroot. Hoogwaardige en interoperabele data uit verschillende domeinen vergroten het concurrentievermogen en de innovatie en zorgen voor duurzame economische groei. Dezelfde dataset kan voor verschillende doeleinden onbeperkt worden gebruikt en hergebruikt, zonder dat dit invloed heeft op de kwaliteit of kwantiteit ervan.

(2) Belemmeringen voor het delen van data staan een optimale verdeling van data in het belang van de samenleving in de weg. Deze belemmeringen zijn onder meer een gebrek aan stimulansen voor datahouders om vrijwillig data-uitwisselingscontracten te sluiten, onzekerheid over de rechten en plichten met betrekking tot data, de kosten van het contracteren en implementeren van technische interfaces, de hoge mate van versnippering van informatie in datasilo’s, slecht beheer van metadata, het ontbreken van normen voor semantische en technische interoperabiliteit, knelpunten die de toegang tot data belemmeren, een gebrek aan gemeenschappelijke praktijken voor het delen van data en misbruik van contractuele onevenwichtigheden met betrekking tot de toegang tot en het gebruik van data.

(3) In sectoren die worden gekenmerkt door de aanwezigheid van micro-, kleine en middelgrote ondernemingen, is er vaak een gebrek aan digitale capaciteiten en vaardigheden om data te verzamelen, te analyseren en te gebruiken, en is de toegang vaak beperkt doordat één partij deze in het systeem houdt, of door een gebrek aan interoperabiliteit tussen data, tussen datadiensten of over de grenzen heen.

(4) Om tegemoet te komen aan de behoeften van de digitale economie en om belemmeringen voor een goed functionerende interne datamarkt weg te nemen, moet er een geharmoniseerd kader worden vastgesteld waarin wordt gespecificeerd wie, anders dan de fabrikant of andere datahouder, recht heeft op toegang tot de door producten of aanverwante diensten gegenereerde data, onder welke voorwaarden en op welke basis. Bijgevolg mogen de lidstaten geen aanvullende nationale voorschriften vaststellen of handhaven met betrekking tot de aangelegenheden die binnen het toepassingsgebied van deze verordening vallen, tenzij uitdrukkelijk in deze verordening bepaald, aangezien dit gevolgen zou hebben voor de rechtstreekse en uniforme toepassing van deze verordening.

(5) Deze verordening waarborgt dat gebruikers van een product of gerelateerde dienst in de EU tijdig toegang hebben tot de data die door het gebruik van dat product of die gerelateerde dienst worden gegenereerd en dat deze gebruikers de data kunnen gebruiken, onder meer door deze te delen met derden van hun keuze. De verordening verplicht de datahouder om data onder bepaalde omstandigheden ter beschikking te stellen van gebruikers en door de gebruikers aangewezen derden. Het zorgt er ook voor dat datahouders hun data op eerlijke, redelijke en niet-discriminerende voorwaarden en op transparante wijze ter beschikking stellen van ontvangers van data in de EU. Privaatrechtelijke regels zijn van cruciaal belang in het algemene kader van data-uitwisseling. Daarom past deze verordening de regels van het verbintenissenrecht aan en voorkomt zij misbruik van contractuele onevenwichtigheden die een eerlijke toegang tot en een eerlijk gebruik van data door micro-, kleine en middelgrote ondernemingen belemmeren in de zin van Aanbeveling 2003/361/EG. Deze verordening zorgt er ook voor dat datahouders de data die nodig zijn voor de uitvoering van taken in het algemeen belang, beschikbaar stellen aan overheidsinstanties van de lidstaten en aan EU-instellingen, -agentschappen of -organen, indien er sprake is van een uitzonderlijke noodzaak. Daarnaast beoogt deze verordening het overstappen tussen dataverwerkingsdiensten te vergemakkelijken en de interoperabiliteit van mechanismen en diensten voor het delen en uitwisselen van data in de EU te verbeteren. Deze verordening mag niet worden uitgelegd als het erkennen of creëren van een rechtsgrondslag voor datahouders om data in handen te hebben, er toegang toe te hebben of ze te verwerken, of als het verlenen van een nieuw recht aan datahouders om data te gebruiken die door het gebruik van een product of gerelateerde dienst zijn gegenereerd. In plaats daarvan gaat de verordening uit van de daadwerkelijke controle die de datahouder feitelijk of rechtens heeft over data die door producten of gerelateerde diensten worden gegenereerd.

(6) Het genereren van data is het resultaat van acties van ten minste twee actoren: de ontwerper of fabrikant van een product en de gebruiker van dat product. Het roept vragen op over eerlijkheid in de digitale economie, omdat de door dergelijke producten of gerelateerde diensten geregistreerde data belangrijke input vormen voor aftermarketdiensten, ondersteunende en andere diensten. Om de belangrijke economische voordelen van data als een niet-concurrerend goed voor de economie en de samenleving te realiseren, is een algemene benadering van de toekenning van toegangs- en gebruiksrechten voor data te verkiezen boven de toekenning van exclusieve toegangs- en gebruiksrechten.

(7) Het grondrecht op bescherming van persoonsgegevens wordt met name gewaarborgd door Verordening (EU) 2016/679 en Verordening (EU) 2018/1725. Richtlijn 2002/58/EG beschermt bovendien het privéleven en de vertrouwelijkheid van communicatie, onder meer door voorwaarden te stellen aan de opslag van en de toegang tot persoonsgegevens en niet-persoonsgebonden data in eindapparatuur. Deze instrumenten vormen de basis voor duurzame en verantwoorde dataverwerking, ook wanneer datasets een mix van persoonsgegevens en niet-persoonsgebonden data bevatten. Deze verordening vormt een aanvulling op en doet geen afbreuk aan het EU-recht inzake gegevensbescherming en privacy, met name Verordening (EU) 2016/679 en Richtlijn 2002/58/EG. Geen enkele bepaling van deze verordening mag zodanig worden toegepast of uitgelegd dat het recht op bescherming van persoonsgegevens of het recht op privacy en vertrouwelijkheid van communicatie wordt beperkt.

(8) De beginselen van minimale gegevensverwerking en gegevensbescherming door ontwerp en door standaardinstellingen zijn van essentieel belang wanneer de verwerking aanzienlijke risico’s inhoudt voor de grondrechten van personen. Rekening houdend met de stand van de techniek moeten alle partijen bij het delen van data, ook wanneer dat binnen het toepassingsgebied van deze verordening valt, technische en organisatorische maatregelen nemen om deze rechten te beschermen. Dergelijke maatregelen omvatten niet alleen pseudonimisering en encryptie, maar ook het gebruik van steeds meer beschikbare technologie waarmee algoritmen op de data kunnen worden toegepast, waarmee waardevolle inzichten kunnen worden verkregen zonder overdracht tussen partijen of onnodig kopiëren van de ruwe of gestructureerde data zelf.

(9) Deze verordening vormt een aanvulling op en doet geen afbreuk aan het EU-recht dat erop gericht is de belangen van consumenten te behartigen en een hoog niveau van consumentenbescherming te waarborgen en hun gezondheid, veiligheid en economische belangen te beschermen, met name Richtlijn 2005/29/EG van het Europees Parlement en de Raad59, Richtlijn 2011/83/EU van het Europees Parlement en de Raad60 en Richtlijn 93/13/EEG van het Europees Parlement en de Raad61.

(10) Deze verordening doet geen afbreuk aan EU-rechtshandelingen die voorzien in het delen van, de toegang tot en het gebruik van data met het oog op preventie van, onderzoek naar, opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen, of voor douane- en belastingdoeleinden, ongeacht de rechtsgrondslag uit hoofde van het Verdrag betreffende de werking van de Europese Unie op grond waarvan zij zijn vastgesteld. Dergelijke handelingen omvatten Verordening (EU) 2021/784 van het Europees Parlement en de Raad van 29 april 2021 om de verspreiding van terroristische online-inhoud aan te pakken, de [voorstellen inzake elektronisch bewijsmateriaal [COM (2018) 225 en 226] zodra deze zijn vastgesteld], het [voorstel voor] een verordening van het Europees Parlement en de Raad betreffende een eengemaakte markt voor digitale diensten (wet inzake digitale diensten) en tot wijziging van Richtlijn 2000/31/EG, alsmede internationale samenwerking in dit verband, met name op basis van het Verdrag van de Raad van Europa van 2001 inzake cybercriminaliteit („Verdrag van Boedapest”). Deze verordening doet geen afbreuk aan de bevoegdheden van de lidstaten met betrekking tot activiteiten op het gebied van openbare veiligheid, defensie en nationale veiligheid overeenkomstig het EU-recht, en activiteiten van de douane op het gebied van risicobeheer en in het algemeen de controle op de naleving van het douanewetboek door marktdeelnemers.

(11) Deze verordening mag geen afbreuk doen aan het EU-recht tot vaststelling van fysieke ontwerp- en datavereisten voor producten die in de EU in de handel worden gebracht.

(12) Deze verordening vormt een aanvulling op en doet geen afbreuk aan het EU-recht tot vaststelling van toegankelijkheidseisen voor bepaalde producten en diensten, met name Richtlijn 2019/88262.

(13) Deze verordening doet geen afbreuk aan de bevoegdheden van de lidstaten met betrekking tot activiteiten op het gebied van openbare veiligheid, defensie en nationale veiligheid overeenkomstig het EU-recht, en activiteiten van de douane op het gebied van risicobeheer en in het algemeen de controle op de naleving van het douanewetboek door marktdeelnemers.

(14) Fysieke producten die door middel van hun componenten data over hun prestaties, gebruik of omgeving verkrijgen, genereren of verzamelen en die via een openbare elektronische-communicatiedienst (vaak het internet der dingen genoemd) kunnen communiceren, moeten onder deze verordening vallen. Elektronische-communicatiediensten omvatten vaste telefoonnetwerken, televisiekabelnetwerken, satellietnetwerken en NFC-netwerken (Near Field Communication). Dergelijke producten kunnen voertuigen, huishoudelijke apparatuur en consumptiegoederen, medische en gezondheidsapparatuur of landbouw- en industriële machines omvatten. De data vertegenwoordigen de digitalisering van handelingen van de gebruiker en gebeurtenissen en moeten daarom toegankelijk zijn voor de gebruiker, terwijl informatie die is afgeleid of herleid van deze data, indien rechtmatig in handen, niet mag worden geacht binnen het toepassingsgebied van deze verordening te vallen. Dergelijke data zijn potentieel waardevol voor de gebruiker en ondersteunen innovatie en de ontwikkeling van digitale en andere diensten die het milieu, de gezondheid en de circulaire economie beschermen, met name door het onderhoud en de reparatie van de producten in kwestie te vergemakkelijken.

(15) Bepaalde producten die in de eerste plaats zijn ontworpen om inhoud weer te geven of af te spelen, of om inhoud vast te leggen en door te geven, onder meer voor gebruik door een onlinedienst, mogen daarentegen niet onder deze verordening vallen. Dergelijke producten zijn bijvoorbeeld pc's, servers, tablets en smartphones, camera’s, webcams, geluidsopnamesystemen en tekstscanners. Zij vereisen menselijke input om verschillende vormen van inhoud te produceren, zoals tekstdocumenten, geluidsbestanden, videobestanden, spellen en digitale kaarten.

(16) Er moeten regels worden vastgesteld die van toepassing zijn op verbonden producten die op zo'n manier een dienst bevatten of daarmee verbonden zijn, dat het product zijn functies niet kan vervullen wanneer de dienst ontbreekt. Dergelijke gerelateerde diensten kunnen deel uitmaken van de verkoop-, huur- of leaseovereenkomst, of gebruikelijk zijn voor goederen van hetzelfde type en de gebruiker kan deze diensten redelijkerwijs verwachten, gezien de aard van het product en rekening houdend met publiekelijk gedane mededelingen van of namens de verkoper, verhuurder, leasegever of andere personen in eerdere schakels van de transactieketen, waaronder de producent. Deze gerelateerde diensten kunnen zelf data genereren die voor de gebruiker waardevol zijn, onafhankelijk van de dataverzamelingscapaciteit van het product waarmee zij verbonden zijn. Deze verordening moet ook van toepassing zijn op gerelateerde diensten die niet door de verkoper, verhuurder of lease-aanbieder zelf worden verleend, maar die in het kader van de verkoop-, huur- of leaseovereenkomst door een derde worden verleend. In geval van twijfel over de vraag of de dienst deel uitmaakt van de verkoop-, huur- of leaseovereenkomst, dient deze verordening van toepassing te zijn.

(17) Data die door het gebruik van een product of gerelateerde dienst worden gegenereerd, omvatten o.a. data die opzettelijk door de gebruiker zijn geregistreerd. Dergelijke data omvatten ook data die als bijproduct van de handeling van de gebruiker worden gegenereerd, zoals diagnostische data, en data die worden geregistreerd zonder enige handeling van de gebruiker, zoals wanneer het product zich in de „stand-bystand” bevindt of tijdens perioden waarin het product is uitgeschakeld. Dergelijke data moeten data omvatten in de vorm en het formaat waarin zij door het product worden gegenereerd, maar mogen geen betrekking hebben op data die voortvloeien uit een softwareproces dat afgeleide data uit dergelijke data berekent, aangezien een dergelijk softwareproces onderworpen kan zijn aan intellectuele-eigendomsrechten.

(18) Onder gebruiker van een product moet worden verstaan de natuurlijke of rechtspersoon, zoals een onderneming of consument, die het product heeft gekocht, gehuurd of geleased. Afhankelijk van de wettelijke benaming waaronder gebruikers een product gebruiken, dragen zij de risico’s en de voordelen van het gebruik van het verbonden product en moeten zij ook toegang hebben tot de data die het product genereert. De gebruiker moet daarom het recht hebben voordeel te halen uit de gegevens die door dat product en alle gerelateerde diensten worden gegenereerd.

(19) In de praktijk zijn niet alle door producten of gerelateerde diensten gegenereerde data gemakkelijk toegankelijk voor de gebruikers ervan en zijn er vaak beperkte mogelijkheden voor de overdraagbaarheid van data die zijn gegenereerd door producten die verbonden zijn met het internet der dingen. Vaak kunnen gebruikers niet de data verkrijgen die nodig zijn om gebruik te maken van aanbieders van reparatie- en andere diensten, en kunnen bedrijven geen innovatieve, efficiëntere en gemakkelijkere diensten lanceren. In veel sectoren zijn fabrikanten vaak in staat om door hun controle over het technische ontwerp van het product of de gerelateerde diensten te bepalen welke data worden gegenereerd en hoe deze kunnen worden geraadpleegd, ook al hebben zij geen wettelijk recht op de data. Daarom moet ervoor worden gezorgd dat producten zodanig worden ontworpen en vervaardigd en dat gerelateerde diensten op zodanige wijze worden aangeboden dat de door het gebruik ervan gegenereerde data altijd gemakkelijk toegankelijk zijn voor de gebruiker.

(20) Indien meerdere personen of entiteiten eigenaar zijn van een product of partij zijn bij een lease- of huurovereenkomst en toegang hebben tot een gerelateerde dienst, moeten bij het ontwerp van het product of de gerelateerde dienst of de relevante interface redelijke inspanningen worden geleverd om ervoor te zorgen dat alle personen toegang hebben tot de data die zij genereren. Gebruikers van producten die data genereren, moeten doorgaans een gebruikersaccount aanmaken. Hierdoor kan de gebruiker door de fabrikant worden geïdentificeerd en kan worden gecommuniceerd om verzoeken om toegang tot data uit te verwerken en uit te voeren. Fabrikanten of ontwerpers van een product dat gewoonlijk door meerdere personen wordt gebruikt, moeten een mechanisme opzetten om afzonderlijke gebruikersaccounts voor individuele personen, indien relevant, of de mogelijkheid voor meerdere personen om hetzelfde gebruikersaccount te gebruiken, mogelijk te maken. De gebruiker moet op eenvoudig verzoek toegang krijgen tot mechanismen die automatische uitvoering mogelijk maken, zonder dat daarvoor een onderzoek of machtiging van de fabrikant of de datahouder vereist is. Dit betekent dat data alleen beschikbaar mogen worden gesteld wanneer de gebruiker dit daadwerkelijk wenst. Wanneer geautomatiseerde uitvoering van het verzoek om toegang tot data niet mogelijk is, bijvoorbeeld via een gebruikersaccount of een bij het product of de dienst gevoegde mobiele applicatie, moet de fabrikant de gebruiker informeren hoe toegang tot de data kan worden verkregen.

(21) Producten kunnen worden ontworpen om bepaalde data rechtstreeks beschikbaar te stellen via een gegevensopslag op het apparaat of een server op afstand waaraan de data worden doorgegeven. De toegang tot de gegevensopslag op het toestel kan mogelijk worden gemaakt via al dan niet draadloze lokale netwerken die verbonden zijn met een openbare elektronische-communicatiedienst of een mobiel netwerk. De server kan de eigen lokale servercapaciteit van de fabrikant zijn of die van een derde partij of een aanbieder van clouddiensten die als datahouder fungeert. Zij kunnen zo worden ontworpen dat de gebruiker of een derde de data op het product of op een computing instance van de fabrikant kan verwerken.

(22) Virtuele assistenten spelen een steeds grotere rol bij de digitalisering van consumentenomgevingen en fungeren als een gebruiksvriendelijke interface om inhoud af te spelen, informatie te verkrijgen of fysieke objecten te activeren die verbonden zijn met het internet der dingen. Virtuele assistenten kunnen als één toegangspoort fungeren, bijvoorbeeld binnen een slimme thuisomgeving, en aanzienlijke hoeveelheden relevante data registreren over de manier waarop gebruikers interageren met producten die verbonden zijn met het internet der dingen, waaronder producten die door andere partijen zijn vervaardigd, en kunnen het gebruik van door fabrikanten geleverde interfaces, zoals touchscreens of smartphone-apps, vervangen. Het is mogelijk dat de gebruiker dergelijke data ter beschikking wil stellen van derde fabrikanten om nieuwe slimme thuisdiensten mogelijk te maken. Dergelijke virtuele assistenten moeten onder het recht op toegang tot data vallen waarin deze verordening voorziet, ook met betrekking tot data die vóór de activering van de virtuele assistent door het activeringswoord van de virtuele assistent zijn geregistreerd en data die worden gegenereerd wanneer een gebruiker via een virtuele assistent contact maakt met een product dat door een andere entiteit dan de fabrikant van het product wordt verstrekt. Echter, alleen de data die voortvloeien uit de interactie tussen de gebruiker en het product via de virtuele assistent vallen binnen het toepassingsgebied van deze verordening. Data die zijn geproduceerd door de virtuele assistent die geen verband houden met het gebruik van een product, vallen niet onder deze verordening.

(23) Alvorens een contract te sluiten voor de aankoop, huur of leasing van een product of de verlening van een gerelateerde dienst, moet de gebruiker duidelijke en voldoende informatie worden verstrekt over de wijze waarop toegang kan worden verkregen tot de gegenereerde data. Deze verplichting zorgt voor transparantie over de gegenereerde data en bevordert de toegang voor de gebruiker. Deze verplichting om informatie te verstrekken doet geen afbreuk aan de verplichting van de verwerkingsverantwoordelijke om de betrokkene informatie te verstrekken overeenkomstig artikel 12, 13 en 14 van Verordening (EG) nr. 2016/679.

(24) Deze verordening legt datahouders de verplichting op om in bepaalde omstandigheden data beschikbaar te stellen. Voor zover persoonsgegevens worden verwerkt, dient de houder van deze data een verwerkingsverantwoordelijke te zijn in de zin van Verordening (EU) 2016/679. Wanneer gebruikers betrokkenen zijn, moeten datahouders worden verplicht hun toegang tot hun data te verlenen en de data overeenkomstig deze verordening ter beschikking te stellen van derden naar keuze van de gebruiker. Deze verordening schept echter geen rechtsgrondslag op grond van Verordening (EU) 2016/679 voor de datahouder om op verzoek van een gebruiker die geen betrokkene is, toegang te verlenen tot persoonsgegevens of deze beschikbaar te stellen aan een derde, en mag niet worden opgevat als een verlening van een nieuw recht aan de datahouder om data te gebruiken die door het gebruik van een product of een gerelateerde dienst zijn gegenereerd. Dit geldt met name wanneer de fabrikant de datahouder is. In dat geval moet een contractuele overeenkomst tussen de fabrikant en de gebruiker de basis vormen voor het gebruik van niet-persoonsgebonden data. Deze overeenkomst kan deel uitmaken van de verkoop-, huur- of leaseovereenkomst met betrekking tot het product. Elke contractuele bepaling in de overeenkomst die bepaalt dat de datahouder de door de gebruiker van een product of gerelateerde dienst gegenereerde data mag gebruiken, moet transparant zijn voor de gebruiker, ook wat betreft het doel waarvoor de datahouder de data zal gebruiken. Deze verordening mag geen beletsel vormen voor contractuele voorwaarden die tot gevolg hebben dat het gebruik van de data, of bepaalde categorieën daarvan, door de datahouder wordt uitgesloten of beperkt. Deze verordening mag evenmin in de weg staan voor sectorspecifieke regelgevingsvereisten uit hoofde van EU-recht, of nationale wetgeving die verenigbaar is met het EU-recht, die het gebruik van bepaalde data door de datahouder om duidelijk omschreven redenen van openbare orde zouden uitsluiten of beperken.

(25) In sectoren die worden gekenmerkt door de concentratie van een klein aantal fabrikanten die aan eindgebruikers leveren, hebben gebruikers slechts beperkte mogelijkheden om data met die fabrikanten te delen. Onder dergelijke omstandigheden kunnen contractuele overeenkomsten ontoereikend zijn om de doelstelling van empowerment van gebruikers te verwezenlijken. De data blijven doorgaans onder controle van de fabrikanten, waardoor het voor gebruikers moeilijk is om waarde te verkrijgen uit de data die worden gegenereerd door de apparatuur die zij kopen of leasen. Bijgevolg is er een beperkt potentieel voor kleinere innovatieve bedrijven om concurrerende op data gebaseerde oplossingen aan te bieden, en voor een diverse data-economie in Europa. Deze verordening moet daarom voortbouwen op recente ontwikkelingen in specifieke sectoren, zoals de gedragscode voor het delen van landbouwdata op basis van een contractuele overeenkomst. Sectorale wetgeving kan worden voorgesteld om tegemoet te komen aan sectorspecifieke behoeften en doelstellingen. Voorts mag de datahouder geen door het gebruik van het product of de gerelateerde dienst gegenereerde data gebruiken om inzicht te verkrijgen in de economische situatie van de gebruiker, zijn of haar activa of productiemethoden of het gebruik op een andere wijze die de commerciële positie van de gebruiker op de markten waarop hij of zij actief is, zou kunnen ondermijnen. Dit zou bijvoorbeeld inhouden dat kennis over de algemene prestaties van een bedrijf of een landbouwbedrijf wordt gebruikt in contractuele onderhandelingen met de gebruiker over de mogelijke aankoop van producten of landbouwproducten van de gebruiker ten nadele van de gebruiker, of bijvoorbeeld dat dergelijke informatie wordt gebruikt om in grotere databanken over bepaalde markten in het aggregaat (bv. databanken over oogstopbrengsten voor het komende oogstseizoen) te voorzien, aangezien een dergelijk gebruik op indirecte wijze negatieve gevolgen voor de gebruiker kan hebben. De gebruiker moet de nodige technische interface krijgen om vergunningen te beheren, bij voorkeur met gedetailleerde toestemmingsopties (zoals „eenmaal toestaan” of „toestaan bij het gebruik van deze app of dienst”), waaronder de optie om de toestemming in te trekken.

(26) In overeenkomsten tussen een datahouder en een consument als gebruiker van een product of gerelateerde dienst die data genereert, is Richtlijn 93/13/EEG van toepassing op de voorwaarden van de overeenkomst om ervoor te zorgen dat een consument niet onderworpen is aan oneerlijke contractvoorwaarden. Voor oneerlijke contractvoorwaarden die eenzijdig worden opgelegd aan een micro-, kleine of middelgrote onderneming in de zin van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG63, bepaalt deze verordening dat dergelijke oneerlijke bedingen niet bindend mogen zijn voor die onderneming.

(27) De datahouder kan een passende gebruikersidentificatie verlangen om na te gaan of de gebruiker recht heeft op toegang tot de data. In het geval van persoonsgegevens die namens de verwerkingsverantwoordelijke door een andere verwerkende partij worden verwerkt, dient de datahouder ervoor te zorgen dat het verzoek om toegang door de verwerkende partij wordt ontvangen en behandeld.

(28) Het moet de gebruiker vrij staan de data voor elk rechtmatig doel te gebruiken. Dit houdt onder meer in dat de data die de gebruiker in het kader van de uitoefening van het recht uit hoofde van deze verordening heeft ontvangen, worden verstrekt aan een derde die een aftermarketdienst aanbiedt die mogelijk concurreert met een door de datahouder verleende dienst, of de datahouder daartoe opdracht geeft. De datahouder dient ervoor te zorgen dat de aan de derde ter beschikking gestelde data even nauwkeurig, volledig, betrouwbaar, relevant en actueel zijn als de data waartoe de datahouder zelf toegang heeft of kan hebben op basis van het gebruik van het product of de gerelateerde dienst. Bedrijfsgeheimen of intellectuele-eigendomsrechten moeten bij de verwerking van de data in acht worden genomen. Het is belangrijk om stimulansen te behouden om te investeren in producten met functionaliteiten die gebaseerd zijn op het gebruik van data van sensoren die in dat product zijn ingebouwd. Het doel van deze verordening moet dienovereenkomstig worden opgevat als het bevorderen van de ontwikkeling van nieuwe, innovatieve producten of aanverwante diensten, het stimuleren van innovatie op aftermarkets, maar ook het stimuleren van de ontwikkeling van volledig nieuwe diensten die gebruikmaken van de data, onder meer op basis van data van uiteenlopende producten of gerelateerde diensten. Tegelijkertijd mogen de investeringsprikkels voor het soort product waarvan de data afkomstig zijn, bijvoorbeeld door het gebruik van data om een concurrerend product te ontwikkelen, niet worden ondermijnd.

(29) Een derde partij aan wie data ter beschikking worden gesteld, kan een onderneming, een onderzoeksorganisatie of een non-profitorganisatie zijn. Bij het beschikbaar stellen van de data aan de derde mag de datahouder geen misbruik maken van zijn positie om een concurrentievoordeel te verkrijgen op markten waar de datahouder en de derde mogelijk rechtstreeks met elkaar concurreren. Daarom mag de datahouder ook geen door het gebruik van het product of de gerelateerde dienst gegenereerde data gebruiken om inzicht te verkrijgen in de economische situatie van de derde, zijn of haar activa of productiemethoden of het gebruik op een andere wijze die de commerciële positie van de derde op de markten waarop hij of zij actief is, zou kunnen ondermijnen.

(30) Het gebruik van een product of gerelateerde dienst kan, met name wanneer de gebruiker een natuurlijke persoon is, data genereren die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon (betrokkene). De verwerking van dergelijke data is onderworpen aan de regels van Verordening (EU) 2016/679, ook wanneer persoonsgegevens en niet-persoonsgebonden data in een dataset onlosmakelijk met elkaar verbonden zijn64. De betrokkene kan de gebruiker of een andere natuurlijke persoon zijn. Persoonsgegevens mogen alleen worden opgevraagd door een verwerkingsverantwoordelijke of een betrokkene. Een gebruiker die de betrokkene is, heeft op grond van Verordening (EU) 2016/679 onder bepaalde omstandigheden recht op toegang tot hem betreffende persoonsgegevens, en deze verordening laat deze rechten onverlet. Op grond van deze verordening heeft de gebruiker die een natuurlijke persoon is ook recht op toegang tot alle door het product gegenereerde, al dan niet persoonlijke data. Wanneer de gebruiker niet de betrokkene is, maar een onderneming, waaronder een eenmanszaak, en niet in geval van gedeeld huishoudelijk gebruik van het product, is de gebruiker een verwerkingsverantwoordelijke in de zin van Verordening (EU) 2016/679. Bijgevolg moet een gebruiker als verwerkingsverantwoordelijke die van plan is persoonsgegevens op te vragen die zijn gegenereerd door het gebruik van een product of een gerelateerde dienst, beschikken over een rechtsgrondslag voor de verwerking van de data op grond van artikel 6, lid 1, van Verordening (EU) 2016/679, zoals toestemming van de betrokkene of gerechtvaardigd belang. Deze gebruiker moet ervoor zorgen dat de betrokkene naar behoren wordt geïnformeerd over de gespecificeerde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden voor de verwerking van die data en over de wijze waarop de betrokkene zijn rechten daadwerkelijk kan uitoefenen. Wanneer de datahouder en de gebruiker gezamenlijke verwerkingsverantwoordelijken zijn in de zin van artikel 26 van Verordening (EU) 2016/679, zijn zij verplicht om door middel van een onderlinge regeling op transparante wijze hun respectieve verantwoordelijkheden voor de naleving van die verordening vast te stellen. Het moet duidelijk zijn dat een dergelijke gebruiker, zodra data beschikbaar zijn gesteld, op zijn beurt datahouder kan worden, indien hij aan de criteria van deze verordening voldoet en dus onderworpen wordt aan de verplichtingen om data beschikbaar te stellen uit hoofde van deze verordening.

(31) Data die door het gebruik van een product of verwante dienst worden gegenereerd, mogen alleen op verzoek van de gebruiker aan een derde ter beschikking worden gesteld. Deze verordening vormt een aanvulling op het recht in artikel 20 van Verordening (EU) 2016/679. Dat artikel voorziet in een recht van betrokkenen om hun persoonsgegevens in een gestructureerd, algemeen gebruikt en machineleesbaar formaat te ontvangen en deze gegevens door te geven aan andere verwerkingsverantwoordelijken, wanneer die gegevens worden verwerkt op basis van artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), of van een overeenkomst uit hoofde van artikel 6, lid 1, punt b). Betrokkenen moeten het recht hebben om de data direct van een verwerkingsverantwoordelijke naar een andere verwerkingsverantwoordelijke te laten overdragen. In artikel 20 wordt gespecificeerd dat dit betrekking heeft op door de betrokkene verstrekte data, maar wordt niet gespecificeerd of dit een actief gedrag van de zijde van de betrokkene vereist, dan wel of het ook van toepassing is op situaties waarin een product of een gerelateerde dienst door zijn ontwerp het gedrag van een betrokkene of andere informatie met betrekking tot een betrokkene op passieve wijze observeert. Het recht uit hoofde van deze verordening vormt op verschillende manieren een aanvulling op het recht om persoonsgegevens te ontvangen en over te dragen uit hoofde van artikel 20 van Verordening (EU) 2016/679. Het verleent gebruikers het recht op toegang tot en beschikbaarstelling aan derden van data die worden gegenereerd door het gebruik van een product of gerelateerde dienst, ongeacht of het persoonsgegevens betreft, en of het actief verstrekte of passief waargenomen data betreft en ongeacht de rechtsgrondslag van de verwerking. In tegenstelling tot de technische verplichtingen waarin artikel 20 van Verordening (EU) 2016/679 voorziet, voorziet deze verordening in de technische haalbaarheid van toegang van derden voor alle soorten data die binnen het toepassingsgebied van de verordening vallen, ongeacht of het persoonsgegevens of niet-persoonsgebonden data zijn. Het biedt de datahouder ook de mogelijkheid een redelijke vergoeding vast te stellen die door derden, maar niet door de gebruiker, moet worden betaald voor de kosten die voortvloeien uit het verlenen van rechtstreekse toegang tot de door het product van de gebruiker gegenereerde data. Indien een datahouder en een derde partij niet in staat zijn overeenstemming te bereiken over de voorwaarden voor een dergelijke rechtstreekse toegang, mag de betrokkene op geen enkele wijze worden belet de in Verordening (EU) 2016/679 vervatte rechten, waaronder het recht op overdraagbaarheid van data, uit te oefenen door overeenkomstig die verordening rechtsmiddelen in te stellen. In deze context moet worden begrepen dat, overeenkomstig Verordening (EU) 2016/679, de verwerking van bijzondere categorieën persoonsgegevens door de datahouder of de derde op grond van een contractuele overeenkomst niet is toegestaan.

(32) De toegang tot alle op eindapparatuur opgeslagen of via die eindapparatuur toegankelijke data is onderworpen aan Richtlijn 2002/58/EG en vereist de toestemming van de abonnee of gebruiker in de zin van die richtlijn, tenzij dit strikt noodzakelijk is voor de levering van een uitdrukkelijk door de gebruiker of abonnee gevraagde dienst van de informatiemaatschappij (of uitsluitend met het oog op de doorgifte van een communicatie). Richtlijn 2002/58/EG („e-privacyrichtlijn”) (en de voorgestelde e-privacyverordening) beschermt de integriteit van de eindapparatuur van de gebruiker wat betreft het gebruik van verwerkings- en opslagmogelijkheden en het verzamelen van informatie. Apparatuur voor het internet der dingen wordt als eindapparatuur beschouwd indien deze direct of indirect verbonden is met een openbaar communicatienetwerk.

(33) Om uitbuiting van gebruikers te voorkomen, mogen derden aan wie data op verzoek van de gebruiker beschikbaar zijn gesteld, de data alleen verwerken voor de met de gebruiker overeengekomen doeleinden en deze alleen met een andere derde delen indien dit noodzakelijk is om de door de gebruiker gevraagde dienst te verlenen.

(34) Overeenkomstig het beginsel van minimale gegevensverwerking mag de derde partij alleen toegang hebben tot aanvullende informatie die nodig is voor de levering van de door de gebruiker gevraagde dienst. Nadat toegang tot data is verkregen, mag de derde deze uitsluitend verwerken voor de met de gebruiker overeengekomen doeleinden, zonder inmenging van de datahouder. Het moet voor de gebruiker even gemakkelijk zijn om toegang van de derde tot de data te weigeren of stop te zetten als het voor de gebruiker is om toegang te verlenen. De derde mag de gebruiker op geen enkele manier dwingen, bedriegen of manipuleren door de autonomie, besluitvorming of keuzes van de gebruiker te ondermijnen of te beperken, onder meer door middel van een digitale interface met de gebruiker. In dit verband mogen derden zich bij het ontwerpen van hun digitale interfaces niet baseren op zogenaamde donkere patronen. Donkere patronen zijn ontwerptechnieken die consumenten aanzetten tot of misleiden in beslissingen die negatieve gevolgen voor hen hebben. Deze manipulatietechnieken kunnen worden gebruikt om gebruikers, met name kwetsbare consumenten, te overtuigen zich ongewenst te gedragen en gebruikers door nudging te misleiden zodat zij bepaalde beslissingen over de toegang tot hun data nemen of om hun beslissingen op onredelijke wijze te sturen, waardoor hun autonomie, besluitvorming en keuze worden ondermijnd en beperkt. Gangbare en legitieme handelspraktijken die in overeenstemming zijn met het EU-recht, mogen op zichzelf niet als donkere patronen worden beschouwd. Derden moeten voldoen aan hun verplichtingen uit hoofde van het toepasselijke EU-recht, met name de vereisten van Richtlijn 2005/29/EG, Richtlijn 2011/83/EU, Richtlijn 2000/31/EG en Richtlijn 98/6/EG.

(35) De derde mag de data ook niet gebruiken om personen te profileren, tenzij deze verwerkingsactiviteiten strikt noodzakelijk zijn om de door de gebruiker gevraagde dienst te verlenen. De verplichting om data te wissen wanneer deze niet langer nodig zijn voor het met de gebruiker overeengekomen doel, vormt een aanvulling op het recht van de betrokkene om de data te wissen overeenkomstig artikel 17 van Verordening (EG) nr. 2016/679. Wanneer de derde een aanbieder van een databemiddelingsdienst in de zin van [de datagovernanceverordening] is, zijn de waarborgen voor de betrokkene waarin die verordening voorziet, van toepassing. De derde partij mag de data gebruiken om een nieuw en innovatief product of een nieuwe innovatieve dienst te ontwikkelen, maar niet om een concurrerend product te ontwikkelen.

(36) Start-ups, kleine en middelgrote ondernemingen en bedrijven uit traditionele sectoren met minder ontwikkelde digitale mogelijkheden hebben moeite om toegang te krijgen tot relevante data. Deze verordening heeft tot doel de toegang tot data voor deze entiteiten te vergemakkelijken, en er tegelijkertijd voor te zorgen dat de overeenkomstige verplichtingen zo proportioneel mogelijk worden afgebakend om overschrijding van de reikwijdte te voorkomen. Tegelijkertijd is een klein aantal zeer grote ondernemingen ontstaan met niet alleen een aanzienlijke economische macht in de digitale economie door de accumulatie en aggregatie van grote hoeveelheden data, maar ook met de technologische infrastructuur om deze te gelde te maken. Tot deze ondernemingen behoren ondernemingen die kernplatformdiensten aanbieden die alle platformecosystemen in de digitale economie controleren en die bestaande of nieuwe marktdeelnemers niet kunnen aanvechten of betwisten. De [verordening betreffende betwistbare en eerlijke markten in de digitale sector (wet inzake digitale markten)] heeft tot doel deze inefficiënties en onevenwichtigheden te verhelpen door de Commissie toe te staan een aanbieder als „poortwachter” aan te wijzen, en legt een aantal verplichtingen op aan die aangewezen poortwachters, waaronder een verbod om bepaalde data zonder toestemming te combineren en een verplichting om te zorgen voor effectieve rechten op overdraagbaarheid van data uit hoofde van artikel 20 van Verordening (EU) 2016/679. In overeenstemming met de [verordening inzake betwistbare en eerlijke markten in de digitale sector (wet inzake digitale markten)] en gezien het ongeëvenaarde vermogen van deze ondernemingen om data te verkrijgen, zou het niet nodig zijn om de doelstelling van deze verordening te verwezenlijken, en zou het derhalve onevenredig zijn om datahouders te verplichten om dergelijke poortwachterondernemingen op te nemen als begunstigden van het recht op toegang tot data. Dit betekent dat een onderneming die kernplatformdiensten aanbiedt en als poortwachter is aangewezen, geen toegang kan vragen tot of toegang kan krijgen tot data van gebruikers die zijn gegenereerd door het gebruik van een product of gerelateerde dienst of door een virtuele assistent op basis van de bepalingen van hoofdstuk II van deze verordening. Een onderneming die kernplatformdiensten aanbiedt die overeenkomstig de wet inzake digitale markten als poortwachter is aangewezen, moet worden geacht alle juridische entiteiten van een groep ondernemingen te omvatten wanneer één juridische entiteit een kernplatformdienst aanbiedt. Bovendien mogen derden aan wie op verzoek van de gebruiker data ter beschikking worden gesteld, de data niet ter beschikking stellen van een aangewezen poortwachter. De derde mag bijvoorbeeld de dienstverlening niet uitbesteden aan een poortwachter. Derden mogen echter wel gebruikmaken van dataverwerkingsdiensten die door een aangewezen poortwachter worden aangeboden. Deze uitsluiting van aangewezen poortwachters van het toepassingsgebied van het toegangsrecht uit hoofde van deze verordening belet deze ondernemingen niet om data op andere legale wijze te verkrijgen.

(37) Gezien de huidige stand van de technologie is het te belastend om verdere ontwerpverplichtingen op te leggen met betrekking tot producten die worden vervaardigd of ontworpen en gerelateerde diensten die worden verleend door micro- en kleine ondernemingen. Dit is echter niet het geval wanneer de vervaardiging of het ontwerp van een product aan een micro- of kleine onderneming wordt uitbesteed. In dergelijke situaties kan de onderneming die deze taak aan de micro- of kleine onderneming heeft uitbesteed, de onderaannemer op passende wijze vergoeden. Een micro- of kleine onderneming kan niettemin als datahouder onderworpen zijn aan de vereisten van deze verordening, wanneer zij niet de fabrikant van het product of een aanbieder van gerelateerde diensten is.

(38) Deze verordening bevat algemene toegangsregels wanneer een datahouder wettelijk verplicht is data beschikbaar te stellen aan een ontvanger van data. Die toegang moet gebaseerd zijn op eerlijke, redelijke, niet-discriminerende en transparante voorwaarden, om te zorgen voor consistentie van de praktijken op het gebied van het delen van data op de interne markt, in alle sectoren, en om eerlijke praktijken voor het delen van data aan te moedigen en te bevorderen, zelfs op gebieden waar een dergelijk recht op toegang tot data niet wordt verleend. Deze algemene toegangsregels zijn niet van toepassing op verplichtingen om data beschikbaar te stellen uit hoofde van Verordening (EU) 2016/679. Deze regels hebben geen gevolgen voor het vrijwillig delen van data.

(39) Op basis van het beginsel van contractvrijheid moeten de partijen vrij kunnen blijven onderhandelen over de precieze voorwaarden voor het beschikbaar stellen van data in hun overeenkomsten, binnen het kader van de algemene regels voor het beschikbaar stellen van data.

(40) Om ervoor te zorgen dat de voorwaarden voor verplichte toegang tot data voor beide partijen eerlijk zijn, moeten de algemene regels inzake het recht op toegang tot data verwijzen naar de regel inzake het vermijden van oneerlijke contractvoorwaarden.

(41) Om het gebrek aan informatie over de voorwaarden van verschillende contracten te compenseren, waardoor het voor de ontvanger van de data moeilijk is om te beoordelen of de voorwaarden voor het beschikbaar stellen van de data niet discriminerend zijn, moet de datahouder aantonen dat een contractueel beding niet discriminerend is. Er is geen sprake van onrechtmatige discriminatie wanneer een datahouder verschillende contractvoorwaarden gebruikt om data beschikbaar te stellen of verschillende vergoedingen, indien deze verschillen om objectieve redenen gerechtvaardigd zijn. Deze verplichtingen laten Richtlijn (EU) 2016/679 onverlet.

(42) Als stimulans om te blijven investeren in het genereren van waardevolle data, waaronder investeringen in relevante technische instrumenten, bevat deze verordening het beginsel dat de datahouder een redelijke vergoeding kan vragen wanneer hij wettelijk verplicht is data beschikbaar te stellen aan de ontvanger van de data. Deze bepalingen mogen niet worden opgevat als het betalen voor de data zelf, maar in het geval van micro-, kleine of middelgrote ondernemingen, voor de gemaakte kosten en investeringen die nodig zijn om de data beschikbaar te stellen.

(43) In gerechtvaardigde gevallen, onder andere wanneer het noodzakelijk is om de deelname van de consument en de mededinging te waarborgen of innovatie op bepaalde markten te bevorderen, kan het EU-recht of de nationale wetgeving tot uitvoering van het EU-recht gereguleerde compensatie opleggen voor het beschikbaar stellen van specifieke soorten data.

(44) Om micro-, kleine en middelgrote ondernemingen te beschermen tegen buitensporige economische lasten die het voor hen commercieel te moeilijk zouden maken om innovatieve bedrijfsmodellen te ontwikkelen en uit te voeren, mag de compensatie voor het beschikbaar stellen van data niet hoger zijn dan de directe kosten van het beschikbaar stellen van de data en niet-discriminerend zijn.

(45) Directe kosten voor het beschikbaar stellen van data zijn de kosten die nodig zijn voor de reproductie, elektronische verspreiding en opslag, maar niet die voor het verzamelen of produceren van data. De directe kosten voor het beschikbaar stellen van data moeten beperkt blijven tot het aandeel dat kan worden toegeschreven aan de individuele verzoeken, rekening houdend met het feit dat de datahouder permanent de nodige technische interfaces of bijbehorende software en connectiviteit zal moeten opzetten. Bij regelmatige of herhaalde transacties in een zakelijke relatie kunnen de kosten in verband met het beschikbaar stellen van de data dalen wanneer houders en ontvangers van data langetermijnregelingen sluiten, bijvoorbeeld via een abonnementsmodel.

(46) Het is niet nodig in te grijpen in het geval van het delen van data tussen grote ondernemingen of wanneer de datahouder een kleine of middelgrote onderneming is en de ontvanger van de data een grote onderneming is. In dergelijke gevallen worden de ondernemingen geacht in staat te zijn te onderhandelen over een redelijke vergoeding, rekening houdend met factoren zoals de omvang, het formaat, de aard of het aanbod van en de vraag naar de data, alsmede de kosten voor het verzamelen en ter beschikking stellen van de data aan de ontvanger van de data.

(47) Transparantie is een belangrijk beginsel om ervoor te zorgen dat de door de datahouder gevraagde vergoeding redelijk is, of, indien de ontvanger van de data een micro-, kleine of middelgrote onderneming is, dat de vergoeding niet hoger is dan de kosten die rechtstreeks verband houden met het beschikbaar stellen van de data aan de ontvanger en toe te schrijven is aan het individuele verzoek. Om de ontvanger van de data in staat te stellen te beoordelen en na te gaan of de vergoeding voldoet aan de vereisten van deze verordening, moet de datahouder de ontvanger voldoende gedetailleerde informatie verstrekken voor de berekening van de vergoeding.

(48) Het waarborgen van toegang tot alternatieve manieren om binnenlandse en grensoverschrijdende geschillen in verband met het beschikbaar stellen van data op te lossen, moet ten goede komen aan houders en ontvangers van data en aldus het vertrouwen in het delen van data versterken. In gevallen waarin de partijen het niet eens kunnen worden over eerlijke, redelijke en niet-discriminerende voorwaarden voor het beschikbaar stellen van data, moeten de geschillenbeslechtingsorganen de partijen een eenvoudige, snelle en goedkope oplossing bieden.

(49) Om te voorkomen dat voor hetzelfde geschil twee of meer geschillenbeslechtingsorganen worden aangezocht, met name in een grensoverschrijdende context, moet een geschillenbeslechtingsorgaan een verzoek om beslechting van een geschil dat reeds voor een ander geschillenbeslechtingorgaan of voor een rechterlijke instantie van een lidstaat is gebracht, kunnen afwijzen.

(50) Partijen bij geschillenbeslechtingsprocedures mogen niet worden belet hun grondrechten op een doeltreffende voorziening in rechte en op een onpartijdig gerecht uit te oefenen. Daarom mag het besluit om een geschil aan een geschillenbeslechtingsorgaan voor te leggen die partijen niet het recht ontnemen om verhaal te halen bij een rechterlijke instantie van een lidstaat.

(51) Wanneer de ene partij zich in een sterkere onderhandelingspositie bevindt, bestaat het risico dat die partij die positie kan inzetten ten nadele van de andere overeenkomstsluitende partij bij de onderhandelingen over toegang tot data en de toegang tot data commercieel minder levensvatbaar en soms onbetaalbaar kan maken. Dergelijke contractuele onevenwichtigheden schaden met name het vermogen van micro-, kleine en middelgrote ondernemingen om te onderhandelen over de voorwaarden voor toegang tot data, die vaak geen andere keuze hebben dan contractvoorwaarden te aanvaarden, of het contract te laten schieten. Oneerlijke contractvoorwaarden die de toegang tot en het gebruik van data of de aansprakelijkheid en rechtsmiddelen in geval van schending of beëindiging van datagerelateerde verplichtingen regelen, mogen derhalve niet bindend zijn voor micro-, kleine of middelgrote ondernemingen wanneer deze eenzijdig aan hen zijn opgelegd.

(52) In de regels inzake contractvoorwaarden moet rekening worden gehouden met het beginsel van contractvrijheid als essentieel concept in de relaties tussen ondernemingen. Daarom moeten niet alle contractuele bedingen aan een oneerlijkheidstoets worden onderworpen, maar alleen bedingen die eenzijdig aan micro-, kleine en middelgrote ondernemingen worden opgelegd. Het gaat om situaties waarin een partij een bepaald contractueel beding voorstelt en de micro-, kleine of middelgrote onderneming geen invloed kan uitoefenen op de inhoud van dat beding, ondanks een poging om erover te onderhandelen. Een contractueel beding dat door één partij wordt voorgesteld en door de micro-, kleine of middelgrote onderneming is aanvaard, of een beding waarover is onderhandeld en dat vervolgens in gewijzigde vorm tussen de contractpartijen is overeengekomen, mag niet als eenzijdig opgelegd worden beschouwd.

(53) Daarnaast moeten de regels inzake oneerlijke contractvoorwaarden alleen van toepassing zijn op de elementen van een overeenkomst die verband houden met het beschikbaar stellen van data, dat wil zeggen contractuele voorwaarden betreffende de toegang tot en het gebruik van data, alsook aansprakelijkheid of rechtsmiddelen in geval van schending en beëindiging van datagerelateerde verplichtingen. Andere delen van hetzelfde contract die geen verband houden met het beschikbaar stellen van data, mogen niet worden onderworpen aan de in deze verordening vastgestelde oneerlijkheidstoets.

(54) Criteria voor het vaststellen van oneerlijke contractuele bedingen mogen alleen worden toegepast op buitensporige contractuele bedingen, waarbij misbruik wordt gemaakt van een sterkere onderhandelingspositie. De overgrote meerderheid van de contractuele voorwaarden die commercieel gunstiger zijn voor de ene partij dan voor de andere, waaronder voorwaarden die normaal zijn in overeenkomsten tussen ondernemingen, zijn een normale uitdrukking van het beginsel van contractvrijheid en blijven van toepassing.

(55) Indien een contractueel beding niet voorkomt in de lijst van bedingen die altijd als oneerlijk worden beschouwd of die geacht worden oneerlijk te zijn, is de algemene oneerlijkheidsbepaling van toepassing. In dit verband moeten de als oneerlijk aangemerkte bedingen als maatstaf dienen voor de interpretatie van de algemene oneerlijkheidsbepaling. Ten slotte kunnen door de Commissie te ontwikkelen en aanbevolen modelcontractvoorwaarden voor data-uitwisselingsovereenkomsten tussen ondernemingen ook nuttig zijn voor commerciële partijen bij de onderhandelingen over contracten.

(56) In situaties van uitzonderlijke noodzaak kan het nodig zijn dat overheidsinstanties of EU-instellingen, -agentschappen of -organen data die een onderneming in handen heeft, gebruiken om te reageren op algemene noodsituaties of in andere uitzonderlijke gevallen. Onderzoeksinstellingen en organisaties die onderzoek financieren, zouden ook als overheidsinstanties of overheidsondernemingen kunnen worden georganiseerd. Om de lasten voor het bedrijfsleven te beperken, moeten micro- en kleine ondernemingen worden vrijgesteld van de verplichting om in uitzonderlijke gevallen data te verstrekken aan overheidsinstanties en EU-instellingen, -agentschappen of -organen.

(57) In het geval van algemene noodsituaties, zoals noodsituaties op het gebied van de volksgezondheid, grote milieu- en natuurrampen, waaronder door de klimaatverandering verergerde rampen en door de mens veroorzaakte grote rampen, zoals grote cyberincidenten, zal het algemeen belang dat voortvloeit uit het gebruik van de data zwaarder wegen dan het belang van de datahouders om vrijelijk over hun data te beschikken. In dat geval moeten datahouders verplicht worden de data op verzoek beschikbaar te stellen aan overheidsinstanties of aan EU-instellingen, -agentschappen of -organen. Of er al dan niet sprake is van een algemene noodsituatie, wordt bepaald volgens de respectieve procedures in de lidstaten of van relevante internationale organisaties.

(58) Een uitzonderlijke noodzaak kan zich ook voordoen wanneer een overheidsinstantie kan aantonen dat de data nodig zijn om een algemene noodsituatie te voorkomen of om bij te dragen aan het herstel achteraf, in omstandigheden die zich in een redelijke verhouding tot de algemene noodsituatie in kwestie bevinden. Wanneer de uitzonderlijke noodzaak niet wordt gerechtvaardigd door de noodzaak om te reageren op, te voorkomen of bij te dragen aan het herstel na een algemene noodsituatie, moet de overheidsinstantie of de EU-instelling, het EU-agentschap of het EU-orgaan aantonen dat het door het gebrek aan tijdige toegang tot en gebruik van de gevraagde data niet in staat is een specifieke taak in het algemeen belang waarin uitdrukkelijk bij wet is voorzien, doeltreffend te vervullen. Een dergelijke uitzonderlijke noodzaak kan zich ook voordoen in andere situaties, bijvoorbeeld in verband met het tijdig opstellen van officiële statistieken wanneer data niet anderszins beschikbaar zijn of wanneer de lasten voor de statistische respondenten aanzienlijk zullen worden verminderd. Tegelijkertijd moet de overheidsinstantie of de EU-instelling, het EU-agentschap of het EU-orgaan, indien er geen sprake is van reactie op, voorkomen van of bijstand bij herstel na een algemene noodsituatie, aantonen dat er geen alternatieve manieren zijn om de gevraagde data te verkrijgen en dat de data niet tijdig kunnen worden verkregen door de nodige verplichtingen tot het verstrekken van data in nieuwe wetgeving vast te leggen.

(59) Deze verordening mag niet van toepassing zijn op, noch vooruitlopen op vrijwillige regelingen voor het uitwisselen van data tussen particuliere entiteiten en overheidsinstanties. Deze verordening mag geen afbreuk doen aan de verplichtingen van datahouders om data te verstrekken op basis van behoeften van niet-uitzonderlijke aard, met name wanneer het scala aan data en datahouders bekend is en het datagebruik regelmatig kan plaatsvinden, zoals in het geval van rapportageverplichtingen en internemarktverplichtingen. Deze verordening mag evenmin van invloed zijn op de vereisten inzake toegang tot data om de naleving van de toepasselijke regels te controleren, onder andere in gevallen waarin overheidsinstanties de controle op de naleving toevertrouwen aan andere entiteiten dan overheidsinstanties.

(60) Voor de uitoefening van hun taken op het gebied van het voorkomen, het onderzoek, de opsporing en de vervolging van strafbare en administratieve overtredingen, de tenuitvoerlegging van strafrechtelijke en administratieve sancties en het verzamelen van data voor belasting- of douanedoeleinden, moeten overheidsinstanties en EU-instellingen, -agentschappen of -organen gebruikmaken van hun bevoegdheden uit hoofde van de sectorale wetgeving. Deze verordening doet derhalve geen afbreuk aan instrumenten voor het delen van, de toegang tot en het gebruik van data op die gebieden.

(61) Een evenredig, beperkt en voorspelbaar kader op EU-niveau is noodzakelijk voor het beschikbaar stellen van data door datahouders, in geval van uitzonderlijke noodzaak, aan de overheidsinstanties en EU-instellingen, -agentschappen of -organen, zowel om rechtszekerheid te waarborgen als om de administratieve lasten voor bedrijven tot een minimum te beperken. Daartoe moeten verzoeken om data van overheidsinstanties en EU-instellingen, -agentschappen en -organen aan datahouders transparant en evenredig zijn wat betreft de inhoud en de gedetailleerdheid ervan. Het doel van het verzoek en het beoogde gebruik van de gevraagde data moeten specifiek en duidelijk worden toegelicht, waarbij de verzoekende entiteit voldoende flexibiliteit moet worden geboden om haar taken in het algemeen belang uit te voeren. In het verzoek moet ook rekening worden gehouden met de legitieme belangen van de bedrijven waaraan het verzoek is gericht. De lasten voor datahouders moeten tot een minimum worden beperkt door de verzoekende entiteiten te verplichten het eenmaligheidsbeginsel in acht te nemen, dat voorkomt dat dezelfde data meer dan eens worden opgevraagd door meer dan één overheidsinstantie of EU-instelling, -agentschap of -orgaan wanneer die data nodig zijn om te reageren op een algemene noodsituatie. Om de transparantie te waarborgen, moeten verzoeken om data van overheidsinstanties en EU-instellingen, -agentschappen of -organen zonder onnodige vertraging openbaar worden gemaakt door de entiteit die om de data verzoekt en moeten alle verzoeken die door een algemene noodsituatie worden gerechtvaardigd online worden gepubliceerd.

(62) Het doel van de verplichting om de data te verstrekken is ervoor te zorgen dat overheidsinstanties en EU-instellingen, -agentschappen of -organen over de nodige kennis beschikken om te reageren op noodsituaties in de openbare sector, deze te voorkomen of ervan te herstellen of om de capaciteit te behouden om specifieke taken te vervullen waarin de wet uitdrukkelijk voorziet. De door deze entiteiten verkregen data kunnen commercieel gevoelig zijn. Richtlijn (EU) 2019/1024 van het Europees Parlement en de Raad65 mag derhalve niet van toepassing zijn op data die uit hoofde van deze verordening beschikbaar worden gesteld en deze data mogen niet worden beschouwd als open data die beschikbaar zijn voor hergebruik door derde partijen. Dit mag echter geen afbreuk doen aan de toepasselijkheid van Richtlijn (EU) 2019/1024 op het hergebruik van officiële statistieken voor de productie waarvan op grond van deze verordening verkregen data zijn gebruikt, mits het hergebruik geen betrekking heeft op de onderliggende data. Bovendien mag dit geen afbreuk doen aan de mogelijkheid om data te delen voor het verrichten van onderzoek of voor het opstellen van officiële statistieken, mits aan de voorwaarden van deze verordening is voldaan. Het moet overheidsinstanties ook worden toegestaan om op grond van deze verordening verkregen data uit te wisselen met andere overheidsinstanties om tegemoet te komen aan de uitzonderlijke noodzaak waarvoor de data zijn opgevraagd.

(63) datahouders moeten de mogelijkheid hebben om binnen een termijn van 5 of 15 werkdagen te vragen om een wijziging of intrekking van het verzoek van een overheidsinstantie of EU-instelling, -agentschap of -orgaan, afhankelijk van de aard van de uitzonderlijke noodzaak waarop het verzoek betrekking heeft. In het geval van verzoeken op grond van een algemene noodsituatie, moet er een gegronde reden zijn om de data niet beschikbaar te stellen indien kan worden aangetoond dat het verzoek vergelijkbaar is met of identiek is aan een eerder ingediend verzoek voor hetzelfde doel van een andere overheidsinstantie of van een andere EU-instelling, -agentschap of -orgaan. Een datahouder die het verzoek afwijst of om wijziging verzoekt, moet de onderliggende motivering voor deze afwijzing meedelen aan de overheidsinstantie of aan de EU-instelling, het EU-agentschap of -orgaan die om de data verzoekt. Indien de databankrechten sui generis uit hoofde van Richtlijn 96/6/EG van het Europees Parlement en de Raad66 van toepassing zijn op de gevraagde datasets, moeten de datahouders hun rechten uitoefenen op een wijze die de overheidsinstantie of de EU-instelling, het EU-agentschap of -orgaan niet belet de data overeenkomstig deze verordening te verkrijgen of te delen.

(64) Wanneer het strikt noodzakelijk is persoonsgegevens op te nemen in de data die ter beschikking worden gesteld van een overheidsinstantie of EU-instelling, -agentschap of -orgaan, moeten de toepasselijke regels inzake de bescherming van persoonsgegevens worden nageleefd en moet het beschikbaar stellen van de data en het daaropvolgende gebruik ervan vergezeld gaan van waarborgen voor de rechten en belangen van de personen op wie die data betrekking hebben. De instantie die de data opvraagt, moet de strikte noodzaak en de specifieke en beperkte doeleinden van de verwerking aantonen. De datahouder moet redelijke inspanningen leveren om de data te anonimiseren of, indien een dergelijke anonimisering onmogelijk blijkt, moet de datahouder technologische middelen, zoals pseudonimisering en aggregatie, toepassen alvorens de data beschikbaar te stellen.

(65) Data die op basis van een uitzonderlijke noodzaak ter beschikking worden gesteld van overheidsinstanties en EU-instellingen, -agentschappen en -organen, mogen alleen worden gebruikt voor het doel waarvoor zij werden gevraagd, tenzij de datahouder die de data beschikbaar heeft gesteld, uitdrukkelijk heeft ingestemd met het gebruik van de data voor andere doeleinden. De data moeten worden vernietigd zodra zij niet langer nodig zijn voor het in het verzoek vermelde doel, tenzij anders overeengekomen, en de datahouder moet daarvan in kennis worden gesteld.

(66) Bij het hergebruik van door datahouders verstrekte data moeten overheidsinstanties, EU-instellingen, -agentschappen en -organen zowel de bestaande toepasselijke wetgeving als de contractuele verplichtingen die op de datahouder van toepassing zijn, eerbiedigen. Wanneer de openbaarmaking van bedrijfsgeheimen van de datahouder aan overheidsinstanties of aan EU-instellingen, -agentschappen of -organen strikt noodzakelijk is voor het doel waarvoor de data zijn opgevraagd, moet de datahouder de garantie krijgen dat die openbaarmaking vertrouwelijk zal gebeuren.

(67) Wanneer de bescherming van een aanzienlijk algemeen belang in het geding is, zoals het reageren op algemene noodsituaties, mag van overheidsinstanties of EU-instellingen, -agentschappen of -organen niet worden verwacht dat zij ondernemingen voor de verkregen data vergoeden. Algemene noodsituaties zijn zeldzame gebeurtenissen en niet al deze noodsituaties vereisen het gebruik van data die in het handen zijn van ondernemingen. De zakelijke activiteiten van de datahouders zullen daarom waarschijnlijk niet negatief worden beïnvloed als gevolg van het feit dat overheidsinstanties of EU-instellingen, -agentschappen of -organen een beroep doen op deze verordening. Aangezien er echter vaker sprake kan zijn van een uitzonderlijke noodzaak dan enkel om te reageren op een algemene noodsituatie, waaronder gevallen van preventie of herstel van een algemene noodsituatie, moeten datahouders in dergelijke gevallen recht hebben op een redelijke vergoeding die niet hoger mag zijn dan de technische en organisatorische kosten die zijn gemaakt om aan het verzoek te voldoen en de redelijke marge die nodig is om de data beschikbaar te stellen aan de overheidsinstantie of de EU-instelling, het EU-agentschap of het EU-orgaan. De vergoeding mag noch worden opgevat als een betaling voor de data zelf, noch als een verplichte vergoeding.

(68) De overheidsinstanties of EU-instellingen, agentschappen of organen mogen de data die zij op grond van het verzoek hebben verkregen, delen met andere entiteiten of personen wanneer dit nodig is om wetenschappelijk onderzoek of analyses uit te voeren die zij niet zelf kunnen uitvoeren. Dergelijke data kunnen onder dezelfde omstandigheden ook worden gedeeld met de nationale bureaus voor de statistiek en Eurostat voor het opstellen van officiële statistieken. Dergelijke onderzoeksactiviteiten moeten echter verenigbaar zijn met het doel waarvoor de data zijn opgevraagd en de datahouder moet worden geïnformeerd over het delen van de door hem verstrekte data met andere entiteiten. Personen die onderzoek verrichten of onderzoeksorganisaties waarmee deze data kunnen worden gedeeld, moeten handelen zonder winstoogmerk of in het kader van een door de staat erkende taak van algemeen belang. Organisaties waarop commerciële ondernemingen een beslissende invloed uitoefenen, waardoor dergelijke ondernemingen zeggenschap kunnen uitoefenen vanwege structurele situaties die zouden kunnen leiden tot preferentiële toegang tot de resultaten van het onderzoek, mogen voor de toepassing van deze verordening niet als onderzoeksorganisaties worden beschouwd.

(69) De mogelijkheid voor klanten van dataverwerkingsdiensten, waaronder cloud- en edgediensten, om over te stappen van de ene op de andere dataverwerkingsdienst, met behoud van een minimale functionaliteit van de dienst, is een essentiële voorwaarde voor een meer concurrerende markt met lagere toetredingsdrempels voor nieuwe dienstverleners.

(70) Verordening (EU) 2018/1807 van het Europees Parlement en de Raad moedigt dienstverleners aan om doeltreffende zelfregulerende gedragscodes te ontwikkelen en uit te voeren die beste werkwijzen bevatten voor onder meer een gemakkelijkere overstap naar een andere aanbieder van dataverwerkingsdiensten en het overdragen van data. Gezien de beperkte doeltreffendheid van de als reactie daarop ontwikkelde zelfreguleringskaders en het algemene gebrek aan open normen en interfaces, is het noodzakelijk een reeks minimale wettelijke verplichtingen voor aanbieders van dataverwerkingsdiensten vast te stellen om contractuele, economische en technische belemmeringen voor een doeltreffende overstap tussen dataverwerkingsdiensten uit de weg te ruimen.

(71) Dataverwerkingsdiensten moeten betrekking hebben op diensten die toegang op aanvraag en brede toegang op afstand mogelijk maken tot een schaalbare en elastische pool van gedeelde en gedistribueerde computerbronnen. Deze computerbronnen omvatten onder andere netwerken, servers of andere virtuele of fysieke infrastructuur, besturingssystemen, software, waaronder softwareontwikkelingsinstrumenten, opslag, toepassingen en diensten. Het vermogen van de gebruiker van dataverwerkingsdiensten om eenzijdig zelfvoorzienend te zijn, zoals servertijd of netwerkopslag, zonder enige menselijke interactie door de dienstverlener, zou kunnen worden omschreven als beheer op verzoek. Met “brede toegang op afstand” wordt bedoeld: de computercapaciteit wordt via het netwerk aangeboden en is toegankelijk via mechanismen die het gebruik van heterogene thin- of thick-client-platforms bevorderen (van webbrowsers, mobiele telefoons, tot werkstations). Met “schaalbaar” wordt bedoeld: computercapaciteit die, ongeacht de geografische locatie van de capaciteit, op flexibele wijze door aanbieders van dataverwerkingsdiensten wordt toegewezen om schommelingen in de vraag te kunnen opvangen Met “elastische groep” wordt bedoeld: de computercapaciteit die, afhankelijk van de vraag, ter beschikking wordt gesteld en wordt vrijgegeven om deze beschikbare capaciteit snel te kunnen verhogen of verlagen naargelang van het werkvolume. Met “gedeeld” wordt bedoeld: de computercapaciteit die ter beschikking wordt gesteld van meerdere gebruikers die een gemeenschappelijke toegang tot de dienst hebben, maar waarbij de verwerking voor elke gebruiker afzonderlijk plaatsvindt, hoewel de dienst door middel van dezelfde elektronische apparatuur wordt verleend. Met “gedistribueerd” wordt bedoeld: de computercapaciteit die zich op verschillende netwerkcomputers of -toestellen bevindt en die onderling communiceert en coördineert door middel van het doorgeven van berichten. De term „sterk gedistribueerd” wordt gebruikt om dataverwerkingsdiensten te beschrijven die betrekking hebben op dataverwerking dichter bij de plaats waar data worden gegenereerd of verzameld, bijvoorbeeld in een verbonden dataverwerkingsapparaat. Edge computing, een vorm van dergelijke sterk gedistribueerde dataverwerking, zal naar verwachting nieuwe bedrijfsmodellen en modellen voor de levering van clouddiensten genereren, die van meet af aan open en interoperabel moeten zijn.

(72) Deze verordening heeft tot doel de overstap tussen dataverwerkingsdiensten te vergemakkelijken, inclusief alle voorwaarden en acties waarmee klanten een contractuele overeenkomst van een dataverwerkingsdienst kunnen beëindigen, een of meerdere nieuwe contracten kunnen afsluiten met verschillende aanbieders van dataverwerkingsdiensten, al hun digitale activa, waaronder hun data, aan de betrokken andere aanbieders over kunnen dragen en deze in de nieuwe omgeving kunnen blijven gebruiken en tegelijkertijd te profiteren van functionele gelijkwaardigheid. Digitale activa hebben betrekking op elementen in digitaal formaat waarvoor de klant het gebruiksrecht heeft, waaronder data, toepassingen, virtuele machines en andere uitingen van virtualiseringstechnologieën, zoals containers. Functionele gelijkwaardigheid betekent het handhaven van een minimumniveau van functionaliteit van een dienst na het overstappen, dit moet technisch haalbaar worden geacht wanneer zowel de oorspronkelijke als de nieuwe dataverwerkingsdienst (geheel of gedeeltelijk) hetzelfde type dienst bestrijken. Metadata die door het gebruik van een dienst door de klant worden gegenereerd, moeten ook overdraagbaar zijn overeenkomstig de bepalingen van deze verordening inzake het overstappen.

(73) Wanneer aanbieders van dataverwerkingsdiensten op hun beurt klant zijn van dataverwerkingsdiensten die door een derde aanbieder worden verleend, zullen zij zelf profiteren van doeltreffender overstappen, terwijl zij tegelijkertijd nog steeds gebonden zijn aan de verplichtingen van deze verordening voor wat hun eigen dienstenaanbod betreft.

(74) Aanbieders van dataverwerkingsdiensten moeten worden verplicht alle bijstand en ondersteuning te bieden die nodig zijn om het overstapproces succesvol en doeltreffend te maken, zonder dat van deze aanbieders wordt verlangd dat zij binnen of op basis van de IT-infrastructuur van verschillende aanbieders van dataverwerkingsdiensten nieuwe categorieën diensten ontwikkelen om functionele gelijkwaardigheid in een andere omgeving dan hun eigen systemen te waarborgen. Niettemin zijn dienstverleners verplicht alle bijstand en ondersteuning te bieden die nodig zijn om het overstapproces doeltreffend te laten verlopen. Bestaande rechten in verband met de beëindiging van contracten, waaronder de rechten die zijn ingevoerd bij Verordening (EU) 2016/679 en Richtlijn (EU) 2019/770 van het Europees Parlement en de Raad67, moeten onverlet worden gelaten.

(75) Om het overstappen tussen dataverwerkingsdiensten te vergemakkelijken, moeten aanbieders van dataverwerkingsdiensten het gebruik van implementatie- en/of nalevingsinstrumenten overwegen, met name die welke door de Commissie zijn gepubliceerd in de vorm van een rulebook voor clouddiensten. Met name modelcontractbepalingen zijn nuttig om het vertrouwen in dataverwerkingsdiensten te vergroten, een evenwichtigere relatie tussen gebruikers en dienstverleners tot stand te brengen en de rechtszekerheid te verbeteren met betrekking tot de voorwaarden die gelden voor de overstap naar andere dataverwerkingsdiensten. In dit licht moeten gebruikers en dienstverleners overwegen gebruik te maken van modelcontractbepalingen die zijn ontwikkeld door relevante organen of deskundigengroepen die krachtens het EU-recht zijn opgericht.

(76) Open interoperabiliteitsspecificaties en -normen die zijn ontwikkeld overeenkomstig de punten 3 en 4 van bijlage II bij Verordening (EU) nr. 1025/2021 op het gebied van interoperabiliteit en overdraagbaarheid, maken een naadloze cloudomgeving met diverse verkopers mogelijk, wat een belangrijke vereiste is voor open innovatie in de Europese data-economie. Aangezien niet is gebleken dat marktgestuurde processen leiden tot het vaststellen van technische specificaties of normen die doeltreffende cloudinteroperabiliteit op het PaaS-niveau (platform-as-a-service) en SaaS (software as-a-service) bevorderen, moet de Commissie op basis van deze verordening en in overeenstemming met Verordening (EU) nr. 1025/2012 Europese normalisatie-instellingen kunnen verzoeken dergelijke normen te ontwikkelen, met name voor soorten diensten waarvoor dergelijke normen nog niet bestaan. Daarnaast zal de Commissie de marktpartijen aanmoedigen relevante open interoperabiliteitsspecificaties te ontwikkelen. De Commissie kan door middel van gedelegeerde handelingen het gebruik van Europese normen voor interoperabiliteit of open interoperabiliteitsspecificaties voor specifieke soorten diensten voorschrijven, door middel van een verwijzing in een centraal register voor EU-normen voor de interoperabiliteit van dataverwerkingsdiensten. Er wordt alleen naar Europese normen en open interoperabiliteitsspecificaties verwezen indien deze in overeenstemming zijn met de in deze verordening gespecificeerde criteria, die dezelfde betekenis hebben als de eisen in de punten 3 en 4 van bijlage II bij Verordening (EU) nr. 1025/2021 en de interoperabiliteitsfacetten zoals gedefinieerd in ISO/IEC 19941:2017.

(77) Derde landen mogen wetten, voorschriften en andere rechtshandelingen vaststellen die gericht zijn op het rechtstreeks overdragen van of het verlenen van toegang door de overheid tot niet-persoonsgebonden data die zich buiten hun grenzen, waaronder in de EU, bevinden. Rechterlijke uitspraken of besluiten van andere juridische of administratieve instanties, waaronder van rechtshandhavingsinstanties van derde landen die vereisen dat persoonsgegevens worden overgedragen of dat er toegang tot die gegevens wordt verschaft, moeten afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtshulp, tussen het verzoekende derde land en de EU of een lidstaat. In andere gevallen kunnen zich situaties voordoen waarin een verzoek om overdracht van of het verlenen van toegang tot niet-persoonsgebonden data op grond van het recht van een derde land in strijd is met een verplichting om die data te beschermen op grond van het EU-recht of het nationale recht, met name wat betreft de bescherming van de grondrechten van het individu, zoals het recht op veiligheid en het recht op een doeltreffende voorziening in rechte, of de fundamentele belangen van een lidstaat in verband met nationale veiligheid of defensie, alsmede de bescherming van commercieel gevoelige data, inclusief de bescherming van bedrijfsgeheimen, en de bescherming van intellectuele-eigendomsrechten, waaronder zijn contractuele verbintenissen inzake vertrouwelijkheid in overeenstemming met dat recht. Bestaan er geen internationale overeenkomsten die dergelijke kwesties regelen, dan mag overdracht of toegang worden toegestaan indien gecontroleerd is dat het systeem van het derde land voorschrijft dat de redenen voor en de evenredigheid van het besluit worden toegelicht, dat het vonnis of het besluit van de rechtbank een specifiek karakter heeft, en dat het met redenen omklede bezwaar van de geadresseerde wordt getoetst door een bevoegde rechtbank in het derde land die gemachtigd is om rekening te houden met de relevante juridische belangen van de dataverstrekker. Indien mogelijk op grond van de voorwaarden van het verzoek om toegang tot data van de autoriteit van het derde land, moet de aanbieder van dataverwerkingsdiensten de klant wiens data worden opgevraagd hierover kunnen informeren om na te gaan of er sprake is van een mogelijk conflict van een dergelijke toegang met EU- of nationale voorschriften, zoals die inzake de bescherming van commercieel gevoelige data, waaronder de bescherming van bedrijfsgeheimen en intellectuele-eigendomsrechten en de contractuele verbintenissen inzake vertrouwelijkheid.

(78) Om het vertrouwen in de data te vergroten, is het belangrijk dat de waarborgen met betrekking tot de EU-burgers, de overheidssector en het bedrijfsleven zo veel mogelijk worden toegepast om de controle over hun data te waarborgen. Daarnaast moeten het EU-recht, de EU-waarden en de EU-normen in acht worden genomen op het gebied van (maar niet beperkt tot) veiligheid, gegevensbescherming en privacy, en consumentenbescherming. Om onrechtmatige toegang tot niet-persoonsgebonden data te voorkomen, moeten aanbieders van dataverwerkingsdiensten die onder dit instrument vallen, zoals cloud- en edgediensten, alle redelijke maatregelen nemen om de toegang tot de systemen waar niet-persoonsgebonden data worden opgeslagen te voorkomen, onder meer, in voorkomend geval, door middel van versleuteling van data, frequente audits, de geverifieerde naleving van relevante certificeringsregelingen voor veiligheidsgaranties en de wijziging van het bedrijfsbeleid.

(79) Normalisatie en semantische interoperabiliteit moeten een sleutelrol spelen bij het bieden van technische oplossingen om interoperabiliteit te waarborgen. Om de conformiteit met de interoperabiliteitseisen te vergemakkelijken, moet worden voorzien in een vermoeden van conformiteit voor interoperabiliteitsoplossingen die voldoen aan geharmoniseerde normen of delen daarvan, overeenkomstig Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad. De Commissie moet gemeenschappelijke specificaties vaststellen op gebieden waar geen geharmoniseerde normen bestaan of waar deze ontoereikend zijn voor betere interoperabiliteit van de gemeenschappelijke Europese dataruimten, applicatieprogramma-interfaces, overstappen naar andere clouddiensten en slimme contracten. Daarnaast kunnen er nog gemeenschappelijke specificaties in de verschillende sectoren worden vastgesteld, overeenkomstig de sectorale wetgeving van de EU of de lidstaten, op basis van de specifieke behoeften van die sectoren. Herbruikbare datastructuren en -modellen (in de vorm van kernvocabularia), ontologieën, toepassingsprofielen van metadata, referentiedata in de vorm van kernvocabulaire, taxonomieën, codelijsten, autoriteitstabellen en thesauri moeten ook deel uitmaken van de technische specificaties voor semantische interoperabiliteit. Daarnaast moet de Commissie in staat worden gesteld opdracht te geven tot het ontwikkelen van geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten.

(80) Om de interoperabiliteit van slimme contracten in toepassingen voor data-uitwisseling te bevorderen, moeten essentiële eisen worden vastgesteld voor slimme contracten voor professionals die slimme contracten voor anderen sluiten of dergelijke slimme contracten integreren in toepassingen die de uitvoering van overeenkomsten voor het delen van data ondersteunen. Om de conformiteit van dergelijke slimme contracten met die essentiële eisen te vergemakkelijken, moet worden voorzien in een vermoeden van conformiteit voor interoperabiliteitsoplossingen die voldoen aan geharmoniseerde normen of delen daarvan, overeenkomstig Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad.

(81) Met het oog op een efficiënte uitvoering van deze verordening moeten de lidstaten hiervoor een of meer bevoegde autoriteiten aanwijzen. Indien een lidstaat meer dan één bevoegde autoriteit aanwijst, moet hij ook een coördinerende bevoegde autoriteit aanwijzen. De bevoegde autoriteiten moeten met elkaar samenwerken. De autoriteiten die verantwoordelijk zijn voor het toezicht op de naleving van gegevensbescherming en de bevoegde autoriteiten die krachtens sectorale wetgeving zijn aangewezen, moeten verantwoordelijk zijn voor de toepassing van deze verordening op hun bevoegdheidsgebieden.

(82) Om hun rechten uit hoofde van deze verordening te doen gelden, moeten natuurlijke en rechtspersonen het recht hebben verhaal te halen voor inbreuken op hun rechten uit hoofde van deze verordening door een klacht in te dienen bij de bevoegde autoriteiten. Die autoriteiten moeten worden verplicht samen te werken om ervoor te zorgen dat de klacht naar behoren wordt behandeld en opgelost. Om gebruik te maken van het samenwerkingsnetwerkmechanisme voor consumentenbescherming en om representatieve vorderingen mogelijk te maken, wijzigt deze verordening de bijlagen bij Verordening (EU) 2017/2394 van het Europees Parlement en de Raad68 en Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad69.

(83) De bevoegde autoriteiten van de lidstaten moeten ervoor zorgen dat inbreuken op de in deze verordening vastgestelde verplichtingen worden bestraft met sancties. Daarbij moeten zij rekening houden met de aard, de ernst, de frequentie en de duur van de inbreuk, het algemeen belang, de omvang en de aard van de verrichte activiteiten, alsmede de economische draagkracht van de inbreukpleger. Zij moeten er rekening mee houden of de inbreukpleger systematisch of herhaaldelijk zijn of haar verplichtingen uit hoofde van deze verordening niet nakomt. Om ondernemingen te helpen contracten op te stellen en daarover te onderhandelen, moet de Commissie niet-verplichte modelcontractvoorwaarden voor data-uitwisselingsovereenkomsten tussen ondernemingen ontwikkelen en aanbevelen, indien nodig rekening houdend met de voorwaarden in specifieke sectoren en de bestaande praktijken met vrijwillige mechanismen voor data-uitwisseling. Deze modelcontractvoorwaarden moeten in de eerste plaats een praktisch instrument zijn om met name kleinere ondernemingen te helpen een contract te sluiten. Wanneer deze modelcontractvoorwaarden op grote schaal en integraal worden gebruikt, moeten zij ook het gunstige effect hebben dat zij van invloed zijn op de opzet van contracten inzake de toegang tot en het gebruik van data en derhalve in bredere zin leiden tot eerlijkere contractuele betrekkingen bij de toegang tot en het delen van data.

(84) Om het risico weg te nemen dat houders van data in databanken die zijn verkregen of gegenereerd door middel van fysieke componenten, zoals sensoren, van een verbonden product en een gerelateerde dienst, aanspraak maken op het recht sui generis uit hoofde van artikel 7 van Richtlijn 96/9/EG wanneer dergelijke databanken niet in aanmerking komen voor het recht sui generis, en daardoor de daadwerkelijke uitoefening van het recht van gebruikers op toegang tot en gebruik van data en het recht om data met derde partijen te delen uit hoofde van deze verordening belemmeren, moet in deze verordening worden verduidelijkt dat het recht sui generis niet van toepassing is op dergelijke databanken aangezien niet aan de vereisten voor bescherming zou zijn voldaan.

(85) Teneinde rekening te houden met de technische aspecten van dataverwerkingsdiensten, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen om deze verordening aan te vullen met het oog op de invoering van een monitoringmechanisme voor overstapkosten die door aanbieders van dataverwerkingsdiensten op de markt wordt opgelegd, tot nadere bepaling van de essentiële eisen inzake interoperabiliteit voor exploitanten van dataruimten en aanbieders van dataverwerkingsdiensten en tot publicatie van de referentie van open interoperabiliteitsspecificaties en Europese normen voor de interoperabiliteit van dataverwerkingsdiensten. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen geschieden in overeenstemming met de beginselen van het Interinstitutioneel Akkoord over beter wetgeven van 13 april 201670. Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(86) Om eenvormige voorwaarden voor de uitvoering van deze verordening te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om deze verordening aan te vullen, zodat zij gemeenschappelijke specificaties kan vaststellen met het oog op de interoperabiliteit van gemeenschappelijke Europese dataruimten en datadeling, het overstappen tussen dataverwerkingsdiensten, de interoperabiliteit van slimme contracten en technische middelen, zoals applicatieprogramma-interfaces, teneinde de transmissie van data tussen partijen mogelijk te maken, ook continu of realtime en voor kernvocabularia van semantische interoperabiliteit, en zodat zij gemeenschappelijke specificaties voor slimme contracten kan vaststellen. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad71.

(87) Deze verordening mag geen afbreuk doen aan specifieke bepalingen van EU-handelingen op het gebied van data-uitwisseling tussen bedrijven, tussen bedrijven en consumenten en tussen bedrijven en overheidsinstanties die vóór de datum van vaststelling van deze verordening zijn vastgesteld. Met het oog op de samenhang en de soepele werking van de interne markt moet de Commissie, in voorkomend geval, het verband tussen deze verordening en de handelingen tot regeling van het delen van data die zijn vastgesteld vóór de datum van vaststelling van deze verordening evalueren, om na te gaan of die specifieke bepalingen in overeenstemming moeten worden gebracht met deze verordening. Deze verordening mag geen afbreuk doen aan regels die gericht zijn op specifieke behoeften van afzonderlijke sectoren of gebieden van algemeen belang. Dergelijke regels kunnen aanvullende vereisten omvatten met betrekking tot technische aspecten van de toegang tot data, zoals interfaces voor de toegang tot data, of de wijze waarop toegang tot data kan worden verleend, bijvoorbeeld rechtstreeks vanuit het product of via databemiddelingsdiensten. Dergelijke regels kunnen ook beperkingen omvatten van de rechten van datahouders om toegang te krijgen tot of gebruik te maken van gebruikersdata, of andere aspecten dan de toegang tot en het gebruik van data, zoals governance-aspecten. Deze verordening mag evenmin afbreuk doen aan specifiekere regels in het kader van de ontwikkeling van gemeenschappelijke Europese dataruimten.

(88) Deze verordening doet geen afbreuk aan de toepassing van de mededingingsregels, met name niet aan de artikelen 101 en 102 van het Verdrag. De maatregelen van deze verordening mogen niet worden gebruikt om de mededinging te beperken op een wijze die strijdig is met het Verdrag.

(89) Om de economische actoren in staat te stellen zich aan te passen aan de nieuwe regels van deze verordening, moeten zij een jaar na de inwerkingtreding van de verordening van toepassing worden.

(90) Overeenkomstig artikel 42 van Verordening (EU) 2018/1725 zijn de Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming geraadpleegd, en op [XX XX 2022] hebben zij hun gezamenlijke advies uitgebracht,