In het kader van de Europese Datagovernanceverordening (hierna: DGA), die tot doel heeft een breder scala aan gegevens beschikbaar te stellen voor algemeen gebruik binnen de Europese Unie, heeft de Afdeling Advisering van de Raad van State (hierna: de AARvS) de taak gekregen om te adviseren over de uitvoeringswet ter implementatie van deze verordening. Dit nieuwsbericht belicht twee essentiële aspecten van het advies van de AARvS: de gecompliceerde aard van de DGA en de rol van toezichthouders binnen dit kader. Ten slotte wordt het spanningsveld tussen privacy en datagovernance aangekaart, gevolgd door een afsluitende conclusie.
Achtergrond DGA
De DGA maakt deel uit van de Europese datastrategie die beoogt de ontwikkeling van de data-economie te stimuleren en te faciliteren. Met de DGA wordt een juridisch raamwerk vastgesteld voor het hergebruik en de toegankelijkheid van overheidsgegevens, het delen van gegevens door particulieren of entiteiten via databemiddelingsdiensten en het bevorderen van vrijwillig gegevensdelen in het algemeen belang, waarbij data-altruïstische organisaties een rol spelen. Binnen deze context is een uitvoeringswet noodzakelijk om de DGA binnen de nationale rechtsorde te verankeren en uitvoerbaar te maken. Hoewel de DGA als Europese verordening rechtstreeks van toepassing is in alle lidstaten, biedt de uitvoeringswet de gelegenheid om nationale aanvullingen te introduceren om de verordening praktisch te implementeren en eventuele lacunes aan te vullen.
Complexiteit
Het advies van de AARvS benadrukt diverse essentiële aspecten die aandacht behoeven in het kader van de uitvoeringswet voor de DGA. Allereerst wordt gewezen op de gecompliceerde aard van de Europese datastrategie en de samenhang van de DGA met andere bestaande en toekomstige Europese regelgeving, zoals de Algemene Verordening Gegevensbescherming (hierna: AVG). Ondanks deze inhoudelijke verwevenheid wordt in de toelichting van het wetsvoorstel beperkte aandacht besteed aan de complexe samenhang en de gevolgen daarvan voor de nationale praktijk. Het advies dringt aan op een uitvoerigere toelichting waarin deze complexe relatie nader wordt belicht en de afstemming tussen verschillende regelgevingskaders duidelijker wordt geschetst.
Toezichthouders binnen de DGA
Binnen de kaders van de AVG is de Autoriteit Persoonsgegevens (hierna: AP) belast met het toezicht op de verwerking van persoonsgegevens en de bescherming van individuele privacyrechten. De AP speelt een cruciale rol bij het waarborgen van de rechtspositie van individuen met betrekking tot de bescherming van hun persoonsgegevens. In het kader van de DGA wordt de AP voorgesteld als adviserende instantie aan de Autoriteit Consument & Markt met betrekking tot de naleving van de AVG door databemiddelingsdiensten en data-altruïstische organisaties. Dit stelt de AP in staat om expertise in te brengen op het gebied van gegevensbescherming binnen het bredere kader van datagovernance.
Het voorgestelde samenwerkingsmechanisme tussen de AP en de ACM wordt echter als problematisch beschouwd. Het advies merkt op dat de huidige opzet ruimte laat voor potentieel tegenstrijdige besluitvorming, waarbij de ACM ondanks een negatief advies van de AP toch tot registratie van een databemiddelingsdienst of data-altruïstische organisatie kan overgaan.
Het advies benadrukt dat het wetsvoorstel niet moet leiden tot een formele regulering van de samenwerking tussen deze twee instanties, maar eerder moet voortbouwen op de bestaande informele praktijk van samenwerking tussen toezichthouders.
Daarnaast wordt kort aandacht besteed aan het voorgestelde Europees Comité voor gegevensinnovatie. Dit comité, waarin nationale toezichthouders zijn vertegenwoordigd, heeft tot doel de Europese Commissie te adviseren over diverse kwesties met betrekking tot datagebruik en -innovatie. Het advies benadrukt het belang van transparantie en de betrokkenheid van belanghebbenden bij de werkzaamheden van dit comité.
Spanningsveld tussen Privacy en Datagovernance
De DGA voorziet in een kader waarbinnen gegevens die binnen de overheid zijn verzameld en mogelijk niet direct geschikt zijn voor openbaarmaking, toch ter beschikking kunnen worden gesteld aan zowel commerciële als niet-commerciële derden voor hergebruik. Dit roept echter vragen op met betrekking tot het beginsel van doelbinding uit de AVG. Volgens de AVG moeten persoonsgegevens worden verzameld voor specifieke, duidelijk omschreven en gerechtvaardigde doeleinden, en mogen ze niet verder worden verwerkt op een manier die onverenigbaar is met die doeleinden.
Volgens de AVG moeten persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen zij vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Als secundair gebruik niet op basis van toestemming of een Unierechtelijke of nationale grondslag die een noodzakelijke en evenredige maatregel vormt ter waarborging van doelstellingen genoemd in artikel 23, eerste lid, AVG plaatsvindt, dient de verwerkingsverantwoordelijke met een aantal criteria rekening te houden om te beoordelen of de verwerking onverenigbaar zou zijn met het doel waarvoor de persoonsgegevens zijn verzameld.
Dit roept de vraag op hoe het hergebruik in overeenstemming met dit wetsvoorstel zich verhoudt tot het doelbindingsbeginsel uit de AVG. Het kan immers persoonsgegevens betreffen die zijn verzameld voor een specifieke overheidstaak en die – meestal zonder toestemming van de betrokkene – ter beschikking komen van derden die deze gebruiken voor een ander dan het oorspronkelijke doel. Omdat zij dat doel zelf kunnen bepalen, is het de vraag of het beginsel van doelbinding in dat geval in feite nog voldoende betekenis kan hebben. De AARvS adviseert in de toelichting in te gaan op de verhouding tussen hergebruik en het doelbindingsbeginsel.
Conclusie
In conclusie werpt het advies van de AARvS licht op cruciale aspecten bij de implementatie van de DGA via een nationale uitvoeringswet. Terwijl het doel van de DGA is om datagovernance en het algemeen belang te bevorderen, rijst de uitdaging van het handhaven van de balans tussen datagovernance en privacybescherming. De complexe relatie tussen de DGA en andere relevante Europese regelgeving, zoals de AVG, vereist een diepgaandere toelichting en afstemming in de uitvoeringswet om duidelijkheid te scheppen en inconsistenties te voorkomen.
Bron: https://www.raadvanstate.nl/adviezen/@137348/w18-23-00113-iv/
Dit artikel is op 24 augustus 2023 gepubliceerd als nieuwsbericht voor Sdu OpMaat Privacyrecht en is geschreven door Mustafa Said
