European flag

Publicatieblad
van de Europese Unie

NL

Serie L


2023/2854

22.12.2023

VERORDENING (EU) 2023/2854 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 13 december 2023

betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data en tot wijziging van Verordening (EU) 2017/2394 en Richtlijn (EU) 2020/1828 (Dataverordening)

(Voor de EER relevante tekst)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van de Europese Centrale Bank (1),

Gezien het advies van het Europees Economisch en Sociaal Comité (2),

Gezien het advies van het Comité van de Regio’s (3),

Handelend volgens de gewone wetgevingsprocedure (4),

Overwegende hetgeen volgt:

(1)

De afgelopen jaren hebben datagestuurde technologieën alle sectoren van de economie grondig getransformeerd. Met name de verspreiding van producten die verband houden met het internet heeft het volume en de potentiële waarde van gegevens voor consumenten, bedrijven en de samenleving vergroot. Hoogwaardige en interoperabele gegevens uit verschillende domeinen vergroten het concurrentievermogen en de innovatie en zorgen voor duurzame economische groei. Dezelfde gegevens kunnen voor verschillende doeleinden onbeperkt worden gebruikt en hergebruikt, zonder dat dit invloed heeft op de kwaliteit of kwantiteit ervan.

(2)

Belemmeringen voor het delen van gegevens staan een optimale verdeling van gegevens in het belang van de samenleving in de weg. Die belemmeringen zijn onder meer een gebrek aan stimulansen voor gegevenshouders om vrijwillig gegevensdelingsovereenkomsten te sluiten, onzekerheid over de rechten en plichten met betrekking tot gegevens, de kosten van de overeenkomsten en implementeren van technische interfaces, de hoge mate van versnippering van informatie in datasilo’s, slecht beheer van metagegevens, het ontbreken van normen voor semantische en technische interoperabiliteit, knelpunten die de toegang tot gegevens belemmeren, een gebrek aan gemeenschappelijke praktijken voor het delen van gegevens en misbruik van contractuele onevenwichtigheden met betrekking tot de toegang tot en het gebruik van gegevens.

(3)

In sectoren die worden gekenmerkt door de aanwezigheid van micro-, kleine en middelgrote ondernemingen zoals gedefinieerd in artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie (5) (kmo’s), is er vaak een gebrek aan digitale capaciteiten en vaardigheden om gegevens te verzamelen, te analyseren en te gebruiken, en is de toegang vaak beperkt doordat de gegevens in handen zijn van één partij in het systeem, of door een gebrek aan interoperabiliteit tussen gegevens, tussen datadiensten of over de grenzen heen.

(4)

Om tegemoet te komen aan de behoeften van de digitale economie en om belemmeringen voor een goed functionerende interne datamarkt weg te nemen, moet er een geharmoniseerd kader worden vastgesteld waarin wordt gespecificeerd wie, onder welke voorwaarden en op welke basis, het recht heeft om productgegevens of gegevens van een gerelateerde dienst te gebruiken. Bijgevolg mogen de lidstaten geen aanvullende nationale voorschriften vaststellen of handhaven over aangelegenheden die binnen het toepassingsgebied van deze verordening vallen, tenzij hierin uitdrukkelijk bepaald, aangezien dit gevolgen zou hebben voor de rechtstreekse en uniforme toepassing van deze verordening. Bovendien mogen maatregelen op Unieniveau geen afbreuk doen aan de verplichtingen en verbintenissen in door de Unie gesloten internationale handelsovereenkomsten.

(5)

Deze verordening waarborgt dat gebruikers van een verbonden product of gerelateerde dienst in de Unie tijdig toegang hebben tot de gegevens die door het gebruik van dat verbonden product of die gerelateerde dienst worden gegenereerd en dat die gebruikers de gegevens kunnen gebruiken, onder meer door die te delen met derden van hun keuze. De verordening verplicht gegevenshouders om gegevens in bepaalde omstandigheden ter beschikking te stellen van gebruikers en door de gebruiker gekozen derden. Daarnaast zorgt de verordening er ook voor dat gegevenshouders hun gegevens onder eerlijke, redelijke en niet-discriminerende voorwaarden en op transparante wijze ter beschikking stellen van gegevensontvangers in de Unie. Privaatrechtelijke regels zijn van cruciaal belang in het algemene kader voor gegevensdeling. Daarom worden bij deze verordening de regels van het overeenkomstenrecht aangepast, ter voorkoming van misbruik van contractuele onevenwichtigheden die een eerlijke toegang tot en een eerlijk gebruik van gegevens belemmeren. Deze verordening waarborgt ook dat gegevenshouders de gegevens die nodig zijn voor de uitvoering van een specifieke taak in het algemeen belang ter beschikking stellen van overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie, indien er sprake is van een uitzonderlijke noodzaak. Daarnaast beoogt deze verordening het overstappen tussen dataverwerkingsdiensten te vergemakkelijken en de interoperabiliteit van gegevens en van mechanismen en diensten voor gegevensdeling in de Unie te verbeteren. Deze verordening mag niet worden uitgelegd als het erkennen of verlenen van een nieuw recht aan gegevenshouders om gegevens te gebruiken die door het gebruik van een verbonden product of gerelateerde dienst zijn gegenereerd.

(6)

Het genereren van gegevens is het resultaat van acties van ten minste twee actoren, met name de ontwerper of fabrikant van een verbonden product, die in veel gevallen ook een aanbieder van gerelateerde diensten kan zijn, en de gebruiker van verbonden producten of gerelateerde diensten. Het roept vragen op over eerlijkheid in de digitale economie, aangezien de door verbonden producten of gerelateerde diensten geregistreerde gegevens belangrijke input vormen voor aftermarketdiensten, ondersteunende en andere diensten. Om de belangrijke economische baten van gegevens te realiseren, onder meer door gegevensdeling op basis van vrijwillige overeenkomsten en de ontwikkeling van datagestuurde waardecreatie door ondernemingen in de Unie, is een algemene benadering van de toekenning van rechten inzake de toegang tot en het gebruik van gegevens te verkiezen boven de toekenning van exclusieve toegangs- en gebruiksrechten. Deze verordening voorziet in horizontale regels die kunnen worden gevolgd in Unie- of nationaal recht dat tegemoetkomt aan de specifieke omstandigheden van de relevante sectoren.

(7)

Het grondrecht op bescherming van persoonsgegevens wordt met name gewaarborgd door de Verordeningen (EU) 2016/679 (6) en (EU) 2018/1725 (7) van het Europees Parlement en de Raad. Daarnaast beschermt Richtlijn 2002/58/EG van het Europees Parlement en de Raad (8) het privéleven en de vertrouwelijkheid van communicatie, onder meer door voorwaarden te stellen aan de opslag van en de toegang tot persoonsgegevens en niet-persoonsgebonden gegevens in eindapparatuur. Die wetgevingshandelingen van de Unie vormen de basis voor duurzame en verantwoorde dataverwerking, ook wanneer datasets een mix van persoonsgegevens en niet-persoonsgebonden gegevens bevatten. Deze verordening vormt een aanvulling op en doet geen afbreuk aan het Unierecht inzake de bescherming van persoonsgegevens en privacy, met name Verordeningen (EU) 2016/679 en (EU) 2018/1725 en Richtlijn 2002/58/EG. Geen enkele bepaling van deze verordening mag zodanig worden toegepast of uitgelegd dat het recht op bescherming van persoonsgegevens of het recht op privacy en vertrouwelijkheid van communicatie wordt beperkt. Elke verwerking van persoonsgegevens op grond van deze verordening moet voldoen aan de gegevensbeschermingswetgeving van de Unie, met inbegrip van het vereiste van een geldige rechtsgrond voor verwerking uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, de voorwaarden van artikel 9 van die verordening en artikel 5, lid 3, van Richtlijn 2002/58/EG. Deze verordening vormt geen rechtsgrond voor het verzamelen of genereren van persoonsgegevens door de gegevenshouder. In plaats daarvan legt deze verordening gegevenshouders de verplichting op om persoonsgegevens beschikbaar te stellen aan gebruikers of datasubjecten derden naar keuze van de gebruiker, op verzoek van die gebruiker. Dergelijke toegang moet worden verleend tot persoonsgegevens die door de gegevenshouder worden verwerkt op basis van een van de in artikel 6 van Verordening (EU) 2016/679 bedoelde rechtsgronden. Indien de gebruiker geen datasubject is, schept deze verordening echter geen rechtsgrond om toegang te verlenen tot persoonsgegevens of persoonsgegevens ter beschikking te stellen van een derde, en mag zij niet worden opgevat als een verlening van een nieuw recht aan de gegevenshouder om persoonsgegevens te gebruiken die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd. In die gevallen kan het in het belang van de gebruiker zijn om de naleving van de vereisten van artikel 6 van Verordening (EU) 2016/679 te faciliteren. Aangezien deze verordening geen negatieve gevolgen mag hebben voor de gegevensbeschermingsrechten van datasubjecten, kan de gegevenshouder in die gevallen gevolg geven aan verzoeken door onder meer persoonsgegevens te anonimiseren of, wanneer de direct beschikbare gegevens persoonsgegevens van verschillende datasubjecten bevatten, alleen persoonsgegevens met betrekking tot de gebruiker door te geven.

(8)

De beginselen van minimale dataverwerking en gegevensbescherming door ontwerp en door standaardinstellingen zijn van essentieel belang wanneer de verwerking aanzienlijke risico’s inhoudt voor de grondrechten van personen. Rekening houdend met de stand van de techniek moeten alle partijen bij gegevensdeling, ook wanneer gegevensdeling binnen het toepassingsgebied van deze verordening valt, technische en organisatorische maatregelen nemen om die rechten te beschermen. Dergelijke maatregelen omvatten niet alleen pseudonimisering en encryptie, maar ook het gebruik van toenemend beschikbare technologie waarmee algoritmen op de gegevens kunnen worden toegepast, en waarmee waardevolle inzichten kunnen worden verkregen zonder overdracht tussen partijen of onnodig kopiëren van de ruwe of gestructureerde gegevens zelf.

(9)

Tenzij deze verordening anders bepaalt, doet zij geen afbreuk aan het nationale overeenkomstenrecht, waaronder de regels betreffende de totstandkoming, de geldigheid of de gevolgen van overeenkomsten, of de gevolgen van de beëindiging van een overeenkomst. Deze verordening vormt een aanvulling op en doet geen afbreuk aan het Unierecht dat erop gericht is de belangen van consumenten te behartigen en een hoog niveau van consumentenbescherming te waarborgen, alsook de gezondheid, veiligheid en economische belangen van consumenten te beschermen, met name Richtlijn 93/13/EEG van de Raad (9) en de Richtlijnen 2005/29/EG (10) en 2011/83/EU (11) van het Europees Parlement en de Raad.

(10)

Deze verordening doet geen afbreuk aan Unie- en nationale rechtshandelingen die voorzien in het delen van, de toegang tot en het gebruik van gegevens met het oog op de preventie van, onderzoek naar, opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen, of voor douane- en belastingdoeleinden, ongeacht de rechtsgrond uit hoofde van het Verdrag betreffende de werking van de Europese Unie (VWEU) op grond waarvan dergelijke Unierechtshandelingen zijn vastgesteld, en evenmin aan internationale samenwerking in dit verband, met name op basis van het op 23 november 2001 te Boedapest ondertekende Verdrag van de Raad van Europa inzake cybercriminaliteit (CETS nr. 185). Dergelijke handelingen omvatten de Verordeningen (EU) 2021/784 (12), (EU) 2022/2065 (13) en (EU) 2023/1543 van het Europees Parlement en de Raad (14), en Richtlijn (EU) 2023/1544 van het Europees Parlement en de Raad (15). Deze verordening is niet van toepassing op het verzamelen of delen van, de toegang tot of het gebruik van gegevens op grond van Verordening (EU) 2015/847 van het Europees Parlement en de Raad (16) en Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad (17). Deze verordening is niet van toepassing op gebieden die buiten het toepassingsgebied van het Unierecht vallen en doet in geen geval afbreuk aan de bevoegdheden van de lidstaten op het gebied van openbare veiligheid, defensie of nationale veiligheid, douane- en belastingadministratie of de gezondheid en veiligheid van burgers, ongeacht het soort entiteit dat door de lidstaten is belast met de uitvoering van taken in verband met die bevoegdheden.

(11)

Tenzij dit specifiek is bepaald in deze verordening, mag zij geen afbreuk doen aan het Unierecht tot vaststelling van fysiekontwerp- en gegevensvereisten voor producten die in de Unie in de handel worden gebracht.

(12)

Deze verordening vormt een aanvulling op en doet geen afbreuk aan het Unierecht tot vaststelling van toegankelijkheidseisen voor bepaalde producten en diensten, met name Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad (18).

(13)

Deze verordening doet geen afbreuk aan Unie- en nationale rechtshandelingen inzake de bescherming van intellectuele-eigendomsrechten, waaronder de Richtlijnen 2001/29/EG (19), 2004/48/EG (20), en (EU) 2019/790 (21) van het Europees Parlement en de Raad.

(14)

Verbonden producten die door middel van hun componenten of besturingssystemen gegevens over hun prestaties, gebruik of omgeving verkrijgen, genereren of verzamelen en die via een elektronische-communicatiedienst, fysieke verbinding of apparaattoegang — ook vaak “het internet der dingen” genoemd — kunnen communiceren, moeten onder deze verordening vallen, met uitzondering van prototypen. Voorbeelden van dergelijke elektronische-communicatiediensten zijn met name vaste telefoonnetwerken, televisiekabelnetwerken, satellietnetwerken en NFC-netwerken (Near Field Communication). Verbonden producten zijn te vinden in alle onderdelen van de economie en de samenleving, waaronder particuliere, civiele of commerciële infrastructuur, voertuigen, gezondheids- en lifestyleapparatuur, schepen, vliegtuigen, huishoudelijke apparatuur en consumptiegoederen, medische en gezondheidsapparatuur of landbouw- en industriële machines. De ontwerpkeuzes van fabrikanten en, in voorkomend geval, Unie- of nationaal recht dat tegemoetkomt aan sectorspecifieke behoeften en doelstellingen of besluiten van de bevoegde autoriteiten, moeten bepalen welke gegevens een verbonden product beschikbaar kan stellen.

(15)

De gegevens vertegenwoordigen de digitalisering van handelingen van de gebruiker en gebeurtenissen en moeten daarom toegankelijk zijn voor de gebruiker. De regels inzake de toegang tot en het gebruik van gegevens van verbonden producten en gerelateerde diensten in het kader van deze verordening hebben betrekking op zowel productgegevens als gegevens van een gerelateerde dienst. Productgegevens zijn gegevens die worden gegenereerd door het gebruik van een verbonden product, die door de fabrikant zo ontworpen zijn dat die via het verbonden product kunnen worden opgevraagd door een gebruiker, gegevenshouder of derde, inclusief, waar nodig, de fabrikant. Ook gegevens van een gerelateerde dienst weerspiegelen de digitalisering van handelingen van gebruikers of gebeurtenissen in verband met het verbonden product en worden gegenereerd tijdens de verlening van een gerelateerde dienst door de aanbieder. Gegevens die door het gebruik van een verbonden product of gerelateerde dienst worden gegenereerd, moeten worden opgevat als gegevens die doelbewust zijn geregistreerd of indirect voortvloeien uit handelingen van gebruikers, zoals gegevens over de omgeving van het verbonden product of interacties van het product. Dit moet gegevens omvatten over het gebruik van een verbonden product die door een gebruikersinterface of via een gerelateerde dienst zijn gegenereerd; dit mag niet beperkt blijven tot de informatie dat het gebruik heeft plaatsgevonden, maar moet alle gegevens omvatten die het verbonden product als gevolg van dat gebruik genereert, zoals gegevens die automatisch worden gegenereerd door sensoren en gegevens die zijn geregistreerd door ingebedde toepassingen, met inbegrip van toepassingen die de hardware-status en storingen aangeven. Dit moet ook gegevens omvatten die door het verbonden product of de gerelateerde dienst worden gegenereerd tijdens perioden waarin de gebruiker niet actief is, bijvoorbeeld wanneer de gebruiker een verbonden product gedurende een bepaalde periode niet gebruikt, in de stand-bystand laat staan of zelfs uitschakelt, aangezien de status van een verbonden product of onderdelen ervan, zoals batterijen, kan variëren naargelang het verbonden product in stand-by staat of uitgeschakeld is. Gegevens die niet substantieel worden gewijzigd, namelijk gegevens in ruwe vorm, ook wel bron- of primaire gegevens genoemd, die betrekking hebben op gegevenspunten die automatisch worden gegenereerd zonder verdere verwerking, alsmede om gegevens die zijn voorbewerkt om ze voorafgaand aan verdere verwerking en analyse begrijpelijk en bruikbaar te maken, vallen binnen het toepassingsgebied van deze verordening. Dergelijke gegevens omvatten gegevens die zijn verzameld door een individuele sensor of een verbonden groep sensoren om de verzamelde gegevens begrijpelijk te maken voor bredere gebruikssituaties door ze uit te drukken in een fysieke kwantiteit of kwaliteit of verandering in een fysieke grootheid, zoals temperatuur, druk, debiet, audio, pH-waarde, vloeistofniveau, positie, versnelling of snelheid. De term “voorbewerkte gegevens” mag niet zodanig worden uitgelegd dat de gegevenshouder wordt verplicht aanzienlijke investeringen te doen in het zuiveren en omzetten van de gegevens. De gegevens die beschikbaar moeten worden gesteld moeten de relevante metagegevens omvatten, met inbegrip van de basiscontext en de tijdstempel, om de gegevens bruikbaar te maken, in combinatie met andere gegevens, zoals gegevens die zijn gesorteerd en gerubriceerd met andere gegevenspunten die er betrekking op hebben, of die zijn geherformatteerd in een gangbaar formaat. Dergelijke gegevens zijn potentieel waardevol voor de gebruiker en ondersteunen innovatie en de ontwikkeling van digitale en andere diensten die het milieu, de gezondheid en de circulaire economie beschermen, onder meer door het onderhoud en de reparatie van de verbonden producten in kwestie te vergemakkelijken. Uit dergelijke gegevens afgeleide of voortkomende informatie, die het resultaat is van extra investeringen in het koppelen van waarden of inzichten aan die gegevens, met name middels door eigendomsrechten beschermde, complexe algoritmen, met inbegrip van algoritmen die deel uitmaken van door eigendomsrechten beschermde software, mag daarentegen niet binnen het toepassingsgebied van deze verordening vallen en mag bijgevolg niet worden onderworpen aan de verplichting van een gegevenshouder om die beschikbaar te stellen aan een gebruiker of gegevensontvanger, tenzij de gebruiker en de gegevenshouder anders zijn overeengekomen. Dergelijke gegevens kunnen met name informatie omvatten die is verkregen door middel van sensorfusie, waarbij gegevens worden afgeleid of herleid van door meerdere sensoren gegenereerde gegevens, die in het verbonden product worden verzameld met behulp van door eigendomsrechten beschermde, complexe algoritmen, en die onderworpen kunnen zijn aan intellectuele-eigendomsrechten.

(16)

Deze verordening stelt gebruikers van verbonden producten in staat gebruik te maken van aftermarketdiensten, ondersteunende en andere diensten op basis van gegevens die zijn verzameld door in producten ingebouwde sensoren, aangezien het verzamelen van die gegevens waardevol kan zijn om de prestaties van de verbonden producten te verbeteren. Het is belangrijk om een onderscheid te maken tussen enerzijds markten voor de levering van dergelijke met sensoren uitgeruste verbonden producten en gerelateerde diensten en anderzijds markten voor niet-gerelateerde software en inhoud zoals tekst-, audio- of audiovisuele inhoud, die vaak onder intellectuele-eigendomsrechten valt. Bijgevolg mogen gegevens die door dergelijke met sensoren uitgeruste verbonden producten worden gegenereerd wanneer de gebruiker inhoud registreert, verzendt, weergeeft of afspeelt, net als de — doorgaans door intellectuele-eigendomsrechten beschermde — inhoud zelf, onder meer voor gebruik door een onlinedienst, niet onder deze verordening vallen. Deze verordening mag evenmin van toepassing zijn op gegevens die via het verbonden product zijn verkregen, gegenereerd of geraadpleegd, of die aan het product zijn doorgegeven met het oog op opslag of andere verwerkingshandelingen namens andere partijen die niet de gebruiker zijn, zoals het geval kan zijn met betrekking tot servers of cloudinfrastructuur die door hun of haar eigenaars volledig namens derden worden geëxploiteerd, onder meer voor gebruik door een onlinedienst.

(17)

Er moeten regels worden vastgesteld betreffende producten die op het ogenblik van de aankoop, huur of leasing op dusdanige wijze met een gerelateerde dienst zijn verbonden dat het verbonden product een of meer van zijn functies niet kan vervullen wanneer die dienst ontbreekt, of die achteraf door de fabrikant of een derde met het product worden verbonden om de functies van het verbonden product aan te passen of aan te vullen. Die gerelateerde diensten gaan gepaard met de uitwisseling van gegevens tussen het verbonden product en de dienstverlener en moeten worden geacht uitdrukkelijk te zijn gekoppeld aan de werking van de functies van het verbonden product, zoals diensten die, in voorkomend geval, aan het verbonden product commando’s doorgeven die de werking of het gedrag van het verbonden product kunnen beïnvloeden. Diensten die geen gevolgen kunnen hebben voor de werking van het verbonden product en waarbij de dienstverlener geen gegevens of commando’s aan het verbonden product doorgeeft, mogen niet als gerelateerde diensten worden beschouwd. Het kan bijvoorbeeld gaan om ondersteunende consultancy-, analyse- of financiële diensten of regelmatige reparatie- en onderhoudsdiensten. Gerelateerde diensten kunnen worden aangeboden als onderdeel van de verkoop-, huur- of leasingovereenkomst. Gerelateerde diensten kunnen ook gebruikelijk zijn voor goederen van hetzelfde type en gebruikers kunnen die diensten redelijkerwijs verwachten, rekening houdend met de aard van het verbonden product en met publiekelijk gedane mededelingen van of namens de verkoper, verhuurder, leasegever of andere personen in eerdere schakels van de transactieketen, zoals de fabrikant. Die gerelateerde diensten kunnen zelf gegevens genereren die voor de gebruiker waardevol zijn, onafhankelijk van de gegevensverzamelingscapaciteit van het verbonden product waarmee zij verbonden zijn. Deze verordening moet ook van toepassing zijn op gerelateerde diensten die niet door de verkoper, verhuurder of leasegever zelf worden verleend maar door een derde. In geval van twijfel over de vraag of de dienst wordt verleend als onderdeel van de verkoop-, huur- of leaseovereenkomst, dient deze verordening van toepassing te zijn. Noch het leveren van stroom noch het leveren van connectiviteit mogen in het kader van deze verordening worden beschouwd als gerelateerde diensten.

(18)

Onder gebruiker van een verbonden product moet worden verstaan een natuurlijke of rechtspersoon, zoals een bedrijf, een consument of een overheidsinstantie, die de eigenaar is van een verbonden product, bepaalde tijdelijke rechten heeft gekregen, bijvoorbeeld door middel van een huur- of leaseovereenkomst, om toegang te krijgen tot of gebruik te maken van gegevens die zijn verkregen van het verbonden product, of die gerelateerde diensten voor het verbonden product ontvangt. Die toegangsrechten mogen de rechten van datasubjecten die met een verbonden product of een gerelateerde dienst interageren met betrekking tot persoonsgegevens die door het verbonden product of tijdens de verlening van de gerelateerde dienst worden gegenereerd, op geen enkele manier wijzigen of verstoren. De gebruiker draagt de risico’s en geniet de voordelen van het gebruik van het verbonden product en moet ook toegang hebben tot de gegevens die het verbonden product genereert. De gebruiker moet daarom het recht hebben voordeel te halen uit de gegevens die door dat verbonden product en alle gerelateerde diensten worden gegenereerd. Een eigenaar, huurder of leasenemer moet ook als een gebruiker worden beschouwd, ook wanneer meerdere entiteiten als gebruikers kunnen worden beschouwd. Als er meerdere gebruikers zijn, kan elke gebruiker op verschillende wijze bijdragen aan het genereren van gegevens en belang hebben bij verschillende vormen van gebruik, zoals vlootbeheer voor een leaseonderneming of mobiliteitsoplossingen voor gebruikers van een autodeeldienst.

(19)

Datageletterdheid heeft betrekking op de vaardigheden, de kennis en het inzicht die gebruikers, consumenten en bedrijven, met name kmo’s die onder deze verordening vallen, in staat stellen zich bewust te worden van de potentiële waarde van de gegevens die zij genereren, produceren en delen en die hen motiveert om hun gegevens aan te bieden en toegankelijk te maken overeenkomstig de desbetreffende wettelijke regels. Datageletterdheid moet verder gaan dan leren over instrumenten en technologieën en moet erop gericht zijn burgers en ondernemingen de hefbomen aan te reiken en in staat te stellen om de vruchten te plukken van een inclusieve en eerlijke datamarkt. De uitrol van maatregelen op het gebied van datageletterdheid en de invoering van passende follow-upacties zou bijdragen tot betere arbeidsomstandigheden, en uiteindelijk de consolidatie en het innovatietraject van de dataeconomie in de Unie ondersteunen. De bevoegde autoriteiten moeten instrumenten bevorderen en maatregelen vaststellen om de datageletterdheid van gebruikers en entiteiten die onder deze verordening vallen te verbeteren en hen bewust te maken van hun rechten en plichten uit hoofde van deze verordening.

(20)

In de praktijk zijn niet alle door verbonden producten of gerelateerde diensten gegenereerde gegevens gemakkelijk toegankelijk voor de gebruikers ervan, en zijn de mogelijkheden wat betreft de overdraagbaarheid van gegevens die zijn gegenereerd door producten die verbonden zijn met het internet, vaak beperkt. Vaak kunnen gebruikers niet de gegevens verkrijgen die nodig zijn om gebruik te maken van aanbieders van reparatie- en andere diensten, en kunnen bedrijven geen innovatieve, gemakkelijke en efficiëntere diensten lanceren. In veel sectoren zijn fabrikanten in staat om door hun controle over het technische ontwerp van de verbonden producten of de gerelateerde diensten te bepalen welke gegevens worden gegenereerd en hoe die kunnen worden geraadpleegd, hoewel zij geen wettelijk recht op die gegevens hebben. Daarom moet ervoor worden gezorgd dat verbonden producten zodanig worden ontworpen en vervaardigd en dat gerelateerde diensten zodanig worden ontworpen en geleverd dat productgegevens en gegevens van een gerelateerde dienst — waaronder de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onder meer om ze op te vragen, te gebruiken of te delen — voor een gebruiker te allen tijde gemakkelijk en veilig, kosteloos en in een omvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat toegankelijk zijn. Productgegevens en gegevens van een gerelateerde dienst die een gegevenshouder zonder onevenredige inspanningen rechtmatig verkrijgt of kan verkrijgen van het verbonden product of de gerelateerde dienst, bijvoorbeeld door middel van het productontwerp, de overeenkomst tussen de gegevenshouder en de gebruiker voor de verlening van gerelateerde diensten en de technische middelen daarvan voor toegang tot gegevens, worden “eenvoudig beschikbare gegevens” genoemd. Eenvoudig beschikbare gegevens omvatten geen gegevens die worden gegenereerd door het gebruik van een verbonden product waarvan het ontwerp er niet in voorziet dat die gegevens worden opgeslagen of doorgegeven buiten het onderdeel waarin zij worden gegenereerd of buiten het verbonden product als geheel. Deze verordening mag daarom niet worden geïnterpreteerd als een verplichting om gegevens op te slaan op de centrale rekeneenheid van een verbonden product. Het ontbreken van een dergelijke verplichting mag fabrikanten of gegevenshouders er niet van weerhouden om vrijwillig met de gebruiker overeen te komen dergelijke aanpassingen aan te brengen. De ontwerpverplichtingen in deze verordening doen evenmin afbreuk aan het in artikel 5, lid 1, punt c), van Verordening (EU) 2016/679 vastgelegde beginsel van minimale dataverwerking en mogen niet worden opgevat als een verplichting om verbonden producten en gerelateerde diensten zodanig te ontwerpen dat zij andere persoonsgegevens opslaan of anderszins verwerken dan de persoonsgegevens die nodig zijn in verband met de doeleinden waarvoor zij worden verwerkt. Er kan worden voorzien in Unie- of nationaal recht om verdere specifieke kenmerken te omschrijven, zoals de productgegevens die toegankelijk moeten zijn via verbonden producten of gerelateerde diensten, aangezien dergelijke gegevens essentieel kunnen zijn voor de efficiënte werking, de reparatie of het onderhoud van die verbonden producten of die gerelateerde diensten. Wanneer latere actualiseringen of wijzigingen van een verbonden product of een gerelateerde dienst door de fabrikant of een andere partij tot aanvullende toegankelijke gegevens of een beperking van de oorspronkelijk toegankelijke gegevens leiden, moeten die wijzigingen in het kader van de actualisering of wijziging aan de gebruiker worden meegedeeld.

(21)

Wanneer meerdere personen of entiteiten als gebruikers worden beschouwd, bijvoorbeeld in het geval van mede-eigendom of wanneer een eigenaar, huurder of leasenemer rechten op toegang tot of gebruik van gegevens deelt, moet het ontwerp van het verbonden product of de gerelateerde dienst, of de relevante interface, elke gebruiker in staat stellen toegang te hebben tot de gegevens die zij genereren. Het gebruik van verbonden producten die gegevens genereren, vereist doorgaans het aanmaken van een gebruikersaccount. Met een dergelijk account kan de gebruiker door een gegevenshouder, die de fabrikant kan zijn, worden geïdentificeerd. Het kan ook worden gebruikt als communicatiemiddel en om verzoeken om toegang tot gegevens in te dienen en te verwerken. Indien meerdere fabrikanten of aanbieders van gerelateerde diensten samen aan dezelfde gebruiker samengevoegde verbonden producten of gerelateerde diensten hebben verkocht, verhuurd, geleased of geleverd, moet de gebruiker zich wenden tot elk van de partijen waarmee hij een overeenkomst heeft gesloten. Fabrikanten of ontwerpers van een verbonden product dat gewoonlijk door meerdere personen wordt gebruikt, moeten de nodige mechanismen opzetten om afzonderlijke gebruikersaccounts voor individuele personen, indien relevant, mogelijk te maken of te voorzien in de mogelijkheid voor meerdere personen om hetzelfde gebruikersaccount te gebruiken. Accountoplossingen moeten gebruikers in staat stellen hun accounts en de daaraan gekoppelde gegevens te wissen en kunnen hun de mogelijkheid bieden om de toegang tot, het gebruik van of het delen van gegevens te beëindigen of verzoeken tot beëindiging in te dienen, met name rekening houdend met situaties waarin de eigendom of het gebruik van het verbonden product verandert. De gebruiker moet op eenvoudig verzoek toegang krijgen tot mechanismen die automatische uitvoering mogelijk maken, zonder dat daartoe een onderzoek of machtiging van de fabrikant of de gegevenshouder vereist is. Dit betekent dat de gegevens alleen beschikbaar mogen worden gesteld wanneer de gebruiker daadwerkelijk toegang wenst. Wanneer geautomatiseerde uitvoering van het verzoek om toegang tot gegevens niet mogelijk is, bijvoorbeeld via een gebruikersaccount of een bij het verbonden product of de gerelateerde dienst gevoegde mobiele applicatie, moet de fabrikant de gebruiker informeren hoe toegang tot de gegevens kan worden verkregen.

(22)

Verbonden producten kunnen worden ontworpen om bepaalde gegevens rechtstreeks toegankelijk te maken via een gegevensopslag op het apparaat of een server op afstand waaraan de gegevens worden doorgegeven. De toegang tot de gegevensopslag op het toestel kan mogelijk worden gemaakt via al dan niet draadloze lokale netwerken die verbonden zijn met een openbare elektronische-communicatiedienst of een mobiel netwerk. De server kan de eigen lokale servercapaciteit van de fabrikant zijn dan wel die van een derde of een aanbieder van clouddiensten. Verwerkers zoals gedefinieerd in Verordening (EU) 2016/679 worden niet geacht als gegevenshouders op te treden. Ze kunnen echter wel specifiek de opdracht krijgen om gegevens beschikbaar te stellen door de verwerkingsverantwoordelijke zoals gedefinieerd in artikel 4, punt 7, van Verordening (EU) 2016/679. Verbonden producten kunnen zo worden ontworpen dat de gebruiker of een derde de gegevens op het verbonden product, op een computing instance van de fabrikant of in een door de gebruiker of de derde gekozen informatie- en communicatietechnologie (ICT)-omgeving kan verwerken.

(23)

Virtuele assistenten spelen een steeds grotere rol bij de digitalisering van consumenten- en beroepsomgevingen en fungeren als een gebruiksvriendelijke interface om inhoud af te spelen, informatie te verkrijgen of producten te activeren die verbonden zijn met het internet. Virtuele assistenten kunnen als één toegangspoort fungeren, bijvoorbeeld binnen een slimme thuisomgeving, en aanzienlijke hoeveelheden relevante gegevens registreren over de manier waarop gebruikers interageren met producten die verbonden zijn met het internet, waaronder producten die door andere partijen zijn vervaardigd, en kunnen het gebruik van door fabrikanten geleverde interfaces, zoals touchscreens of smartphone-apps, vervangen. Het kan zijn dat de gebruiker dergelijke gegevens ter beschikking wil stellen van derde fabrikanten om nieuwe slimme diensten mogelijk te maken. De in deze verordening vastgestelde rechten op toegang tot gegevens moeten ook van toepassing zijn op virtuele assistenten. De in deze verordening vastgestelde rechten op toegang tot gegevens moeten ook van toepassing zijn op gegevens die worden gegenereerd wanneer een gebruiker contact maakt met een verbonden product via een virtuele assistent die wordt verstrekt door een andere entiteit dan de fabrikant van het verbonden product. Niettemin mogen enkel de gegevens die voortvloeien uit de interactie tussen de gebruiker en een verbonden product of gerelateerde dienst via de virtuele assistent onder deze verordening vallen. Door de virtuele assistent geproduceerde gegevens die geen verband houden met het gebruik van een verbonden product of gerelateerde dienst, vallen niet onder deze verordening.

(24)

Alvorens een overeenkomst te sluiten voor de aankoop, huur of leasing van een verbonden product moet de verkoper, verhuurder of leasegever, die ook de fabrikant kan zijn, aan de gebruiker op duidelijke en begrijpelijke wijze informatie verstrekken over de productgegevens die het verbonden product kan genereren, onder meer over het type, het formaat en het geraamde volume van die gegevens. Dit kan informatie omvatten over datastructuren, dataformaten, vocabularia, classificatieschema’s, taxonomieën en codelijsten, indien beschikbaar, alsook duidelijke en toereikende informatie die voor de gebruiker relevant is voor de uitoefening van zijn rechten inzake de wijze waarop de gegevens kunnen worden opgeslagen, opgevraagd of geraadpleegd, met een beschrijving van de gebruiksvoorwaarden en de kwaliteit van application programming interfaces of, in voorkomend geval, het verstrekken van softwareontwikkelingskits. Die verplichting zorgt voor transparantie over de gegenereerde productgegevens en bevordert de toegang voor de gebruiker. De verkoper, verhuurder of leasegever, die ook de fabrikant kan zijn, kan aan de informatieverplichting voldoen door op het internet een stabiele uniform resource locator (URL) te plaatsen en die, voordat de overeenkomst voor de aankoop, huur of leasing van een verbonden product wordt gesloten, als weblink of QR-code die naar de relevante informatie verwijst mee te delen aan de gebruiker. In elk geval moet de gebruiker in staat zijn de informatie op zodanige wijze op te slaan dat deze toegankelijk is voor raadpleging in de toekomst en dat de opgeslagen informatie in ongewijzigde vorm kan worden gereproduceerd. Van de gegevenshouder kan niet worden verwacht dat hij de gegevens met het oog op de behoeften van de gebruiker van het verbonden product voor onbepaalde tijd bewaart, maar de gegevenshouder moet een redelijk beleid inzake de bewaring van gegevens voeren, waar van toepassing in overeenstemming met het opslagbeperkingsbeginsel op grond van artikel 5, lid 1, punt e), van Verordening (EU) 2016/679, dat de doeltreffende toepassing van het recht op toegang tot gegevens uit hoofde van deze verordening mogelijk maakt. De verplichting om informatie te verstrekken doet geen afbreuk aan de verplichting van de verwerkingsverantwoordelijke om het datasubject informatie te verstrekken overeenkomstig de artikelen 12, 13 en 14 van Verordening (EU) 2016/679. De verplichting om informatie te verstrekken voordat een overeenkomst voor de verlening van een gerelateerde dienst wordt gesloten, moet op de potentiële gegevenshouder rusten, ongeacht of de gegevenshouder een overeenkomst sluit voor de aankoop, huur of leasing van een verbonden product. Wanneer informatie tijdens de levensduur van het verbonden product of de contractperiode voor de gerelateerde dienst verandert, ook wanneer het doel waarvoor die gegevens moeten worden gebruikt verandert ten opzichte van het oorspronkelijk gespecificeerde doel, moet die informatie ook aan de gebruiker worden verstrekt.

(25)

Deze verordening mag niet worden uitgelegd als het verlenen van nieuwe rechten aan gegevenshouders om productgegevens of gegevens van een gerelateerde dienst te gebruiken. Als de fabrikant van een verbonden product een gegevenshouder is, moet een overeenkomst tussen de fabrikant en de gebruiker de basis vormen voor het gebruik van niet-persoonsgebonden gegevens. Een dergelijke overeenkomst kan deel uitmaken van een overeenkomst voor de verlening van de gerelateerde dienst, die samen met de verkoop-, huur- of leaseovereenkomst met betrekking tot het verbonden product kan worden verleend. Elke contractuele bepaling die bepaalt dat de gegevenshouder de productgegevens of de gegevens van een gerelateerde dienst mag gebruiken, moet transparant zijn voor de gebruiker, ook over de doeleinden waarvoor de gegevenshouder de gegevens zal gebruiken. Dergelijke doeleinden kunnen onder meer bestaan uit het verbeteren van de werking van het verbonden product of de gerelateerde diensten, het ontwikkelen van nieuwe producten of diensten, of het aggregeren van gegevens met het oog op het beschikbaar stellen van de resulterende afgeleide gegevens aan derden, op voorwaarde dat dergelijke afgeleide gegevens niet de mogelijkheid bieden specifieke gegevens die vanuit het verbonden product aan de gegevenshouder worden doorgegeven te identificeren, en een derde niet in staat stellen die gegevens uit de dataset af te leiden. Elke wijziging van de overeenkomst moet de geïnformeerde toestemming van de gebruiker vereisen. Deze verordening vormt geen beletsel voor partijen om contractsbedingen overeen te komen die het gebruik van niet-persoonsgebonden gegevens, of bepaalde categorieën van niet-persoonsgebonden gegevens, door een gegevenshouder uitsluiten of beperken. Ze weerhoudt partijen er evenmin van contractueel overeen te komen om productgegevens of gegevens van een gerelateerde dienst direct of indirect beschikbaar te stellen, onder meer, in voorkomend geval, via een andere gegevenshouder. Bovendien vormt deze verordening geen beletsel voor het vaststellen van sectorspecifieke regelgevingsvereisten uit hoofde van het Unierecht, of met het Unierecht verenigbaar nationaal recht, die het gebruik van bepaalde gegevens door de gegevenshouder om duidelijk omschreven redenen van openbare orde zouden uitsluiten of beperken. Deze verordening belet gebruikers niet om, in het geval van relaties tussen bedrijven onderling, gegevens beschikbaar te stellen aan derden of gegevenshouders onder eender welke wettelijke contractvoorwaarde, onder meer door overeen te komen het verdere delen van gegevens te beperken of te begrenzen, of om evenredig te worden vergoed, bijvoorbeeld in ruil voor het opgeven van hun recht om deze gegevens te gebruiken of te delen. Hoewel overheidsinstanties doorgaans niet onder het begrip “gegevenshouder” vallen, kunnen zij wel gegevenshouder zijn.

(26)

Om de opkomst van liquide, eerlijke en efficiënte markten voor niet-persoonsgebonden gegevens te bevorderen, moeten gebruikers van verbonden producten gegevens met anderen kunnen delen, ook voor commerciële doeleinden, met minimale juridische en technische inspanningen. Momenteel is het voor bedrijven vaak moeilijk om de personeels- of computerkosten te rechtvaardigen die nodig zijn om niet-persoonsgebonden datasets of dataproducten te creëren en deze via databemiddelingsdiensten, waaronder datamarktplaatsen, aan te bieden aan potentiële tegenpartijen. Zo ontstaat door het gebrek aan voorspelbaarheid met betrekking tot het economische rendement van investeringen in de curatie en terbeschikkingstelling van datasets of -producten een aanzienlijke belemmering voor het delen van niet-persoonsgebonden gegevens door bedrijven. Om het ontstaan mogelijk te maken van liquide, billijke en efficiënte markten voor niet-persoonsgebonden gegevens in de Unie, moet worden verduidelijkt welke partij het recht heeft dergelijke gegevens op een markt aan te bieden. Gebruikers moeten daarom het recht hebben niet-persoonsgebonden gegevens voor commerciële en niet-commerciële doeleinden te delen met gegevensontvangers. Deze gegevensdeling kan rechtstreeks door de gebruiker, op diens verzoek, via een gegevenshouder of via databemiddelingsdiensten geschieden. Databemiddelingsdiensten, zoals geregeld bij Verordening (EU) 2022/868 van het Europees Parlement en de Raad (22), kunnen een data-economie faciliteren door commerciële relaties tot stand te brengen tussen gebruikers, gegevensontvangers en derden en kunnen gebruikers helpen hun recht uit te oefenen om gegevens te gebruiken, bijvoorbeeld door het waarborgen van een anonimisering van persoonsgegevens of het aggregeren van de toegang tot de gegevens van meerdere individuele gebruikers. Indien gegevens niet vallen onder de verplichting van een gegevenshouder om ze beschikbaar te stellen aan gebruikers of derden, kan de reikwijdte van die gegevens worden gespecificeerd in de overeenkomst tussen de gebruiker en de gegevenshouder voor de levering van een gerelateerde dienst, zodat gebruikers gemakkelijk kunnen bepalen welke gegevens voor hen beschikbaar zijn om te delen met gegevensontvangers of derden. Gegevenshouders mogen niet-persoonsgebonden productgegevens niet beschikbaar stellen aan derden voor andere commerciële of niet-commerciële doeleinden dan de uitvoering van hun overeenkomst met de gebruiker, zonder afbreuk te doen aan de op grond van het Unie- of nationale recht aan gegevenshouders opgelegde wettelijke verplichtingen om gegevens beschikbaar te stellen. In voorkomend geval moeten gegevenshouders derden er contractueel toe verplichten de van hen ontvangen gegevens niet verder te delen.

(27)

In sectoren die worden gekenmerkt door de concentratie van een klein aantal fabrikanten die verbonden producten aan eindgebruikers leveren, beschikken gebruikers soms slechts over beperkte mogelijkheden om gegevens te raadplegen, te gebruiken en te delen. In dergelijke omstandigheden kunnen overeenkomsten ontoereikend zijn om de doelstelling van empowerment van gebruikers te verwezenlijken, waardoor het voor gebruikers moeilijk is om waarde te verkrijgen uit de gegevens die worden gegenereerd door het verbonden product dat zij kopen, huren of leasen. Bijgevolg bestaat er een beperkt potentieel voor kleinere innovatieve bedrijven om concurrerende op gegevens gebaseerde oplossingen aan te bieden, en voor een diverse data-economie in de Unie. Deze verordening moet daarom voortbouwen op recente ontwikkelingen in specifieke sectoren, zoals de gedragscode voor het delen van landbouwdata op basis van een overeenkomst. Er kan Unie- of nationaal recht worden vastgesteld om tegemoet te komen aan sectorspecifieke behoeften en doelstellingen. Voorts mogen gegevenshouders geen direct beschikbare gegevens die geen persoonsgegevens zijn gebruiken om inzicht te verkrijgen in de economische situatie van de gebruiker, zijn activa of productiemethoden of gebruik op een andere manier die de commerciële positie van de gebruiker op de markten waarop hij actief is, zou kunnen ondermijnen. Dit zou bijvoorbeeld kunnen inhouden dat kennis over de algemene prestaties van een bedrijf of een landbouwbedrijf wordt gebruikt in contractuele onderhandelingen met de gebruiker over de mogelijke aankoop van producten of landbouwproducten van de gebruiker ten nadele van de gebruiker, of dat dergelijke informatie wordt opgenomen in grotere databanken over bepaalde markten in het aggregaat (bv. databanken over oogstopbrengsten voor het komende oogstseizoen), aangezien een dergelijk gebruik op indirecte wijze negatieve gevolgen voor de gebruiker kan hebben. De gebruiker moet de nodige technische interface krijgen om toestemmen te beheren, bij voorkeur met gedetailleerde toestemmingsopties (zoals “eenmaal toestaan” of “toestaan bij het gebruik van deze app of dienst”), waaronder de optie om de toestemmingen in te trekken.

(28)

In overeenkomsten tussen een gegevenshouder en een consument als gebruiker van een verbonden product of gerelateerde dienst die gegevens genereert, is het consumentenrecht van de Unie, met name de Richtlijnen 93/13/EEG en 2005/29/EG, van toepassing om ervoor te zorgen dat een consument niet onderworpen is aan oneerlijke contractvoorwaarden. Voor de toepassing van deze verordening mogen oneerlijke contractvoorwaarden die eenzijdig aan een onderneming worden opgelegd, niet bindend zijn voor die onderneming.

(29)

Gegevenshouders kunnen een passende gebruikersidentificatie verlangen om na te gaan of de gebruiker recht heeft op toegang tot de gegevens. In het geval van persoonsgegevens die namens de verwerkingsverantwoordelijke door een andere verwerkende partij worden verwerkt, moeten gegevenshouders ervoor zorgen dat het verzoek om toegang door de verwerkende partij wordt ontvangen en behandeld.

(30)

Het moet de gebruiker vrij staan de gegevens voor elk rechtmatig doel te gebruiken. Dit houdt onder meer in dat de gegevens die de gebruiker in het kader van de uitoefening van zijn recht uit hoofde van deze verordening heeft ontvangen, worden verstrekt aan een derde die een aftermarketdienst aanbiedt die mogelijk concurreert met een door een gegevenshouder verleende dienst, of de gegevenshouder daartoe opdracht geeft. Het verzoek moet worden ingediend door de gebruiker of door een gemachtigde derde die namens een gebruiker optreedt, met inbegrip van een aanbieder van een databemiddelingsdienst. Gegevenshouders moeten ervoor zorgen dat de aan de derde ter beschikking gestelde gegevens even nauwkeurig, volledig, betrouwbaar, relevant en actueel zijn als de gegevens waartoe de gegevenshouder zelf toegang heeft of kan hebben op basis van het gebruik van het verbonden product of de gerelateerde dienst. Bij de verwerking van de gegevens moeten intellectuele-eigendomsrechten in acht worden genomen. Het is belangrijk om stimulansen te behouden om te investeren in producten met functionaliteiten die gebaseerd zijn op het gebruik van gegevens van sensoren die in die producten zijn ingebouwd.

(31)

Richtlijn (EU) 2016/943 van het Europees Parlement en de Raad (23) bepaalt dat het verkrijgen, gebruiken of openbaar maken van een bedrijfsgeheim als rechtmatig wordt beschouwd voor zover dit verkrijgen, gebruiken of openbaar maken bij het Unie- of nationale recht vereist of toegestaan is. Hoewel deze verordening gegevenshouders verplicht bepaalde gegevens te verstrekken aan gebruikers of door de gebruiker gekozen derden, zelfs wanneer die gegevens in aanmerking komen voor bescherming als bedrijfsgeheim, moet zij zodanig worden uitgelegd dat de bescherming van bedrijfsgeheimen uit hoofde van Richtlijn (EU) 2016/943 gewaarborgd blijft. In die context moeten gegevenshouders van de gebruiker of door de gebruiker gekozen derden kunnen verlangen dat zij gegevens die als bedrijfsgeheimen worden beschouwd, vertrouwelijk behandelen. Daartoe moeten gegevenshouders voordat deze worden verstrekt bepalen welke gegevens onder het bedrijfsgeheim vallen en moeten zij de mogelijkheid hebben om met de gebruiker, of door de gebruiker gekozen derden, noodzakelijke maatregelen overeen te komen om de gegevens vertrouwelijk te behandelen, onder meer door het gebruik van modelcontractvoorwaarden, geheimhoudingsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes. De opstelling van gedragscodes en technische normen met betrekking tot de bescherming van bedrijfsgeheimen bij de verwerking van gegevens kan, in aanvulling op het gebruik van door de Commissie te ontwikkelen en aan te bevelen modelcontractvoorwaarden, bijdragen tot de verwezenlijking van de doelstelling van deze verordening en moet worden aangemoedigd. Indien er geen overeenkomst bestaat over de noodzakelijke maatregelen of indien de gebruiker, of een door de gebruiker gekozen derde, de overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, moet de gegevenshouder het delen van gegevens die als bedrijfsgeheimen zijn aangemerkt, kunnen weigeren of opschorten. In dergelijke gevallen moet de gegevenshouder het besluit onverwijld schriftelijk aan de gebruiker of aan de derde meedelen en de bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd in kennis stellen van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en moet hij aangeven welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd. Gegevenshouders kunnen de toegang tot gegevens op grond van deze verordening in beginsel niet weigeren met als enige reden dat bepaalde gegevens als bedrijfsgeheim worden beschouwd, aangezien dit de beoogde effecten van deze verordening zou ondermijnen. Echter, in uitzonderlijke omstandigheden moet een gegevenshouder die houder van een bedrijfsgeheim is in staat zijn per geval een verzoek om de specifieke gegevens in kwestie af te wijzen indien hij ten overstaan van de gebruiker of van de derde kan aantonen dat bekendmaking van dat bedrijfsgeheim, ondanks de technische en organisatorische maatregelen die de gebruiker of de derde heeft genomen, zeer waarschijnlijk ernstige economische schade zou veroorzaken. “Ernstige economische schade” impliceert ernstig en onherstelbaar economisch verlies. De gegevenshouder moet zijn weigering onverwijld schriftelijk motiveren ten overstaan van de gebruiker of van de derde, en de bevoegde autoriteit daarvan in kennis stellen. Een dergelijke rechtvaardiging moet gebaseerd zijn op objectieve elementen waaruit blijkt dat er een concreet risico bestaat dat de openbaarmaking van specifieke gegevens naar verwachting ernstige economische schade zal veroorzaken en om welke redenen de maatregelen die zijn genomen om de gevraagde gegevens te beveiligen, ontoereikend worden geacht. In dat verband kan rekening worden gehouden met mogelijke negatieve gevolgen voor de cyberbeveiliging. Onverminderd het recht om verhaal te halen bij een rechterlijke instantie van een lidstaat, kan de gebruiker, of een derde die het besluit van de gegevenshouder om het delen van gegevens te weigeren, tegen te houden of op te schorten wenst aan te vechten klacht indienen bij de bevoegde autoriteit, die onverwijld moet beslissen of en onder welke voorwaarden gegevensdeling moet beginnen of worden hervat, dan wel met de gegevenshouder kan overeenkomen om de zaak voor te leggen aan een geschillenbeslechtingsorgaan. De uitzonderingen op het recht op toegang tot gegevens in deze verordening mogen in geen geval het recht van toegang en het recht op overdraagbaarheid van gegevens van datasubjecten uit hoofde van Verordening (EU) 2016/679 beperken.

(32)

Het doel van deze verordening is niet alleen het bevorderen van de ontwikkeling van nieuwe, innovatieve verbonden producten of gerelateerde diensten en het stimuleren van innovatie op aftermarkets, maar ook het stimuleren van de ontwikkeling van volledig nieuwe diensten die gebruikmaken van de betrokken gegevens, onder meer op basis van gegevens van uiteenlopende verbonden producten of gerelateerde diensten. Tegelijkertijd beoogt deze verordening de investeringsprikkels voor het soort verbonden product waarvan de gegevens worden verkregen, niet te ondermijnen, bijvoorbeeld door het gebruik van gegevens om een concurrerend verbonden product te ontwikkelen dat door gebruikers wordt beschouwd als inwisselbaar of vervangbaar, met name op basis van de kenmerken, de prijs en het beoogde gebruik van het verbonden product. Deze verordening voorziet niet in een verbod op het ontwikkelen van een gerelateerde dienst met behulp van gegevens die op grond van deze verordening zijn verkregen, aangezien dit een ongewenst ontmoedigend effect op innovatie zou hebben. Een verbod op het gebruik van in het kader van deze verordening geraadpleegde gegevens voor het ontwikkelen van een concurrerend verbonden product, beschermt de innovatie-inspanningen van gegevenshouders. Of een verbonden product concurreert met het verbonden product waarvan de gegevens afkomstig zijn, hangt af van de vraag of de twee verbonden producten op dezelfde productmarkt concurreren. Dit moet worden bepaald met behulp van de gevestigde beginselen van het mededingingsrecht van de Unie op basis waarvan de relevante productmarkt kan worden gedefinieerd. Rechtmatige doeleinden voor het gebruik van de gegevens zijn evenwel onder meer reverse engineering, voor zover is voldaan aan de in deze verordening en in het Unie- of nationale recht vastgestelde vereisten. Dit kan het geval zijn voor de reparatie, de verlenging van de levensduur van een verbonden product of de verlening van aftermarketdiensten voor verbonden producten.

(33)

Een derde waaraan gegevens ter beschikking worden gesteld, kan een natuurlijke of rechtspersoon zijn, zoals een consument, een onderneming, een onderzoeksorganisatie, een non-profitorganisatie of een entiteit die in haar professionele hoedanigheid handelt. Bij het beschikbaar stellen van de gegevens aan de derde mag een gegevenshouder geen misbruik maken van zijn positie om een concurrentievoordeel te verkrijgen op markten waar de gegevenshouder en de derde mogelijk rechtstreeks met elkaar concurreren. Daarom mag de gegevenshouder ook geen direct beschikbare gegevens gebruiken om inzicht te verkrijgen in de economische situatie, de activa of productiemethoden van, of het gebruik door de derde op een andere wijze die de commerciële positie van de derde op de markten waarop de derde actief is, zou kunnen ondermijnen. De gebruiker moet in staat zijn niet-persoonsgebonden gegevens met derden voor commerciële doeleinden te delen. Met instemming van de gebruiker en met inachtneming van de bepalingen van deze verordening moeten derden de door de gebruiker verleende rechten inzake gegevenstoegang kunnen overdragen aan andere derden, onder meer in ruil voor een vergoeding. Databemiddelingssystemen in een bedrijf-tot-bedrijf-context en systemen voor het beheer van persoonlijke informatie (“personal information management systems” — PIMS), in Verordening (EU) 2022/868 databemiddelingsdiensten genoemd, kunnen gebruikers of derden ondersteunen bij het aangaan van commerciële relaties met een onbepaald aantal potentiële tegenpartijen voor elk rechtmatig doel dat binnen het toepassingsgebied van deze verordening valt. Zij kunnen een belangrijke rol spelen bij het aggregeren van de toegang tot gegevens zodat big data-analyses of machinaal leren kunnen worden vergemakkelijkt, op voorwaarde dat gebruikers de volledige controle behouden over het al dan niet aanbieden van hun gegevens voor een dergelijke aggregatie en over de commerciële voorwaarden waaronder hun gegevens moeten worden gebruikt.

(34)

Het gebruik van een verbonden product of gerelateerde dienst kan, met name wanneer de gebruiker een natuurlijke persoon is, gegevens genereren die betrekking hebben op een datasubject. De verwerking van dergelijke gegevens is onderworpen aan de regels van Verordening (EU) 2016/679, ook wanneer persoonsgegevens en niet-persoonsgebonden gegevens in een dataset onlosmakelijk met elkaar verbonden zijn. Het datasubject kan de gebruiker of een andere natuurlijke persoon zijn. Persoonsgegevens mogen alleen worden opgevraagd door een verwerkingsverantwoordelijke of een datasubject. Een gebruiker die het datasubject is, heeft op grond van Verordening (EU) 2016/679 in bepaalde omstandigheden recht op toegang tot die gebruiker betreffende persoonsgegevens, en deze verordening laat dergelijke rechten onverlet. Op grond van deze verordening heeft de gebruiker die een natuurlijke persoon is ook recht op toegang tot alle door het gebruik van een verbonden product gegenereerde gegevens, ongeacht of het gaat om persoonsgegevens of niet-persoonsgebonden gegevens. Indien de gebruiker niet het datasubject is, maar een onderneming, waaronder een individuele ondernemer, maar niet bij gedeeld huishoudelijk gebruik van het verbonden product, moet de gebruiker worden beschouwd als een verwerkingsverantwoordelijke. Bijgevolg moet een gebruiker die als verwerkingsverantwoordelijke van plan is persoonsgegevens op te vragen die zijn gegenereerd door het gebruik van een verbonden product of een gerelateerde dienst, beschikken over een rechtsgrond voor de verwerking van de gegevens op grond van artikel 6, lid 1, van Verordening (EU) 2016/679, zoals toestemming van het datasubject of de uitvoering van een overeenkomst waarbij de betrokkene partij is. Een dergelijke gebruiker moet ervoor zorgen dat het datasubject naar behoren wordt geïnformeerd over de specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden voor de verwerking van die gegevens en over de wijze waarop het datasubject zijn rechten doeltreffend kan laten gelden. Wanneer de gegevenshouder en de gebruiker gezamenlijke verwerkingsverantwoordelijken zijn in de zin van artikel 26 van Verordening (EU) 2016/679, zijn zij verplicht om door middel van een onderlinge regeling op transparante wijze hun respectieve verantwoordelijkheden voor de naleving van die verordening vast te stellen. Het moet duidelijk zijn dat een dergelijke gebruiker, zodra gegevens beschikbaar zijn gesteld, op zijn beurt gegevenshouder kan worden, indien die gebruiker voldoet aan de criteria van deze verordening en dus onderworpen wordt aan de verplichtingen om gegevens beschikbaar te stellen uit hoofde van deze verordening.

(35)

Productgegevens of gegevens van een gerelateerde dienst mogen alleen op verzoek van de gebruiker aan een derde ter beschikking worden gesteld. Deze verordening vormt dienovereenkomstig een aanvulling op het in artikel 20 van Verordening (EU) 2016/679 bedoelde recht van datasubjecten om hun persoonsgegevens in een gestructureerd, algemeen gebruikt en machineleesbaar formaat te ontvangen en die gegevens door te geven aan een andere verwerkingsverantwoordelijke, indien die gegevens via geautomatiseerde procedés worden verwerkt op basis van artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), of op basis van een overeenkomst uit hoofde van artikel 6, lid 1, punt b), van die verordening. Datasubjecten hebben ook het recht om de persoonsgegevens direct van een verwerkingsverantwoordelijke naar een andere verwerkingsverantwoordelijke te laten overdragen, maar dit moet technisch haalbaar zijn. In artikel 20 van Verordening (EU) 2016/679 wordt gespecificeerd dat dit betrekking heeft op door het datasubject verstrekte gegevens, maar wordt niet gespecificeerd of dit een actief gedrag van de zijde van het datasubject vereist, dan wel of het ook van toepassing is op situaties waarin een verbonden product of een gerelateerde dienst door zijn ontwerp het gedrag van een datasubject of andere informatie met betrekking tot een datasubject op passieve wijze waarneemt. De rechten uit hoofde van deze verordening vormen op verschillende manieren een aanvulling op het recht om persoonsgegevens te ontvangen en over te dragen uit hoofde van artikel 20 van Verordening (EU) 2016/679. Deze verordening verleent gebruikers het recht op toegang tot en beschikbaarstelling aan derden van productgegevens of gegevens van een gerelateerde dienst, ongeacht of het persoonsgegevens betreft en of het actief verstrekte of passief waargenomen gegevens betreft en ongeacht de rechtsgrond van de verwerking. In tegenstelling tot artikel 20 van Verordening (EU) 2016/679, voorziet deze verordening in de technische haalbaarheid van toegang van derden voor alle soorten gegevens die binnen het toepassingsgebied van de verordening vallen, ongeacht of het persoonsgegevens of niet-persoonsgebonden gegevens zijn, en waarborgt zij op die manier dat technische belemmeringen de toegang tot dergelijke gegevens niet langer belemmeren of onmogelijk maken. Het biedt gegevenshouders ook de mogelijkheid een redelijke vergoeding vast te stellen die door derden, maar niet door de gebruiker, moet worden betaald voor kosten die voortvloeien uit het verlenen van rechtstreekse toegang tot de door het verbonden product van de gebruiker gegenereerde gegevens. Indien een gegevenshouder en een derde niet in staat zijn overeenstemming te bereiken over de voorwaarden voor een dergelijke rechtstreekse toegang, mag het datasubject op geen enkele wijze worden belet de in Verordening (EU) 2016/679 vastgestelde rechten, waaronder het recht op overdraagbaarheid van gegevens, uit te oefenen door overeenkomstig die verordening remedies in te stellen. In deze context moet worden begrepen dat, overeenkomstig Verordening (EU) 2016/679, verwerking van bijzondere categorieën persoonsgegevens door de gegevenshouder of de derde op grond van een overeenkomst niet is toegestaan.

(36)

De toegang tot alle op eindapparatuur opgeslagen of via die eindapparatuur toegankelijke gegevens is onderworpen aan Richtlijn 2002/58/EG en vereist de toestemming van de abonnee of gebruiker in de zin van die richtlijn, tenzij toegang strikt noodzakelijk is voor de levering van een uitdrukkelijk door de gebruiker of de abonnee gevraagde dienst van de informatiemaatschappij of uitsluitend de doorgifte van een communicatie tot doel heeft. Richtlijn 2002/58/EG beschermt de integriteit van de eindapparatuur van de gebruiker wat betreft het gebruik van verwerkings- en opslagmogelijkheden en het verzamelen van informatie. Apparatuur voor het internet der dingen wordt als eindapparatuur beschouwd indien deze direct of indirect verbonden is met een openbaar communicatienetwerk.

(37)

Om uitbuiting van gebruikers te voorkomen, mogen derden aan wie gegevens op verzoek van de gebruiker beschikbaar zijn gesteld, die gegevens alleen verwerken voor de met de gebruiker overeengekomen doeleinden en dergelijke gegevens alleen met een andere derde delen indien de gebruiker daar toestemming voor heeft gegeven.

(38)

Overeenkomstig het beginsel van minimale dataverwerking mogen derden alleen toegang hebben tot de informatie die nodig is voor de levering van de door de gebruiker gevraagde dienst. Nadat toegang tot gegevens is verkregen, mag de derde deze verwerken voor de met de gebruiker overeengekomen doeleinden, zonder inmenging van de gegevenshouder. Het moet voor de gebruiker even gemakkelijk zijn om toegang van de derde tot de gegevens te weigeren of stop te zetten als het voor de gebruiker is om toegang te verlenen. Noch derden noch gegevenshouders mogen de uitoefening van keuzes of rechten door de gebruiker onnodig moeilijk maken, door de gebruiker op niet-neutrale wijze keuzemogelijkheden aan te bieden, of door de gebruiker op enigerlei wijze te dwingen, te misleiden of te manipuleren, of door de autonomie, besluitvorming of keuzes van de gebruiker te ondermijnen of te beperken, onder meer door middel van een digitale gebruikersinterface of een deel daarvan. In dat verband mogen derden of gegevenshouders zich bij het ontwerpen van hun digitale interfaces niet baseren op “donkere patronen”. Donkere patronen zijn ontwerptechnieken die consumenten aanzetten — al dan niet door misleiding — tot beslissingen die negatieve gevolgen voor hen hebben. Die manipulatietechnieken kunnen worden gebruikt om gebruikers, met name kwetsbare consumenten, ertoe te brengen zich ongewenst te gedragen, gebruikers door nudging te misleiden zodat zij bepaalde beslissingen over de toegang tot hun gegevens nemen of om de beslissingen van gebruikers op onredelijke wijze te sturen, waardoor hun autonomie, besluitvorming en keuze worden ondermijnd of beperkt. Gangbare en legitieme handelspraktijken die in overeenstemming zijn met het Unierecht, mogen op zichzelf niet als donkere patronen worden beschouwd. Derden en gegevenshouders moeten voldoen aan hun verplichtingen uit hoofde van het toepasselijke Unierecht, met name de vereisten die zijn vastgesteld in de Richtlijnen 98/6/EG (24) en 2000/31/EG (25) van het Europees Parlement en de Raad, en in de Richtlijnen 2005/29/EG en 2011/83/EU.

(39)

Derden mogen binnen het toepassingsgebied van deze verordening vallende gegevens ook niet gebruiken om personen te profileren, tenzij dergelijke verwerkingsactiviteiten strikt noodzakelijk zijn om de door de gebruiker gevraagde dienst te verlenen, onder meer in de context van geautomatiseerde besluitvorming. De verplichting om gegevens te wissen wanneer deze niet langer nodig zijn voor het met de gebruiker overeengekomen doel, tenzij anderszins overeengekomen met betrekking tot niet-persoonsgebonden gegevens, vormt een aanvulling op het recht van het datasubject om de gegevens te wissen overeenkomstig artikel 17 van Verordening (EU) 2016/679. Wanneer een derde een aanbieder van een databemiddelingsdienst is, zijn de waarborgen voor het datasubject waarin Verordening (EU) 2022/868 voorziet, van toepassing. De derde mag de gegevens gebruiken om een nieuw en innovatief verbonden product of een nieuwe innovatieve dienst te ontwikkelen, maar niet om een concurrerend verbonden product te ontwikkelen.

(40)

Start-ups, kleine ondernemingen en ondernemingen die kunnen worden aangemerkt als middelgrote ondernemingen uit hoofde van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG en ondernemingen uit traditionele sectoren met minder ontwikkelde digitale mogelijkheden hebben moeite om toegang te krijgen tot relevante gegevens. Deze verordening heeft tot doel de toegang tot gegevens voor die entiteiten te vergemakkelijken, en er tegelijkertijd voor te zorgen dat de overeenkomstige verplichtingen zo proportioneel mogelijk worden afgebakend om overschrijding van de reikwijdte te voorkomen. Tegelijkertijd is een klein aantal zeer grote ondernemingen ontstaan met niet alleen een aanzienlijke economische macht in de digitale economie door de accumulatie en aggregatie van grote hoeveelheden gegevens, maar ook met de technologische infrastructuur om deze te gelde te maken. Tot die zeer grote ondernemingen behoren ondernemingen die kernplatformdiensten aanbieden die hele platformecosystemen in de digitale economie controleren en die door bestaande of nieuwe marktdeelnemers niet kunnen worden aangevochten of betwist. Verordening (EU) 2022/1925 van het Europees Parlement en de Raad (26) heeft tot doel die inefficiënties en onevenwichtigheden te verhelpen door de Commissie toe te staan een onderneming als “poortwachter” aan te wijzen, en legt een aantal verplichtingen op aan die poortwachters, waaronder een verbod om bepaalde gegevens zonder toestemming te combineren en een verplichting om te zorgen voor effectieve rechten op overdraagbaarheid van gegevens uit hoofde van artikel 20 van Verordening (EU) 2016/679. Overeenkomstig Verordening (EU) 2022/1925 en gezien het ongeëvenaarde vermogen van die ondernemingen om gegevens te verkrijgen, is het ter verwezenlijking van de doelstelling van deze verordening niet nodig, en zou het derhalve onevenredig zijn om gegevenshouders voor wie deze verplichtingen gelden, bovendien te verplichten om poortwachters op te nemen als begunstigden van het recht op toegang tot gegevens. Het opnemen van dergelijke ondernemingen zou waarschijnlijk ook het nut van deze verordening voor kmo’s, in verband met de eerlijke verdeling van de waarde uit gegevens onder marktdeelnemers, ernstig beperken. Dit betekent dat een onderneming die kernplatformdiensten aanbiedt en als poortwachter is aangewezen, geen toegang kan vragen of krijgen tot gegevens van gebruikers die zijn gegenereerd door het gebruik van een verbonden product of gerelateerde dienst of door een virtuele assistent op grond van deze verordening. Bovendien mogen derden aan wie op verzoek van de gebruiker gegevens ter beschikking worden gesteld, de gegevens niet ter beschikking stellen van een poortwachter. De derde mag bijvoorbeeld de dienstverlening niet uitbesteden aan een poortwachter. Derden mogen echter wel gebruikmaken van dataverwerkingsdiensten die door een poortwachter worden aangeboden. Het belet die ondernemingen evenmin dezelfde gegevens ook verkrijgen en gebruiken via andere wettige middelen. De toegangsrechten waarin deze verordening voorziet, dragen bij tot een ruimere keuze aan diensten voor consumenten. Aangezien vrijwillige overeenkomsten tussen poortwachters en gegevenshouders hier niet door worden geraakt, sluit de beperking van het verlenen van toegang aan poortwachters hen niet uit van de markt en vormt de beperking geen beletsel voor poortwachters om hun diensten aan te bieden.

(41)

Gezien de huidige stand van de technologie zou het voor micro-ondernemingen en kleine ondernemingen te belastend zijn om verdere ontwerpverplichtingen op te leggen met betrekking tot verbonden producten die worden vervaardigd of ontworpen, of de gerelateerde diensten die door hen worden verleend. Dit is echter niet het geval wanneer een micro-onderneming of een kleine onderneming een partneronderneming of verbonden onderneming heeft in de zin van artikel 3 van de bijlage bij Aanbeveling 2003/361/EG die niet kan worden aangemerkt als micro-onderneming of kleine onderneming, en wanneer het vervaardigen of ontwerpen van een verbonden product of het verlenen van een gerelateerde dienst aan die onderneming wordt uitbesteed. In dergelijke situaties kan de onderneming die de vervaardiging of het ontwerp aan een micro-onderneming of een kleine onderneming heeft uitbesteed, de onderaannemer op passende wijze vergoeden. Een micro-onderneming of een kleine onderneming kan niettemin als gegevenshouder onderworpen zijn aan de vereisten van deze verordening, indien zij niet de fabrikant van het verbonden product of een aanbieder van gerelateerde diensten is. Er moet een overgangsperiode gelden van minder dan een jaar voor ondernemingen die werden aangemerkt als middelgrote onderneming en voor verbonden producten voor minder dan een jaar na de datum waarop zij op de markt zijn gebracht. Een dergelijke overgangsperiode van één jaar biedt voor dergelijke middelgrote ondernemingen de mogelijkheid zich aan te passen en voor te bereiden voordat zij worden blootgesteld aan concurrentie op de markt voor diensten voor de door hen vervaardigde verbonden producten, op basis van toegangsrechten uit hoofde van deze verordening. Een dergelijke overgangsperiode is niet van toepassing indien een dergelijke middelgrote onderneming een partneronderneming of verbonden onderneming heeft die niet kan worden aangemerkt als micro-onderneming of kleine onderneming, of indien het vervaardigen of ontwerpen van het verbonden product of het verlenen van de gerelateerde dienst was uitbesteed aan een dergelijke middelgrote onderneming.

(42)

Rekening houdend met de verscheidenheid aan verbonden producten die gegevens van verschillende aard, verschillend volume en verschillende frequentie doen ontstaan, die verschillende niveaus van gegevens- en cyberbeveiligingsrisico’s inhouden en die economische kansen van verschillende waarde bieden, en teneinde te zorgen voor consistentie van praktijken voor gegevensdeling op de interne markt, ook over de sectorgrenzen heen, en om eerlijke praktijken voor gegevensdeling aan te moedigen en te bevorderen, zelfs op gebieden waar een dergelijk recht op toegang tot gegevens niet bestaat, voorziet deze verordening in horizontale regels inzake de regelingen voor toegang tot gegevens, wanneer een gegevenshouder op basis van het Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving verplicht is gegevens beschikbaar te stellen aan een gegevensontvanger. Die toegang moet gebaseerd zijn op eerlijke, redelijke, niet-discriminerende en transparante voorwaarden. Die algemene toegangsregels zijn niet van toepassing op verplichtingen om gegevens beschikbaar te stellen uit hoofde van Verordening (EU) 2016/679. Die regels hebben geen gevolgen voor het vrijwillig delen van gegevens. De niet-bindende modelcontractvoorwaarden voor het delen van gegevens tussen bedrijven die de Commissie moet ontwikkelen en aanbevelen, kunnen partijen helpen om overeenkomsten te sluiten die eerlijke, redelijke en niet-discriminerende voorwaarden bevatten en op transparante wijze moeten worden uitgevoerd. Het sluiten van overeenkomsten, die de niet-bindende contractsbedingen kunnen omvatten, mag niet inhouden dat het recht om gegevens te delen met derden op enigerlei wijze afhankelijk is van het bestaan van een dergelijke overeenkomst. Indien de partijen niet in staat zijn een overeenkomst te sluiten over gegevensdeling, ook niet met de hulp van geschillenbeslechtingsorganen, is het recht om gegevens te delen met derden afdwingbaar voor de nationale rechterlijke instanties.

(43)

Op basis van het beginsel van contractvrijheid moet het partijen vrij blijven staan om te onderhandelen over de precieze voorwaarden voor het beschikbaar stellen van gegevens in hun overeenkomsten, binnen het kader voor de algemene regels voor het beschikbaar stellen van gegevens. De voorwaarden van dergelijke overeenkomsten kunnen technische en organisatorische maatregelen omvatten, onder meer met betrekking tot gegevensbeveiliging.

(44)

Om ervoor te zorgen dat de voorwaarden voor verplichte toegang tot gegevens voor beide partijen bij een overeenkomst eerlijk zijn, moeten de algemene regels inzake het recht op toegang tot gegevens verwijzen naar de regel inzake het vermijden van oneerlijke contractvoorwaarden.

(45)

Overeenkomsten die in het kader van relaties tussen ondernemingen worden gesloten om gegevens beschikbaar te stellen, mogen geen onderscheid maken tussen vergelijkbare categorieën gegevensontvangers, ongeacht of de partijen grote ondernemingen dan wel kmo’s zijn. Om het gebrek aan informatie over de voorwaarden in verschillende overeenkomsten te compenseren, waardoor het voor de gegevensontvanger moeilijk is om te beoordelen of de voorwaarden voor het beschikbaar stellen van de gegevens niet discriminerend zijn, moet de gegevenshouders ervoor verantwoordelijk zijn aan te tonen dat een contractueel beding niet discriminerend is. Er is geen sprake van onrechtmatige discriminatie wanneer een gegevenshouder verschillende contractvoorwaarden gebruikt om gegevens beschikbaar te stellen, indien die verschillen om objectieve redenen gerechtvaardigd zijn. Die verplichtingen laten Verordening (EU) 2016/679 onverlet.

(46)

Als stimulans om te blijven investeren in het genereren en beschikbaar stellen van waardevolle gegevens, waaronder investeringen in relevante technische instrumenten, en tegelijkertijd ter vermijding van buitensporige lasten voor de toegang tot en het gebruik van gegevens die gegevensdeling niet langer commercieel haalbaar zouden maken, bevat deze verordening het beginsel dat gegevenshouders in relaties tussen bedrijven een redelijke vergoeding kunnen vragen wanneer zij op grond van het Unierecht of overeenkomstig het Unierecht vastgesteld nationaal recht verplicht zijn gegevens beschikbaar te stellen aan een gegevensontvanger. Die vergoeding mag niet worden opgevat als een betaling voor de gegevens zelf. De Commissie moet richtsnoeren vaststellen over de berekening van een redelijke vergoeding in de data-economie.

(47)

In de eerste plaats kan een redelijke vergoeding voor het naleven van de verplichting op grond van het Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving om te voldoen aan een verzoek om gegevens beschikbaar te stellen, een vergoeding omvatten voor de kosten die zijn gemaakt om de gegevens beschikbaar te stellen. Die kosten kunnen technische kosten zijn, zoals de kosten die nodig zijn voor de reproductie, elektronische verspreiding en opslag, maar niet die voor het verzamelen of produceren van gegevens. Dergelijke technische kosten kunnen ook de kosten omvatten voor de verwerking die nodig is om gegevens beschikbaar te stellen, met inbegrip van kosten in verband met de formattering van gegevens. De kosten in verband met het beschikbaar stellen van de gegevens kunnen ook de kosten omvatten voor het faciliteren van concrete verzoeken om gegevens te delen. Die kosten kunnen ook variëren naargelang van de omvang van de gegevens en de regelingen die worden getroffen om de gegevens beschikbaar te stellen. Bij regelmatige of herhaalde transacties in een zakelijke relatie kunnen de kosten dalen wanneer houders en gegevensontvangers langetermijnregelingen sluiten, bijvoorbeeld via een abonnementsmodel of het gebruik van slimme contracten. De kosten in verband met het beschikbaar stellen van gegevens zijn specifiek voor een bepaald verzoek of worden gedeeld met andere verzoeken. In het laatste geval moet het niet aan een enkele gegevensontvanger zijn om de volledige kosten voor het beschikbaar stellen van de gegevens te betalen. In de tweede plaats kan een redelijke vergoeding ook een marge omvatten, behalve wat betreft kmo’s en onderzoeksorganisaties zonder winstoogmerk. Een marge kan variëren naargelang van factoren in verband met de gegevens zelf, zoals het volume, het formaat of de aard van de gegevens. In die marge kan rekening worden gehouden met de kosten voor het verzamelen van de gegevens. Een marge kan derhalve afnemen indien de gegevenshouder de gegevens zonder aanzienlijke investeringen voor zijn eigen activiteiten heeft verzameld, of kan toenemen indien de investeringen in de gegevensverzameling voor de activiteiten van de gegevenshouder hoog zijn. Zij kan beperkt of zelfs uitgesloten zijn in situaties waarin het gebruik van de gegevens door de gegevensontvanger geen invloed heeft op de eigen activiteiten van de gegevenshouder. Het feit dat de gegevens mede worden gegenereerd via een verbonden product dat de gebruiker bezit, huurt of leaset, kan het bedrag van de vergoeding eveneens verlagen in vergelijking met andere situaties waarin de gegevens door de gegevenshouder worden gegenereerd, bijvoorbeeld tijdens de verlening van een gerelateerde dienst.

(48)

Het is niet nodig in te grijpen in het geval van het delen van gegevens tussen grote ondernemingen of indien de gegevenshouder een kleine onderneming of middelgrote onderneming is en de gegevensontvanger een grote onderneming is. In dergelijke gevallen worden de ondernemingen geacht in staat te zijn om over de vergoeding te onderhandelen binnen de grenzen van wat redelijk en niet-discriminerend is.

(49)

Om kmo’s te beschermen tegen buitensporige economische lasten die het voor hen commercieel te moeilijk zouden maken om innovatieve bedrijfsmodellen te ontwikkelen en te volgen, mag de redelijke vergoeding voor het beschikbaar stellen van gegevens niet hoger zijn dan de kosten die rechtstreeks verband houden met het beschikbaar stellen van de gegevens. Rechtstreeks verband houdende kosten zijn de kosten die kunnen worden toegeschreven aan de individuele verzoeken, met dien verstande dat de gegevenshouder permanent de nodige technische interfaces of bijbehorende software en connectiviteit zal moeten opzetten. Dezelfde regeling moet gelden voor onderzoeksorganisaties zonder winstoogmerk.

(50)

In naar behoren gerechtvaardigde gevallen, onder meer indien het noodzakelijk is om de deelname van de consument en de mededinging te waarborgen of innovatie op bepaalde markten te bevorderen, kan in het Unierecht of in overeenkomstig het Unierecht vastgestelde nationale wetgeving worden voorzien in een gereguleerde vergoeding voor het beschikbaar stellen van specifieke soorten gegevens.

(51)

Transparantie is een belangrijk beginsel om ervoor te zorgen dat de door een gegevenshouder gevraagde vergoeding redelijk is, of, indien de gegevensontvanger een kmo of een onderzoeksorganisatie zonder winstoogmerk is, dat de vergoeding niet hoger is dan de kosten die rechtstreeks verband houden met het beschikbaar stellen van de gegevens aan de ontvanger en toe te schrijven is aan het individuele verzoek. Om gegevensontvangers in staat te stellen te beoordelen en na te gaan of de vergoeding voldoet aan de vereisten van deze verordening, moet de gegevenshouder de ontvanger voldoende gedetailleerde informatie verstrekken voor de berekening van de vergoeding.

(52)

Het waarborgen van toegang tot alternatieve manieren om binnenlandse en grensoverschrijdende geschillen in verband met het beschikbaar stellen van gegevens op te lossen, moet ten goede komen aan houders en gegevensontvangers en aldus het vertrouwen in gegevensdeling versterken. Indien de partijen het niet eens kunnen worden over eerlijke, redelijke en niet-discriminerende voorwaarden voor het beschikbaar stellen van gegevens, moeten geschillenbeslechtingsorganen de partijen een eenvoudige, snelle en goedkope oplossing bieden. In deze verordening zijn alleen de voorwaarden vastgelegd waaraan geschillenbeslechtingsorganen moeten voldoen om te worden gecertificeerd; het staat de lidstaten vrij om specifieke regels voor de certificeringsprocedure, ook voor het verstrijken of intrekken van certificering, vast te stellen. De bepalingen van deze verordening inzake geschillenbeslechting mogen de lidstaten niet verplichten geschillenbeslechtingsorganen op te richten.

(53)

De geschillenbeslechtingsprocedure uit hoofde van deze verordening is een vrijwillige procedure die gebruikers, gegevenshouders en gegevensontvangers in staat stelt hun geschillen voor te leggen aan geschillenbeslechtingsorganen. Daarom moet het de partijen vrij staan zich tot een geschillenbeslechtingsorgaan van hun keuze te wenden, ongeacht of dat orgaan zich bevindt binnen of buiten de lidstaten waarin de partijen zijn gevestigd.

(54)

Om te voorkomen dat voor hetzelfde geschil twee of meer geschillenbeslechtingsorganen worden aangezocht, met name in een grensoverschrijdende situatie, moet een geschillenbeslechtingsorgaan de behandeling van een verzoek om beslechting van een geschil dat reeds voor een ander geschillenbeslechtingorgaan of voor een rechterlijke instantie van een lidstaat is gebracht, kunnen weigeren.

(55)

Om de uniforme toepassing van deze verordening te waarborgen, moeten de geschillenbeslechtingsorganen rekening houden met de door de Commissie te ontwikkelen en aan te bevelen niet-bindende modelcontractvoorwaarden en met Unie- of nationaal recht waarin de gegevensdelingsverplichtingen worden gespecificeerd of richtsnoeren van sectorale autoriteiten voor de toepassing van dat recht.

(56)

Partijen bij geschillenbeslechtingsprocedures mogen niet worden belet hun grondrechten op een doeltreffende voorziening in rechte en op een onpartijdig gerecht uit te oefenen. Daarom mag het besluit om een geschil aan een geschillenbeslechtingsorgaan voor te leggen die partijen niet het recht ontnemen om verhaal te halen bij een rechterlijke instantie van een lidstaat. De geschillenbeslechtingsorganen moeten jaarlijkse activiteitenverslagen openbaar maken.

(57)

Gegevenshouders kunnen passende technische beschermingsmaatregelen toepassen om onrechtmatige openbaarmaking van of toegang tot gegevens te voorkomen. Die maatregelen mogen echter geen onderscheid maken tussen gegevensontvangers, noch de toegang tot of het gebruik van gegevens voor gebruikers of gegevensontvangers belemmeren. In het geval van misbruik door een gegevensontvanger, zoals het misleiden van de gegevenshouder door onjuiste informatie te verstrekken met de bedoeling de gegevens voor onrechtmatige doeleinden te gebruiken, waaronder het ontwikkelen van een concurrerend verbonden product op basis van de gegevens, kan de gegevenshouder en, indien van toepassing en wanneer zij niet dezelfde persoon zijn, de houder van een bedrijfsgeheim of de gebruiker, de derde of de gegevensontvanger verzoeken onverwijld corrigerende of herstelmaatregelen te treffen. Dergelijke verzoeken, en met name verzoeken om een einde te maken aan de productie, het aanbieden of het in de handel brengen van goederen, afgeleide gegevens of diensten en verzoeken om een einde te maken aan de invoer, uitvoer of opslag van inbreukmakende goederen of de vernietiging ervan, moeten worden beoordeeld in het licht van hun evenredigheid met de belangen van de gegevenshouder, de houder van een bedrijfsgeheim of de gebruiker.

(58)

Wanneer de ene partij zich in een sterkere onderhandelingspositie bevindt, bestaat het risico dat die partij die positie kan inzetten ten nadele van de medecontractant bij de onderhandelingen over toegang tot gegevens, wat de toegang tot gegevens commercieel minder levensvatbaar en soms onbetaalbaar kan maken. Dergelijke contractuele onevenwichtigheden schaden alle ondernemingen die niet over het vermogen beschikken om te onderhandelen over de voorwaarden voor toegang tot gegevens, en die vaak geen andere keuze hebben dan contractvoorwaarden “graag of niet” te aanvaarden. Oneerlijke contractvoorwaarden die de toegang tot en het gebruik van gegevens of de aansprakelijkheid en remedies in geval van schending of beëindiging van gegevensgerelateerde verplichtingen regelen, mogen derhalve niet bindend zijn voor ondernemingen wanneer die voorwaarden eenzijdig aan die ondernemingen zijn opgelegd.

(59)

In de regels inzake contractvoorwaarden moet rekening worden gehouden met het beginsel van contractvrijheid als essentieel concept in de relaties tussen ondernemingen. Daarom moeten niet alle contractvoorwaarden aan een oneerlijkheidstoets worden onderworpen, maar alleen de voorwaarden die eenzijdig worden opgelegd. Het gaat om situaties waarin een partij een bepaalde contractvoorwaarde voorstelt en de andere onderneming geen invloed kan uitoefenen op de inhoud van die voorwaarde, ondanks een poging om erover te onderhandelen. Een contractvoorwaarde die door één partij is voorgesteld en door de andere onderneming is aanvaard, of een contractvoorwaarde waarover is onderhandeld en die vervolgens in gewijzigde vorm tussen de contractpartijen is overeengekomen, mag niet worden geacht eenzijdig te zijn opgelegd.

(60)

Daarnaast moeten de regels inzake oneerlijke contractvoorwaarden alleen van toepassing zijn op de elementen van een overeenkomst die verband houden met het beschikbaar stellen van gegevens, dat wil zeggen contractvoorwaarden betreffende de toegang tot en het gebruik van gegevens, alsook aansprakelijkheid of remedies in geval van schending en beëindiging van gegevensgerelateerde verplichtingen. Andere delen van hetzelfde overeenkomst die geen verband houden met het beschikbaar stellen van gegevens, mogen niet worden onderworpen aan de in deze verordening vastgestelde oneerlijkheidstoets.

(61)

Criteria voor het vaststellen van oneerlijke contractvoorwaarden mogen alleen worden toegepast op buitensporige contractvoorwaarden waarbij misbruik is gemaakt van een sterkere onderhandelingspositie. De overgrote meerderheid van de contractvoorwaarden die commercieel gunstiger zijn voor de ene partij dan voor de andere, waaronder voorwaarden die normaal zijn in overeenkomsten tussen ondernemingen, zijn een normale uitdrukking van het beginsel van contractvrijheid en blijven van toepassing. Voor de toepassing van deze verordening zou een sterke afwijking van goede handelspraktijken er onder meer in bestaan dat de partij waaraan de contractvoorwaarde eenzijdig is opgelegd, objectief zou worden beperkt in haar vermogen om haar rechtmatige commerciële belang bij de betrokken gegevens te beschermen.

(62)

Teneinde rechtszekerheid te waarborgen, bevat deze verordening een lijst van bedingen die altijd oneerlijk zijn, en een lijst van bedingen waarvan wordt verondersteld dat ze oneerlijk zijn. In het laatste geval moet de onderneming die de contractvoorwaarde oplegt, de veronderstelling van oneerlijkheid kunnen weerleggen door aan te tonen dat het in deze verordening opgenomen beding in het specifieke geval in kwestie niet oneerlijk is. Indien een contractvoorwaarde niet voorkomt in de lijst van bedingen die altijd als oneerlijk worden beschouwd, noch in de lijst van bedingen waarvan wordt verondersteld dat ze oneerlijk zijn, is de algemene oneerlijkheidsbepaling van toepassing. In dat verband moeten de als oneerlijk aangemerkte contractuele bedingen in deze verordening als maatstaf dienen voor de interpretatie van de algemene oneerlijkheidsbepaling. Tot slot kunnen door de Commissie te ontwikkelen en aan te aanbevelen niet-bindende modelcontractvoorwaarden voor gegevensdelingsovereenkomsten tussen ondernemingen ook nuttig zijn voor commerciële partijen bij de onderhandelingen over overeenkomsten. Indien een contractueel beding oneerlijk wordt verklaard, blijft de betrokken overeenkomst zonder dat beding van toepassing, tenzij het oneerlijke contractuele beding niet kan worden gescheiden van de andere voorwaarden van de overeenkomst.

(63)

In situaties van uitzonderlijke noodzaak kan het nodig zijn dat overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie bij de uitoefening van hun wettelijke taken in het algemeen belang bestaande gegevens gebruiken, met inbegrip van, in voorkomend geval, begeleidende metagegevens, om te reageren op algemene noodsituaties of in andere uitzonderlijke gevallen. Situaties van uitzonderlijke noodzaak zijn onvoorzienbare en in de tijd beperkte situaties, in tegenstelling tot andere situaties, die wel voorzien, gepland, periodiek of frequent kunnen zijn. Hoewel overheidsinstanties doorgaans niet onder het begrip “gegevenshouder” vallen, kunnen overheidsondernemingen daar wel onder vallen. Onderzoeksinstellingen en organisaties die onderzoek financieren, zouden ook als overheidsinstanties of overheidsondernemingen kunnen worden georganiseerd. Om de lasten voor het bedrijfsleven te beperken, mogen micro-ondernemingen en kleine ondernemingen slechts worden verplicht om gegevens te verstrekken aan overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie in situaties van uitzonderlijke noodzaak waarin dergelijke gegevens nodig zijn om te reageren op een algemene noodsituatie en de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie niet in staat is dergelijke gegevens tijdig en doeltreffend op een andere manier en in gelijkwaardige omstandigheden te verkrijgen.

(64)

In het geval van algemene noodsituaties, zoals noodsituaties op het gebied van de volksgezondheid, natuurrampen, waaronder door klimaatverandering en achteruitgang van het milieu verergerde rampen, en door de mens veroorzaakte grote rampen, zoals grote cyberincidenten, weegt het algemeen belang dat voortvloeit uit het gebruik van de gegevens zwaarder dan het belang van de gegevenshouders om vrijelijk over hun gegevens te beschikken. In dat geval moeten gegevenshouders verplicht worden de gegevens op verzoek beschikbaar te stellen aan overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie. Of er al dan niet sprake is van een algemene noodsituatie, moet worden bepaald of verklaard overeenkomstig het Unie- of nationaal recht en op basis van de relevante procedures, ook deze van relevante internationale organisaties. In dergelijke gevallen moet de overheidsinstantie aantonen dat er geen andere manier was om de gegevens waarop het verzoek betrekking heeft tijdig, doeltreffend en onder gelijkwaardige voorwaarden te verkrijgen, bijvoorbeeld door vrijwillige verstrekking van gegevens door een andere onderneming of door raadpleging van een openbare databank.

(65)

Een uitzonderlijke noodzaak kan ook voortvloeien uit situaties die geen noodsituaties zijn. In dergelijke gevallen moet het een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie zijn toegestaan uitsluitend niet-persoonsgebonden gegevens op te vragen. De overheidsinstantie moet aantonen dat de gegevens noodzakelijk zijn voor de uitvoering van een specifieke taak van algemeen belang waarin de wet uitdrukkelijk voorziet, zoals het opstellen van officiële statistieken of de beperking van of het herstel na een algemene noodsituatie. Bovendien kan een dergelijk verzoek alleen worden gedaan wanneer de overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie specifieke gegevens heeft geïdentificeerd die anders niet tijdig, doeltreffend en onder gelijkwaardige voorwaarden kunnen worden verkregen, en alleen als die instelling, die instantie of dat orgaan alle andere beschikbare middelen om die gegevens te verkrijgen heeft uitgeput, zoals het verkrijgen van de gegevens door middel van vrijwillige overeenkomsten, waaronder de aankoop van niet-persoonsgebonden gegevens tegen markttarieven, een beroep doen op bestaande verplichtingen om gegevens beschikbaar te stellen of de vaststelling van nieuwe wetgevende maatregelen die de tijdige beschikbaarheid van gegevens zouden kunnen garanderen. De op verzoeken toepasselijke voorwaarden en beginselen, zoals die met betrekking tot doelbinding, evenredigheid, transparantie en beperking in de tijd, moeten eveneens van toepassing zijn. In het geval van verzoeken om gegevens die nodig zijn voor het opstellen van officiële statistieken, moet de verzoekende overheidsinstantie ook aantonen of het nationale recht haar toestaat niet-persoonsgebonden gegevens op de markt te kopen.

(66)

Deze verordening mag niet van toepassing zijn, noch vooruitlopen, op vrijwillige regelingen voor het uitwisselen van gegevens tussen particuliere entiteiten en overheidsinstanties, met inbegrip van de verstrekking van gegevens door kmo’s, en mag geen afbreuk doen aan wetgevingshandelingen van de Unie die voorzien in verplichte informatieverzoeken van publieke entiteiten aan particuliere entiteiten. Zij mag geen afbreuk doen aan de verplichtingen van gegevenshouders om gegevens te verstrekken op basis van behoeften van niet-uitzonderlijke aard, met name wanneer het scala aan gegevens en gegevenshouders bekend is of het gegevensgebruik regelmatig kan plaatsvinden, zoals in het geval van rapportageverplichtingen en internemarktverplichtingen. Deze verordening mag evenmin van invloed zijn op de vereisten inzake toegang tot gegevens om de naleving van de toepasselijke regels te controleren, onder meer wanneer overheidsinstanties de controle op de naleving toevertrouwen aan andere entiteiten dan overheidsinstanties.

(67)

Deze verordening vormt een aanvulling op het Unie- en nationale recht inzake de toegang tot en het gebruik van gegevens voor statistische doeleinden, met name Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad (27), alsmede op de nationale rechtshandelingen inzake officiële statistieken, en laat deze onverlet.

(68)

Voor de uitoefening van hun taken op het gebied van het voorkomen, het onderzoek, de opsporing en de vervolging van strafbare of administratieve overtredingen of de tenuitvoerlegging van strafrechtelijke en administratieve sancties en het verzamelen van gegevens voor belasting- of douanedoeleinden, moeten overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie gebruikmaken van hun bevoegdheden uit hoofde van het Unie- of nationaal recht. Deze verordening doet derhalve geen afbreuk aan wetgevingshandelingen inzake het delen van, de toegang tot en het gebruik van gegevens op die gebieden.

(69)

Overeenkomstig artikel 6, leden 1 en 3, van Verordening (EU) 2016/679 is een evenredig, beperkt en voorspelbaar kader op Unieniveau noodzakelijk als rechtsgrond voor het beschikbaar stellen van gegevens door gegevenshouders, in geval van uitzonderlijke noodzaak, aan overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie, zowel om rechtszekerheid te waarborgen als om de administratieve lasten voor bedrijven tot een minimum te beperken. Daartoe moeten verzoeken om gegevens van overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie aan gegevenshouders specifiek, transparant en evenredig zijn wat betreft de inhoud en de gedetailleerdheid ervan. Het doel van het verzoek en het beoogde gebruik van de gevraagde gegevens moeten specifiek zijn en duidelijk worden toegelicht, waarbij de verzoekende entiteit voldoende flexibiliteit moet worden geboden om haar specifieke taken in het algemeen belang uit te voeren. In het verzoek moet ook rekening worden gehouden met de legitieme belangen van de gegevenshouder waaraan het verzoek is gericht. De lasten voor gegevenshouders moeten tot een minimum worden beperkt door de verzoekende entiteiten te verplichten het eenmaligheidsbeginsel in acht te nemen, dat voorkomt dat dezelfde gegevens meer dan eens worden opgevraagd door meer dan één overheidsinstantie, de Commissie, de Europese Centrale Bank of organen van de Unie. Om de transparantie te waarborgen, moeten verzoeken om gegevens van de Commissie, de Europese Centrale Bank of organen van de Unie onverwijld openbaar worden gemaakt door de entiteit die om de gegevens verzoekt. De Europese Centrale Bank en de organen van de Unie moeten de Commissie in kennis stellen van hun verzoek. Indien het verzoek om gegevens is ingediend door een overheidsinstantie, moet die instantie ook kennisgeving doen aan de datacoördinator van de bevoegde autoriteit van de lidstaat waar de overheidsinstantie is gevestigd. Er moet voor worden gezorgd dat alle verzoeken online openbaar beschikbaar zijn. Na ontvangst van een kennisgeving van een verzoek om gegevens kan de bevoegde autoriteit besluiten de rechtmatigheid van het verzoek te beoordelen en haar taken met betrekking tot de handhaving en toepassing van deze verordening uit te oefenen. De datacoördinator moet ervoor zorgen dat alle verzoeken van de overheidsinstanties online openbaar beschikbaar zijn.

(70)

Het doel van de verplichting om de data te verstrekken is ervoor te zorgen dat overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie over de nodige kennis beschikken om te reageren op noodsituaties in de openbare sector, deze te voorkomen of ervan te herstellen of om de capaciteit te behouden om specifieke taken te vervullen waarin de wetgeving uitdrukkelijk voorziet. De door die entiteiten verkregen data kunnen commercieel gevoelig zijn. Noch Verordening (EU) 2022/868 noch Richtlijn (EU) 2019/1024 van het Europees Parlement en de Raad (28) mag derhalve van toepassing zijn op data die uit hoofde van deze verordening beschikbaar worden gesteld en die data mogen niet worden beschouwd als open data die beschikbaar zijn voor hergebruik door derden. Dit mag echter geen afbreuk doen aan de toepasselijkheid van Richtlijn (EU) 2019/1024 op het hergebruik van officiële statistieken die zijn opgesteld op basis van op grond van deze verordening verkregen data, mits het hergebruik geen betrekking heeft op de onderliggende data. Daarnaast mag, mits aan de voorwaarden van deze verordening wordt voldaan, geen afbreuk worden gedaan aan de mogelijkheid om data te delen voor het verrichten van onderzoek of voor de ontwikkeling, productie en verspreiding van officiële statistieken. Het moet overheidsinstanties ook worden toegestaan om op grond van deze verordening verkregen data uit te wisselen met andere overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie om tegemoet te komen aan de uitzonderlijke noodzaak waarvoor de data zijn opgevraagd.

(71)

Gegevenshouders moeten de mogelijkheid hebben om onverwijld en in elk geval niet later dan binnen een termijn van vijf of 30 werkdagen te vragen om een verzoek van een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie af te wijzen dan wel te wijzigen, afhankelijk van de aard van de uitzonderlijke noodzaak waarop het verzoek betrekking heeft. In voorkomend geval moet de gegevenshouder deze mogelijkheid krijgen indien hij geen controle heeft over de gevraagde data, d.w.z. indien hij geen onmiddellijke toegang tot de data heeft en de beschikbaarheid ervan niet kan bepalen. Er moet een geldige reden zijn om de data niet beschikbaar te stellen indien kan worden aangetoond dat het verzoek vergelijkbaar is met een eerder ingediend verzoek met hetzelfde doel van een andere overheidsinstantie, of de Commissie, de Europese Centrale Bank of een orgaan van de Unie en de gegevenshouder niet in kennis is gesteld van het wissen van de data op grond van deze verordening. Gegevenshouders die een verzoek afwijzen of om een wijziging verzoeken, moeten de onderliggende motivering meedelen aan de overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie die om de data verzoeken. In gevallen waarin de sui-generis-databankrechten uit hoofde van Richtlijn 96/9/EG van het Europees Parlement en de Raad (29) van toepassing zijn op de gevraagde datasets, moeten gegevenshouders hun rechten uitoefenen op een wijze die voor de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie geen beletsel vormt om de data overeenkomstig deze verordening te verkrijgen of te delen.

(72)

In geval van een uitzonderlijke noodzaak in verband met de respons op een algemene noodsituatie moeten overheidsinstanties in de mate van het mogelijke niet-persoonsgebonden gegevens gebruiken. In het geval van verzoeken op grond van een uitzonderlijke noodzaak die geen verband houdt met een algemene noodsituatie, kunnen geen persoonsgegevens worden opgevraagd. Wanneer persoonsgegevens binnen het toepassingsgebied van het verzoek vallen, dient de gegevenshouder de data te anonimiseren. Indien het strikt noodzakelijk is om persoonsgegevens op te nemen in de data die beschikbaar moeten worden gesteld aan een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie, of indien anonimisering onmogelijk blijkt, moet de entiteit die om de data heeft verzocht de strikte noodzaak en de specifieke en beperkte doeleinden van de verwerking aantonen. De toepasselijke regels inzake de bescherming van persoonsgegevens moeten worden nageleefd. Het beschikbaar stellen van de data en het latere gebruik ervan moeten gepaard gaan met waarborgen voor de rechten en belangen van de personen op wie die data betrekking hebben.

(73)

Gegevens die op basis van een uitzonderlijke noodzaak ter beschikking worden gesteld van overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie, mogen alleen worden gebruikt voor de doeleinden waarvoor zij werden gevraagd, tenzij de gegevenshouder die de data beschikbaar heeft gesteld, uitdrukkelijk heeft ingestemd met gebruik voor andere doeleinden. De data moeten worden gewist zodra zij niet langer nodig zijn voor de in het verzoek vermelde doeleinden, tenzij anders overeengekomen, en de gegevenshouder moet daarvan in kennis worden gesteld. Deze verordening bouwt voort op de bestaande toegangsregelingen in de Unie en de lidstaten en wijzigt het nationale recht voor de toegang van het publiek tot documenten in het kader van transparantieverplichtingen niet. Gegevens moeten worden gewist zodra zij niet langer nodig zijn om aan die transparantieverplichtingen te voldoen.

(74)

Bij hergebruik van door gegevenshouders verstrekte data moeten overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie zowel het bestaande toepasselijke Unie- of nationaal recht als de contractuele verplichtingen die op de gegevenshouder van toepassing zijn, eerbiedigen. Zij mogen geen verbonden producten of gerelateerde diensten ontwikkelen of verbeteren die concurreren met verbonden producten of gerelateerde diensten van de gegevenshouder noch voor die doeleinden data delen met een derde partij. Evenzo moeten zij gegevenshouders op hun verzoek publieke erkenning verlenen en de verantwoordelijkheid dragen voor het handhaven van de beveiliging van de ontvangen data. Wanneer de openbaarmaking van bedrijfsgeheimen van de gegevenshouder aan overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie strikt noodzakelijk is voor het doel waarvoor de data zijn opgevraagd, moet de gegevenshouder vóór de openbaarmaking de garantie krijgen dat de vertrouwelijkheid wordt gewaarborgd.

(75)

Wanneer de bescherming van een aanzienlijk algemeen belang in het geding is, zoals het reageren op algemene noodsituaties, mag van de betrokken overheidsinstantie, de Commissie, de Europese Centrale Bank of het betrokken orgaan van de Unie niet worden verwacht dat zij ondernemingen voor de verkregen data vergoeden. Algemene noodsituaties zijn zeldzame gebeurtenissen en niet al dergelijke noodsituaties vereisen het gebruik van data die in handen zijn van ondernemingen. Tegelijkertijd kan de verplichting om data te verstrekken een aanzienlijke last vormen voor micro-ondernemingen en kleine ondernemingen. Zij moeten daarom ook in het kader van de respons op een algemene noodsituatie een vergoeding kunnen vragen. De zakelijke activiteiten van de gegevenshouders zullen daarom waarschijnlijk niet negatief worden beïnvloed als gevolg van het feit dat overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie een beroep doen op deze verordening. Aangezien er echter vaker sprake kan zijn van een uitzonderlijke noodzaak dan enkel om te reageren op algemene noodsituaties, moeten gegevenshouders in dergelijke gevallen recht hebben op een redelijke vergoeding, die niet hoger mag zijn dan de technische en organisatorische kosten die zijn gemaakt om aan het verzoek te voldoen en de redelijke marge die nodig is om de data beschikbaar te stellen aan de overheidsinstantie, de Commissie, de Europese Centrale Bank of aan het orgaan van de Unie. Die vergoeding mag noch worden opgevat als een betaling voor de data zelf, noch als een verplichte vergoeding. Gegevenshouders mogen niet de mogelijkheid krijgen een vergoeding te vragen indien het nationale recht nationale bureaus voor de statistiek of andere nationale instanties die verantwoordelijk zijn voor het opstellen van statistieken verbiedt gegevenshouders te vergoeden voor het beschikbaar stellen van data. De betrokken overheidsinstantie, de Commissie, de Europese Centrale Bank of het betrokken orgaan van de Unie kan de door de gegevenshouder gevraagde vergoeding aanvechten door de zaak voor te leggen aan de bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.

(76)

Overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie moeten het recht hebben de data die zij op grond van het verzoek hebben verkregen, met andere entiteiten of personen te delen wanneer dit noodzakelijk is om wetenschappelijk onderzoek of analyses uit te voeren die zij niet zelf kunnen uitvoeren, op voorwaarde dat die activiteiten verenigbaar zijn met het doel waarvoor de data zijn opgevraagd. Zij moeten de gegevenshouder er tijdig van in kennis stellen dat de data worden gedeeld. Dergelijke data kunnen in dezelfde omstandigheden ook worden gedeeld met de nationale bureaus voor de statistiek en Eurostat voor de ontwikkeling, productie en verspreiding van officiële statistieken. Dergelijke onderzoeksactiviteiten moeten echter verenigbaar zijn met het doel waarvoor de data zijn opgevraagd en de gegevenshouder moet worden geïnformeerd over het delen van de door hem verstrekte data met andere entiteiten. Personen die onderzoek verrichten of onderzoeksorganisaties waarmee die data kunnen worden gedeeld, moeten handelen zonder winstoogmerk of in het kader van een door de staat erkende taak van algemeen belang. Organisaties waarop commerciële ondernemingen een aanzienlijke invloed uitoefenen, waardoor dergelijke ondernemingen zeggenschap kunnen uitoefenen vanwege structurele situaties die zouden kunnen leiden tot preferentiële toegang tot de resultaten van het onderzoek, mogen voor de toepassing van deze verordening niet als onderzoeksorganisaties worden beschouwd.

(77)

Om een grensoverschrijdende noodsituatie of een andere uitzonderlijke noodzaak aan te pakken, kunnen verzoeken om data worden gericht aan gegevenshouders in andere lidstaten dan die van de verzoekende overheidsinstantie. In dat geval moet de verzoekende overheidsinstantie de bevoegde autoriteit van de lidstaat waarin de gegevenshouder is gevestigd, daarvan in kennis stellen, zodat deze het verzoek kan toetsen aan de in deze verordening vastgelegde criteria. Hetzelfde moet gelden voor verzoeken van de Commissie, de Europese Centrale Bank of een orgaan van de Unie. Wanneer om persoonsgegevens wordt verzocht moet de overheidsinstantie de autoriteit die is belast met het monitoren van de toepassing van Verordening (EU) 2016/679 in de lidstaat waar de overheidsinstantie is gevestigd, daarvan in kennis stellen. De betrokken bevoegde autoriteit zou het recht hebben de overheidsinstantie, te adviseren om samen te werken met de overheidsinstanties van de lidstaat waar de gegevenshouder is gevestigd in verband met de noodzaak om de administratieve lasten voor de gegevenshouder tot een minimum te beperken. Wanneer de bevoegde autoriteit gegronde bezwaren heeft wat betreft de overeenstemming van het verzoek met deze verordening, moet zij het verzoek van de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie afwijzen, die met die bezwaren rekening moeten houden alvorens enige verdere actie, waaronder het opnieuw indienen van het verzoek, te ondernemen.

(78)

De mogelijkheid voor klanten van dataverwerkingsdiensten, waaronder cloud- en edgediensten, om over te stappen van de ene op de andere dataverwerkingsdienst, met behoud van een minimale functionaliteit van de dienst en zonder uitval van diensten, of de mogelijkheid om gelijktijdig gebruik te maken van de diensten van verschillende aanbieders zonder onnodige obstakels of kosten van dataoverdracht, is een essentiële voorwaarde voor een meer concurrerende markt met lagere toegangsdrempels voor nieuwe aanbieders van dataverwerkingsdiensten en voor het verder vergroten van de veerkracht van de gebruikers van die diensten. De in deze verordening vastgelegde bepalingen inzake overstappen moeten ook ten goede komen aan klanten die gebruikmaken van gratis diensten, opdat zij niet aan één aanbieder vastzitten.

(79)

Verordening (EU) 2018/1807 van het Europees Parlement en de Raad (30) moedigt aanbieders van dataverwerkingsdiensten aan om zelfregulerende gedragscodes te ontwikkelen die beste praktijken bevatten voor onder meer een gemakkelijkere overstap naar een andere aanbieder van dataverwerkingsdiensten en het overdragen van data, en deze doeltreffend uit te voeren. Aangezien er slechts beperkt gebruik wordt gemaakt van de zelfregulerende kaders die er naar aanleiding daarvan zijn ontwikkeld, en er een algemene gebrek is aan open normen en interfaces, is het noodzakelijk een reeks minimale wettelijke verplichtingen voor aanbieders van dataverwerkingsdiensten vast te stellen ter uitbanning van precommerciële, commerciële, technische, contractuele en organisatorische belemmeringen — zoals, maar niet uitsluitend, vertraagde dataoverdracht bij het vertrek van een klant — die een doeltreffende overstap tussen dataverwerkingsdiensten bemoeilijken.

(80)

Dataverwerkingsdiensten moeten betrekking hebben op diensten die alomtegenwoordige netwerktoegang op aanvraag mogelijk maken tot een configureerbare, schaalbare en elastische gedeelde pool van gedistribueerde computingmiddelen. Die computingmiddelen omvatten onder meer netwerken, servers of andere virtuele of fysieke infrastructuur, software, waaronder softwareontwikkelingsinstrumenten, opslag, toepassingen en diensten. Het vermogen van de klant van dataverwerkingsdiensten om eenzijdig zelfvoorzienend te zijn in computercapaciteit, zoals servertijd of netwerkopslag, zonder enige menselijke interactie door de aanbieder van dataverwerkingsdiensten, zou kunnen worden omschreven als een minimum aan inspanningen vereisend en minimale interactie tussen aanbieder en klant tot gevolg hebbend. Met “alomtegenwoordig” wordt de computercapaciteit bedoeld die via het netwerk wordt aangeboden en toegankelijk is via mechanismen die het gebruik van heterogene thin- of thick-client-platforms bevorderen (van webbrowsers, mobiele telefoons, tot werkstations). Met “schaalbaar” worden computingmiddelen bedoeld die, ongeacht de geografische locatie van de middelen, op flexibele wijze door de aanbieder van dataverwerkingsdiensten wordt toegewezen om schommelingen in de vraag te kunnen opvangen. Met “elastische” worden de computingmiddelen bedoeld die, afhankelijk van de vraag, ter beschikking worden gesteld en worden vrijgegeven om die beschikbare middelen snel te kunnen verhogen of verlagen naargelang van het werkvolume. Met “gedeelde pool” worden die computingmiddelen bedoeld die ter beschikking worden gesteld van meerdere gebruikers die een gemeenschappelijke toegang tot de dienst hebben, maar waarbij de verwerking voor elke gebruiker afzonderlijk plaatsvindt, hoewel de dienst door middel van dezelfde elektronische apparatuur wordt verleend. Met “gedistribueerd” worden de computingmiddelen bedoeld die zich op verschillende netwerkcomputers of -toestellen bevinden en die onderling communiceren en coördineren door middel van het doorgeven van berichten. De term “sterk gedistribueerd” wordt gebruikt om dataverwerkingsdiensten te beschrijven die betrekking hebben op dataverwerking dichter bij de plaats waar data worden gegenereerd of verzameld, bijvoorbeeld in een verbonden dataverwerkingsapparaat. Edge computing, een vorm van dergelijke sterk gedistribueerde dataverwerking, zal naar verwachting nieuwe bedrijfsmodellen en modellen voor de levering van clouddiensten genereren, die van meet af aan open en interoperabel moeten zijn.

(81)

Het algemene begrip “dataverwerkingsdiensten” omvat een aanzienlijk aantal diensten met zeer veel verschillende doeleinden, functionaliteiten en technische opstellingen. Zoals algemeen wordt begrepen door aanbieders en gebruikers en in overeenstemming met algemeen gebruikte normen, vallen dataverwerkingsdiensten onder een of meer van de volgende drie modellen voor de levering van dataverwerkingsdiensten, namelijk infrastructuur als dienst (Infrastructure-as-a-Service — IaaS), platform als dienst (Platform-as-a-Service — PaaS) en software als dienst (Software-as-a-Service — SaaS). Die modellen voor de levering van diensten vertegenwoordigen een specifieke, voorverpakte combinatie van ICT-middelen die worden aangeboden door een aanbieder van dataverwerkingsdiensten. Die drie fundamentele modellen voor de levering van dataverwerkingsdiensten worden verder aangevuld door opkomende varianten, die elk bestaan uit een aparte combinatie van ICT-middelen, zoals opslag als dienst (Storage-as-a-Service) en databank als dienst (Database-as-a-Service). Dataverwerkingsdiensten kunnen in gedetailleerdere categorieën worden ingedeeld en opgedeeld in een niet-uitputtende lijst van reeksen dataverwerkingsdiensten die dezelfde primaire doelstelling en belangrijkste functionaliteiten alsook hetzelfde type dataverwerkingsmodellen delen die geen verband houden met de operationele kenmerken van de diensten (hetzelfde type dienst). Diensten van hetzelfde type kunnen hetzelfde model voor dataverwerkingsdiensten delen; twee databanken kunnen echter schijnbaar dezelfde primaire doelstelling hebben, maar na bestudering van hun dataverwerkingsmodel, distributiemodel en de gebruiksgevallen waarop zij gericht zijn, kan blijken dat dergelijke databanken onder een meer gedetailleerde subcategorie van soortgelijke diensten vallen. Diensten van hetzelfde type kunnen verschillende en concurrerende kenmerken hebben, zoals prestaties, veiligheid, veerkracht en kwaliteit van de dienst.

(82)

Het ondermijnen van de extractie van de exporteerbare data die eigendom zijn van de klant, vanuit de oorspronkelijke aanbieder van dataverwerkingsdiensten kan het herstel van de functionaliteiten van de dienst in de infrastructuur van de bestemmingsaanbieder van dataverwerkingsdiensten belemmeren. Om de exitstrategie van de klant te faciliteren, onnodige en belastende taken te vermijden en ervoor te zorgen dat de klant geen van zijn data verliest als gevolg van het overstapproces, moet de oorspronkelijke aanbieder van dataverwerkingsdiensten de klant van tevoren informeren over de reikwijdte van de data die kunnen worden geëxporteerd wanneer die klant besluit op een andere dienst van een andere aanbieder van dataverwerkingsdiensten of naar een on-premises (ICT-infrastructuur over te stappen. Onder “exporteerbare data” vallen ten minste de input- en outputdata, met inbegrip van metagegevens, die direct of indirect worden gegenereerd, of worden medegegenereerd, door het gebruik door de klant van de dataverwerkingsdienst, met uitzondering van activa of gegevens van aanbieders van dataverwerkingsdiensten of van een derde. De exporteerbare data mogen geen activa of gegevens van de aanbieder van dataverwerkingsdiensten of van de derde omvatten die beschermd zijn op grond van intellectuele-eigendomsrechten of die bedrijfsgeheimen vormen van die aanbieder of van die derde, of gegevens met betrekking tot de integriteit en beveiliging van de dienst, waarvan de uitvoer de aanbieder van dataverwerkingsdiensten zal blootstellen aan kwetsbaarheden in de cyberbeveiliging. Die uitsluitingen mogen het overstapproces niet belemmeren of vertragen.

(83)

Digitale activa hebben betrekking op elementen in digitale vorm waarvoor de klant het gebruiksrecht heeft, waaronder toepassingen en metagegevens in verband met de configuratie van instellingen, beveiliging, en het beheer van toegangs- en controlerechten, en andere elementen zoals uitingen van virtualiseringstechnologieën, waaronder virtuele machines en containers. Digitale activa kunnen worden doorgegeven indien de klant het gebruiksrecht heeft, onafhankelijk van de contractuele relatie met de dataverwerkingsdienst die hij voornemens is te verlaten om over te stappen. Die andere elementen zijn essentieel voor een doeltreffend gebruik van de gegevens en toepassingen van de klant in de omgeving van de bestemmingsaanbieder van dataverwerkingsdiensten.

(84)

Deze verordening heeft tot doel de overstap tussen dataverwerkingsdiensten te vergemakkelijken, en omvat daartoe noodzakelijke voorwaarden en acties voor klanten om een overeenkomst van een dataverwerkingsdienst te beëindigen, een of meerdere nieuwe overeenkomsten af te sluiten met verschillende aanbieders van dataverwerkingsdiensten, hun exporteerbare data en digitale activa over te dragen, en waar van toepassing, te profiteren van functionele gelijkwaardigheid.

(85)

Overstappen is een klantgericht proces dat uit verschillende stappen bestaat, waaronder data-extractie, te weten het downloaden van gegevens uit het ecosysteem van de oorspronkelijke aanbieder van dataverwerkingsdiensten, transformatie, waarbij de gegevens zodanig worden gestructureerd dat zij niet passen in de structuur van de nieuwe locatie, en het uploaden van de gegevens op de nieuwe locatie. In een in deze verordening beschreven specifieke situatie moet het loskoppelen van een bepaalde dienst van de overeenkomst en het verplaatsen ervan naar een andere aanbieder eveneens als overstappen worden beschouwd. Het overstapproces wordt soms namens de klant door een derde entiteit beheerd. Dienovereenkomstig moeten alle krachtens deze verordening vastgestelde rechten en plichten van de klant, met inbegrip van de verplichting om te goeder trouw samen te werken, in die omstandigheden als van toepassing op een derde entiteit gelden. Aanbieders van dataverwerkingsdiensten en klanten hebben verschillende niveaus van verantwoordelijkheid, afhankelijk van de stappen in het proces. Zo is de oorspronkelijke aanbieder van dataverwerkingsdiensten verantwoordelijk voor de extractie van de gegevens in een machineleesbaar formaat, maar zijn de klant en de bestemmingsaanbieder van dataverwerkingsdiensten degenen die de gegevens in de nieuwe omgeving moeten uploaden, tenzij er een specifieke professionele overgangsdienst is verkregen. Een klant die voornemens is in deze verordening bedoelde rechten in verband met overstappen uit te oefenen, moet de oorspronkelijke aanbieder van dataverwerkingsdiensten in kennis stellen van het besluit om over te stappen op een andere aanbieder van dataverwerkingsdiensten of op een on-premises ICT-infrastructuur, dan wel om de activa en exporteerbare data van die klant te verwijderen.

(86)

Functionele gelijkwaardigheid betekent het herstellen, op basis van de exporteerbare data en digitale activa van de klant, van een minimumniveau van functionaliteit in de omgeving van een nieuwe dataverwerkingsdienst van hetzelfde type dienst na het overstappen, waarbij de dataverwerkingsdienst van bestemming een materieel vergelijkbaar resultaat oplevert met gebruikmaking van dezelfde input voor gedeelde kenmerken die in het kader van de overeenkomst aan de klant wordt geleverd. Van aanbieders van dataverwerkingsdiensten kan alleen worden verwacht dat zij functionele gelijkwaardigheid faciliteren voor de kenmerken die zowel de oorspronkelijke dataverwerkingsdiensten als de dataverwerkingsdiensten van bestemming onafhankelijk van elkaar aanbieden. Deze verordening houdt geen verplichting in om functionele gelijkwaardigheid te faciliteren voor andere aanbieders van dataverwerkingsdiensten dan die welke diensten van het leveringsmodel IaaS aanbieden.

(87)

Dataverwerkingsdiensten worden in uiteenlopende sectoren gebruikt en verschillen in complexiteit en type dienst. Dit is een belangrijk aspect dat in overweging moet worden genomen bij het overdrachtsproces en de termijnen. Een verlenging van de overgangsperiode op grond van technische onmogelijkheid om het overstapproces binnen de gegeven termijn te kunnen voltooien, mag niettemin alleen in naar behoren gemotiveerde gevallen worden ingeroepen. De bewijslast in dat verband moet volledig bij de aanbieder van de betrokken dataverwerkingsdienst liggen. Dit doet geen afbreuk aan het exclusieve recht van de klant om de overgangsperiode eenmaal te verlengen voor een periode die de klant voor zijn eigen doeleinden geschikter acht. De klant kan dat recht op verlenging vóór of tijdens de overgangsperiode inroepen, aangezien de overeenkomst tijdens de overgangsperiode van toepassing blijft.

(88)

Overstaptarieven zijn kosten die door aanbieders van dataverwerkingsdiensten aan klanten worden opgelegd voor het overstapproces. Doorgaans zijn die tarieven bedoeld om kosten die de oorspronkelijke aanbieder van dataverwerkingsdiensten maakt naar aanleiding van het overstapproces door te berekenen aan de klant die wil overstappen. Gebruikelijke voorbeelden van overstapkosten zijn kosten die verband houden met de overdracht van gegevens van de ene aanbieder van dataverwerkingsdiensten naar de andere of naar een on-premises ICT-infrastructuur (gegevensextractiekosten) of de kosten die gemoeid zijn met de specifieke ondersteuning die wordt geboden tijdens het overstapproces. Onnodig hoge gegevensextractietarieven en andere ongerechtvaardigde tarieven die geen verband houden met de feitelijke overstapkosten kunnen klanten ervan weerhouden over te stappen, beperken het vrije verkeer van gegevens, kunnen de mededinging beperken en hebben lock-in-effecten voor de klanten, doordat zij de prikkels verminderen om een andere of extra aanbieder te kiezen. Daarom dienen de overstaptarieven te worden afgeschaft drie jaar na de datum van inwerkingtreding van deze verordening. Aanbieders van dataverwerkingsdiensten moeten tot die datum lagere overstaptarieven kunnen opleggen.

(89)

De oorspronkelijke aanbieder van dataverwerkingsdiensten moet bepaalde taken kunnen uitbesteden en derde entiteiten een vergoeding bieden om de verplichtingen uit deze verordening na te komen. De klant mag niet opdraaien voor de kosten die voortkomen uit de uitbesteding van diensten door de oorspronkelijke aanbieder van dataverwerkingsdiensten tijdens het overstapproces, en dergelijke kosten moeten als ongerechtvaardigd worden beschouwd, tenzij zij betrekking hebben op werkzaamheden die de aanbieder van dataverwerkingsdiensten op verzoek van de klant verricht als aanvullende ondersteuning bij het overstapproces, die verder gaat dan de overstapverplichtingen van de aanbieder zoals uitdrukkelijk bepaald in deze verordening. Niets in deze verordening belet een klant derde entiteiten te vergoeden voor ondersteuning bij het migratieproces, of partijen om overeenkomsten voor dataverwerkingsdiensten met een vaste looptijd overeen te komen, met inbegrip van evenredige boetes voor vroegtijdige beëindiging om de vroegtijdige beëindiging van dergelijke overeenkomsten te dekken, in overeenstemming met het Unie- of nationale recht. Teneinde de mededinging te bevorderen, moet de geleidelijke afschaffing van tarieven die verband houden met het overstappen tussen verschillende aanbieders van dataverwerkingsdiensten, specifiek de gegevensextractiekosten omvatten die een aanbieder van dataverwerkingsdiensten aan een klant in rekening brengen. Standaardvergoedingen voor de verlening van de dataverwerkingsdiensten zelf zijn geen overstapkosten. Die standaardvergoedingen kunnen niet worden afgeschaft en blijven van toepassing totdat de overeenkomst voor de verlening van de relevante diensten niet meer van toepassing is. Bijgevolg biedt deze verordening de klant de mogelijkheid om aanvullende diensten te vragen die verder gaan dan de overstapverplichtingen van de aanbieder uit hoofde van deze verordening. Die aanvullende diensten kunnen door de aanbieder worden verricht en in rekening worden gebracht wanneer zij op verzoek van de klant worden verricht en de klant vooraf instemt met de prijs van die diensten.

(90)

Er is een ambitieuze en op innovatie gerichte regelgevingsbenadering van interoperabiliteit nodig om leveranciersafhankelijkheid (vendor lock-in) te beperken, aangezien deze de mededinging en de ontwikkeling van nieuwe diensten ondermijnt. Interoperabiliteit tussen dataverwerkingsdiensten omvat meerdere interfaces en lagen van infrastructuur en software en blijft zelden beperkt tot de simpele vraag of zij haalbaar is of niet. In plaats daarvan is de totstandbrenging van een dergelijke interoperabiliteit onderworpen aan een kosten-batenanalyse die nodig is om vast te stellen of het zinvol is redelijkerwijs voorspelbare resultaten na te streven. ISO/IEC 19941:2017 is een belangrijke internationale norm die een referentie vormt voor de verwezenlijking van de doelstellingen van deze verordening, aangezien zij technische overwegingen bevat waarmee de complexiteit van een dergelijk proces wordt verduidelijkt.

(91)

Indien aanbieders van dataverwerkingsdiensten op hun beurt klant zijn van dataverwerkingsdiensten die door een derde aanbieder worden verleend, zullen zij zelf profiteren van doeltreffender overstappen, terwijl zij tegelijkertijd gebonden blijven aan de verplichtingen van deze verordening wat hun eigen dienstenaanbod betreft.

(92)

Aanbieders van dataverwerkingsdiensten moeten worden verplicht om binnen hun vermogen en in verhouding tot hun respectieve verplichtingen, alle nodige bijstand en ondersteuning te bieden om het overstapproces naar een dienst van een andere aanbieder van dataverwerkingsdiensten succesvol, doeltreffend en veilig te laten verlopen. Deze verordening verlangt niet van aanbieders van dataverwerkingsdiensten dat zij onder meer binnen of op basis van de ICT-infrastructuur van verschillende aanbieders van dataverwerkingsdiensten nieuwe categorieën dataverwerkingsdiensten ontwikkelen om functionele gelijkwaardigheid in een andere omgeving dan hun eigen systemen te waarborgen. Een oorspronkelijke aanbieder van dataverwerkingsdiensten heeft geen toegang tot, noch inzicht in de omgeving van de nieuwe aanbieder van dataverwerkingsdiensten. Functionele gelijkwaardigheid mag niet worden opgevat als een verplichting voor de oorspronkelijke aanbieder van dataverwerkingsdiensten om de betrokken dienst opnieuw op te bouwen binnen de infrastructuur van de bestemmingsaanbieder van dataverwerkingsdiensten. In plaats daarvan moet de oorspronkelijke aanbieder van dataverwerkingsdiensten alle redelijke maatregelen nemen binnen zijn vermogen om het proces van het bereiken van functionele gelijkwaardigheid te vergemakkelijken door de verstrekking van capaciteit, adequate informatie, documentatie, technische ondersteuning en, in voorkomend geval, de benodigde instrumenten.

(93)

Aanbieders van dataverwerkingsdiensten moeten ook worden verplicht bestaande belemmeringen weg te nemen en geen nieuwe belemmeringen op te werpen, ook niet voor klanten die naar een on-premises ICT-infrastructuur willen overstappen. Belemmeringen kunnen onder meer van precommerciële, commerciële, technische, contractuele of organisatorische aard zijn. Aanbieders van dataverwerkingsdiensten moeten ook worden verplicht belemmeringen voor het loskoppelen van een specifieke individuele dienst van andere dataverwerkingsdiensten die in het kader van een overeenkomst worden verleend, weg te nemen en de relevante dienst beschikbaar te stellen voor overstappen, behoudens belangrijke, aangetoonde technische belemmeringen die een dergelijk loskoppelen in de weg staan.

(94)

Gedurende het hele overstapproces moet een hoog beveiligingsniveau worden gehandhaafd. Dit betekent dat de oorspronkelijke aanbieder van dataverwerkingsdiensten het beveiligingsniveau waartoe hij zich voor de dienst heeft verbonden, moet uitbreiden tot alle technische regelingen waarvoor die aanbieder verantwoordelijk is tijdens het overstapproces, zoals netwerkverbindingen of fysieke apparaten. Bestaande rechten in verband met de beëindiging van overeenkomsten, waaronder de rechten die zijn ingevoerd bij Verordening (EU) 2016/679 en Richtlijn (EU) 2019/770 van het Europees Parlement en de Raad (31), moeten onverlet worden gelaten. Deze verordening mag niet worden opgevat als een beletsel voor een aanbieder van dataverwerkingsdiensten om klanten nieuwe en verbeterde diensten, kenmerken en functionaliteiten aan te bieden of om daarop met andere aanbieders van dataverwerkingsdiensten te concurreren.

(95)

De door aanbieders van dataverwerkingsdiensten aan de klant te verstrekken informatie kan de exitstrategie van de klant ondersteunen. Die informatie moet betrekking hebben op procedures om te beginnen met het overstappen van de dataverwerkingsdienst; de machineleesbare dataformaten waarnaar de gegevens van de gebruiker kunnen worden geëxporteerd; de instrumenten die bedoeld zijn om gegevens te exporteren, waaronder open interfaces, alsook informatie over de compatibiliteit met geharmoniseerde normen of gemeenschappelijke specificaties op basis van open interoperabiliteitsspecificaties; informatie over bekende technische restricties en beperkingen die van invloed kunnen zijn op het overstapproces; en de geschatte tijd die nodig is om het overstapproces te voltooien.

(96)

Om interoperabiliteit en het overstappen tussen dataverwerkingsdiensten te vergemakkelijken, moeten gebruikers en aanbieders van dataverwerkingsdiensten het gebruik van implementatie- en nalevingsinstrumenten overwegen, met name het door de Commissie gepubliceerde rulebook voor de cloud van de EU en een Richtsnoer voor overheidsopdrachten voor dataverwerkingsdiensten. Met name standaardcontractbepalingen zijn nuttig omdat zij het vertrouwen in dataverwerkingsdiensten vergroten, een evenwichtigere relatie tussen gebruikers en aanbieders van dataverwerkingsdiensten tot stand brengen en de rechtszekerheid verbeteren met betrekking tot de voorwaarden die gelden voor het overstappen naar andere dataverwerkingsdiensten. In die context moeten gebruikers en aanbieders van dataverwerkingsdiensten overwegen gebruik te maken van standaardcontractbepalingen of andere instrumenten voor zelfregulering, op voorwaarde dat deze volledig in overeenstemming zijn met deze verordening, die zijn ontwikkeld door relevante organen of deskundigengroepen die krachtens het Unierecht zijn opgericht.

(97)

Om de overstap tussen dataverwerkingsdiensten te vergemakkelijken, moeten alle betrokken partijen, zowel de oorspronkelijke als de nieuwe aanbieders van dataverwerkingsdiensten, te goeder trouw samenwerken teneinde het overstapproces doeltreffend te maken, en een veilige en tijdige overdracht van noodzakelijke gegevens in een algemeen gebruikt en machineleesbaar formaat en door middel van open interfaces mogelijk te maken, waarbij onderbrekingen van de dienstverlening worden vermeden en de continuïteit van de dienst wordt gewaarborgd.

(98)

Dataverwerkingsdiensten die betrekking hebben op diensten waarvan de meeste hoofdkenmerken op maat zijn gemaakt om tegemoet te komen aan de specifieke behoeften van een individuele klant of waarbij alle componenten zijn ontwikkeld ten behoeve van een individuele klant, moeten worden vrijgesteld van een aantal verplichtingen bij het overstappen naar een andere dataverwerkingsdienst. Diensten die de aanbieder van dataverwerkingsdiensten op grote commerciële schaal aanbiedt via zijn dienstencatalogus mogen hier niet onder vallen. Het behoort tot de verplichtingen van de aanbieder van dataverwerkingsdiensten om potentiële klanten vóór het sluiten van een overeenkomst naar behoren te informeren over de verplichtingen van deze verordening die niet op de betrokken diensten van toepassing zijn. Niets belet de aanbieder van dataverwerkingsdiensten om dergelijke diensten later op grote schaal in te zetten, in welk geval de aanbieder wel aan alle overstapverplichtingen van deze verordening moet voldoen.

(99)

In overeenstemming met het minimumvereiste om overstappen tussen aanbieders van dataverwerkingsdiensten toe te staan, heeft deze verordening ook tot doel de interoperabiliteit voor parallel gebruik van meerdere dataverwerkingsdiensten met aanvullende functionaliteiten te verbeteren. Het gaat dan om situaties waarin klanten een overeenkomst niet beëindigen wanneer zij overstappen naar een andere aanbieder van dataverwerkingsdiensten, maar waarin meerdere diensten van verschillende aanbieders parallel, op interoperabele wijze, worden gebruikt om te profiteren van de aanvullende functionaliteiten van de verschillende diensten in het systeem van de klant. Er wordt echter erkend dat de extractie van gegevens van de ene aanbieder van dataverwerkingsdiensten door de andere aanbieder om het parallelle gebruik van diensten te faciliteren, een doorlopende activiteit kan zijn, in tegenstelling tot de eenmalige extractie die nodig is in het kader van een overstapproces. Daarom moeten aanbieders van dataverwerkingsdiensten ook na een periode van drie jaar na de datum van inwerkingtreding van deze verordening de gegevensextractiekosten, die niet hoger zijn dan de gemaakte kosten, voor parallel gebruik in rekening kunnen blijven brengen. Dat is onder meer belangrijk voor de succesvolle uitrol van multicloudstrategieën, waarmee klanten toekomstbestendige ICT-strategieën kunnen uitvoeren en waarmee de afhankelijkheid van individuele aanbieders van dataverwerkingsdiensten wordt verminderd. Het bevorderen van de mogelijkheden voor klanten om gebruik te maken van verschillende dataverwerkingsdiensten kan ook bijdragen aan hun digitale operationele veerkracht, zoals wordt erkend met betrekking tot instellingen voor financiële dienstverlening in Verordening (EU) 2022/2554 van het Europees Parlement en de Raad (32).

(100)

Open interoperabiliteitsspecificaties en -normen die zijn ontwikkeld overeenkomstig bijlage II bij Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad (33) op het gebied van interoperabiliteit en overdraagbaarheid, maken naar verwachting een cloudomgeving met diverse verkopers mogelijk, wat een essentiële vereiste is voor open innovatie in de Europese data-economie. Aangezien de marktacceptatie van vastgestelde normen in het kader van het in 2016 afgeronde initiatief inzake coördinatie van cloudnormalisatie (CSC) beperkt is gebleven, is het ook noodzakelijk dat de Commissie een beroep doet op de partijen op de markt om relevante open interoperabiliteitsspecificaties te ontwikkelen om gelijke tred te houden met het snelle tempo van de technologische ontwikkeling in deze sector. Dergelijke open interoperabiliteitsspecificaties kunnen vervolgens door de Commissie worden vastgesteld in de vorm van gemeenschappelijke specificaties. Indien niet is gebleken dat marktgestuurde processen kunnen leiden tot het vaststellen van gemeenschappelijke specificaties of normen die doeltreffende cloudinteroperabiliteit op PaaS- en SaaS-niveau bevorderen, moet de Commissie op basis van deze verordening en in overeenstemming met Verordening (EU) nr. 1025/2012 Europese normalisatie-instellingen kunnen verzoeken om dergelijke normen te ontwikkelen voor de specifieke soorten diensten waarvoor dergelijke normen nog niet bestaan. Daarnaast zal de Commissie de marktpartijen aanmoedigen relevante open interoperabiliteitsspecificaties te ontwikkelen. Na overleg met de belanghebbenden, moet de Commissie door middel van uitvoeringshandelingen in staat zijn het gebruik van geharmoniseerde normen voor interoperabiliteit of gemeenschappelijke specificaties voor specifieke soorten diensten voor te schrijven, door middel van een verwijzing in een centraal register voor Unienormen voor de interoperabiliteit van dataverwerkingsdiensten. Aanbieders van dataverwerkingsdiensten moeten zorgen voor compatibiliteit met die geharmoniseerde normen en gemeenschappelijke specificaties op basis van open interoperabiliteitsspecificaties, die geen negatieve gevolgen mogen hebben voor de beveiliging of integriteit van gegevens. Er wordt alleen naar geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten en gemeenschappelijke specificaties op basis van open interoperabiliteitsspecificaties verwezen indien deze in overeenstemming zijn met de in deze verordening gespecificeerde criteria, die dezelfde betekenis hebben als de eisen in bijlage II bij Verordening (EU) nr. 1025/2012 en de interoperabiliteitsfacetten zoals gedefinieerd in de internationale norm ISO/IEC 19941:2017. Daarnaast wordt bij normalisatie rekening gehouden met de behoeften van kmo’s.

(101)

Derde landen mogen wetten, voorschriften en andere rechtshandelingen vaststellen die gericht zijn op het rechtstreeks overdragen van of het verlenen van toegang door de overheid tot niet-persoonsgebonden gegevens die zich buiten hun grenzen, ook in de Unie, bevinden. Rechterlijke uitspraken of besluiten van andere justitiële of administratieve instanties, waaronder rechtshandhavingsinstanties van derde landen die vereisen dat niet-persoonsgebonden gegevens worden overgedragen of dat er toegang tot die gegevens wordt verschaft, moeten afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtshulp, tussen het verzoekende derde land en de Unie of een lidstaat. In andere gevallen kan een situatie ontstaan waarin een verzoek om overdracht van of het verlenen van toegang tot niet-persoonsgebonden gegevens op grond van het recht van een derde land in strijd is met een verplichting om die gegevens te beschermen uit hoofde van het Unierecht of uit hoofde van het nationale recht van de betreffende lidstaat, met name wat betreft de bescherming van de grondrechten van het individu, zoals het recht op veiligheid en het recht op een doeltreffende voorziening in rechte, of de fundamentele belangen van een lidstaat in verband met de nationale veiligheid of defensie, alsook de bescherming van commercieel gevoelige gegevens, inclusief de bescherming van bedrijfsgeheimen, en de bescherming van intellectuele-eigendomsrechten, met inbegrip van de contractuele verbintenissen inzake vertrouwelijkheid overeenkomstig dat recht. Bestaan er geen internationale overeenkomsten die dergelijke kwesties regelen, dan mag overdracht van of toegang tot niet-persoonsgebonden gegevens alleen worden toegestaan indien gecontroleerd is dat het systeem van het derde land voorschrijft dat de redenen voor en de evenredigheid van het besluit worden toegelicht, dat het vonnis of het besluit van de rechtbank een specifiek karakter heeft, en dat het met redenen omklede bezwaar van de geadresseerde wordt getoetst door een bevoegde rechterlijke instantie van een derde land die gemachtigd is om rekening te houden met de relevante juridische belangen van de gegevensverstrekker. Indien mogelijk op grond van de voorwaarden van het verzoek om toegang tot gegevens van de autoriteit van het derde land, moet de aanbieder van dataverwerkingsdiensten de klant wiens gegevens worden opgevraagd hierover kunnen informeren voordat toegang tot die gegevens wordt verleend, om na te gaan of er sprake is van een mogelijk conflict van een dergelijke toegang met Unie- of nationaal recht, zoals dat inzake de bescherming van commercieel gevoelige gegevens, waaronder de bescherming van bedrijfsgeheimen en intellectuele-eigendomsrechten en de contractuele verbintenissen inzake vertrouwelijkheid.

(102)

Om het vertrouwen in gegevens te vergroten, is het belangrijk dat de waarborgen die ervoor zorgen dat Unieburgers, overheidsinstanties en het bedrijfsleven controle hebben over hun gegevens zo veel mogelijk worden toegepast. Daarnaast moeten het recht, de waarden en de normen van de Unie in acht worden genomen op het gebied van onder meer veiligheid, gegevensbescherming en privacy, en consumentenbescherming. Om onrechtmatige overheidstoegang tot niet-persoonsgebonden gegevens door autoriteiten van derde landen te voorkomen, moeten aanbieders van dataverwerkingsdiensten die onder deze verordening vallen, zoals cloud- en edgediensten, alle redelijke maatregelen nemen om de toegang tot systemen waarop niet-persoonsgebonden gegevens worden opgeslagen te voorkomen, onder meer, in voorkomend geval, door middel van versleuteling van gegevens, frequente audits, geverifieerde naleving van relevante certificeringsregelingen voor veiligheidsgaranties en door de wijziging van het bedrijfsbeleid.

(103)

Normalisatie en semantische interoperabiliteit moeten een sleutelrol spelen bij het bieden van technische oplossingen om interoperabiliteit te waarborgen binnen en tussen gemeenschappelijke Europese dataruimten, die doel- of sectorspecifieke of sectoroverschrijdende interoperabele kaders vormen voor gemeenschappelijke normen en praktijken op het gebied van gegevensdeling of gezamenlijke dataverwerking met het oog op onder meer de ontwikkeling van nieuwe producten en diensten, wetenschappelijk onderzoek of initiatieven van het maatschappelijk middenveld. Bij deze verordening worden bepaalde essentiële vereisten inzake interoperabiliteit vastgesteld. Deelnemers aan dataruimten die gegevens of op gegevensdiensten aanbieden aan andere deelnemers, zijnde entiteiten die het delen van gegevens binnen gemeenschappelijke Europese dataruimten faciliteren of daarbij betrokken zijn, met inbegrip van gegevenshouders, moeten aan die vereisten voldoen voor zover het elementen betreft waar zij zeggenschap over hebben. De naleving van die voorschriften kan worden gewaarborgd door te voldoen aan de bij deze verordening vastgestelde essentiële vereisten of worden verondersteld door naleving van geharmoniseerde normen of gemeenschappelijke specificaties op basis van een vermoeden van conformiteit. Om conformiteit met de interoperabiliteitseisen te vergemakkelijken, moet worden voorzien in een vermoeden van conformiteit voor interoperabiliteitsoplossingen die voldoen aan geharmoniseerde normen of delen daarvan, overeenkomstig Verordening (EU) nr. 1025/2012, die het standaardkader vormt voor het opstellen van normen voor een dergelijk vermoeden. De Commissie moet belemmeringen voor interoperabiliteit beoordelen en prioriteit geven aan normalisatiebehoeften, op basis waarvan zij op grond van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties kan verzoeken geharmoniseerde normen op te stellen die aan de essentiële eisen uit deze verordening voldoen. Wanneer dergelijke verzoeken niet leiden tot geharmoniseerde normen of dergelijke geharmoniseerde normen ontoereikend zijn om conformiteit met de essentiële eisen van deze verordening te waarborgen, moet de Commissie gemeenschappelijke specificaties op die gebieden kunnen vaststellen, op voorwaarde dat zij daarbij de rol en de functies van normalisatieorganisaties naar behoren eerbiedigt. Gemeenschappelijke specificaties mogen alleen worden vastgesteld als een uitzonderlijke terugvaloplossing om de naleving van de essentiële eisen van deze verordening te faciliteren, of indien het normalisatieproces stilligt of de vaststelling van passende geharmoniseerde normen vertraging oploopt. Indien een vertraging te wijten is aan de technische complexiteit van de betrokken norm, moet de Commissie hier rekening mee houden alvorens de vaststelling van gemeenschappelijke specificaties te overwegen. Gemeenschappelijke specificaties moeten op een open en inclusieve manier worden opgesteld en in voorkomend geval rekening houden met het advies van het bij Verordening (EU) 2022/868 opgerichte Europees Comité voor gegevensinnovatie. Daarnaast kunnen er nog gemeenschappelijke specificaties voor verschillende sectoren worden vastgesteld, overeenkomstig het Unie- of nationale recht, op basis van de specifieke behoeften van die sectoren. Daarnaast moet de Commissie in staat worden gesteld opdracht te geven tot het ontwikkelen van geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten.

(104)

Om de interoperabiliteit van instrumenten voor de geautomatiseerde uitvoering van gegevensdelingsovereenkomsten te bevorderen, moeten er essentiële eisen worden vastgesteld voor slimme contracten die professionals voor anderen sluiten of integreren in toepassingen die de uitvoering van gegevensdelingsovereenkomsten ondersteunen. Om de conformiteit van dergelijke slimme contracten met die essentiële eisen te vergemakkelijken, moet worden voorzien in een vermoeden van conformiteit van slimme contracten die voldoen aan geharmoniseerde normen of delen daarvan, overeenkomstig Verordening (EU) nr. 1025/2012. Het begrip “slim contract” in deze verordening is technologisch neutraal. Slimme contracten kunnen bijvoorbeeld worden gekoppeld aan een elektronisch register. De essentiële eisen moeten alleen van toepassing zijn op de verkopers van slimme contracten, maar niet wanneer zij binnen hun bedrijf slimme contracten voor uitsluitend intern gebruik ontwikkelen. De essentiële eis dat slimme contracten moeten kunnen worden onderbroken en beëindigd, impliceert wederzijdse instemming van de partijen bij de overeenkomst inzake het delen van gegevens. Het gebruik van slimme contracten voor de geautomatiseerde uitvoering van gegevensdelingsovereenkomsten laat de toepasselijkheid van de relevante regels van burgerlijk, contractueel en consumentenbeschermingsrecht op dergelijke overeenkomsten onverlet of moet die onverlet laten.

(105)

Om aan te tonen dat aan de essentiële eisen van deze verordening is voldaan, moet de verkoper van een slim contract, of bij ontstentenis daarvan, de persoon van wie de handels-, bedrijfs- of beroepsactiviteit de uitrol van slimme contracten voor anderen met zich meebrengt in de context van de uitvoering van een overeenkomst of een deel daarvan, om gegevens beschikbaar te stellen in het kader van deze verordening, een conformiteitsbeoordeling uitvoeren en een EU-conformiteitsverklaring afgeven. Een dergelijke conformiteitsbeoordeling moet worden onderworpen aan de algemene beginselen van Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (34) en Besluit (EG) nr. 768/2008 van het Europees Parlement en de Raad (35).

(106)

Naast de verplichting voor professionele ontwikkelaars van slimme contracten om aan essentiële eisen te voldoen, is het ook belangrijk om deelnemers binnen dataruimten die gegevens of op gegevens gebaseerde diensten aanbieden aan andere deelnemers binnen en tussen gemeenschappelijke Europese dataruimten aan te moedigen de interoperabiliteit van gegevensdelingsinstrumenten, met inbegrip van slimme contracten, te ondersteunen.

(107)

Met het oog op een efficiënte toepassing en handhaving van deze verordening moeten de lidstaten hiervoor een of meer bevoegde autoriteiten aanwijzen. Indien een lidstaat meer dan één bevoegde autoriteit aanwijst, moet hij ook één van hen als datacoördinator aanwijzen. De bevoegde autoriteiten moeten met elkaar samenwerken. Door de uitoefening van hun onderzoeksbevoegdheden overeenkomstig de toepasselijke nationale procedures moeten de bevoegde autoriteiten informatie kunnen opzoeken en verkrijgen, met name met betrekking tot activiteiten van entiteiten die onder hun bevoegdheid vallen en, onder meer in de context van gezamenlijke onderzoeken, met inachtneming van het feit dat toezicht- en handhavingsmaatregelen met betrekking tot entiteiten die onder de bevoegdheid van een andere lidstaat vallen, in voorkomend geval door de bevoegde autoriteit van die andere lidstaat moeten worden vastgesteld overeenkomstig de procedures inzake grensoverschrijdende samenwerking. De bevoegde autoriteiten moeten elkaar tijdig bijstaan, met name wanneer een bevoegde autoriteit in een lidstaat over relevante informatie beschikt voor een onderzoek dat door de bevoegde autoriteiten in andere lidstaten wordt uitgevoerd, of wanneer een bevoegde autoriteit in een lidstaat informatie kan verzamelen waar de bevoegde autoriteiten in de lidstaat waar de entiteit is gevestigd geen toegang toe hebben. Bevoegde autoriteiten en datacoördinatoren moeten worden geïdentificeerd in een openbaar register dat door de Commissie wordt bijgehouden. De datacoördinator kan een extra faciliterende factor zijn voor samenwerking in grensoverschrijdende situaties, bijvoorbeeld wanneer een bevoegde autoriteit van een bepaalde lidstaat niet weet welke autoriteit zij in de lidstaat van de datacoördinator moet benaderen, wat het geval kan zijn als de zaak betrekking heeft op meer dan één bevoegde autoriteit of sector. De datacoördinator moet onder meer optreden als centraal contactpunt voor alle kwesties in verband met de toepassing van deze verordening. Indien er geen datacoördinator is aangewezen, moet de bevoegde autoriteit de taken op zich nemen die uit hoofde van deze verordening aan de datacoördinator zijn toegewezen. De autoriteiten die verantwoordelijk zijn voor het toezicht op de naleving van gegevensbescherming en de bevoegde autoriteiten die krachtens Unie- of nationaal recht zijn aangewezen, moeten verantwoordelijk zijn voor de toepassing van deze verordening op hun bevoegdheidsgebieden. Om belangenconflicten te voorkomen, mogen de bevoegde autoriteiten die verantwoordelijk zijn voor de toepassing en handhaving van deze verordening op het gebied van het beschikbaar stellen van gegevens na een verzoek op basis van een uitzonderlijke noodzaak, niet het recht hebben om een dergelijk verzoek in te dienen.

(108)

Om hun rechten uit hoofde van deze verordening te doen gelden, moeten natuurlijke en rechtspersonen het recht hebben verhaal te halen voor inbreuken op hun rechten uit hoofde van deze verordening door een klacht in te dienen. De datacoördinator moet natuurlijke en rechtspersonen op verzoek alle benodigde informatie verstrekken om hun klachten bij de juiste bevoegde autoriteit in te dienen. Die autoriteiten moeten worden verplicht samen te werken om ervoor te zorgen dat een klacht naar behoren wordt behandeld en doeltreffend en tijdig wordt opgelost. Om gebruik te maken van het samenwerkingsnetwerkmechanisme voor consumentenbescherming en om representatieve vorderingen mogelijk te maken, wijzigt deze verordening de bijlagen bij Verordening (EU) 2017/2394 van het Europees Parlement en de Raad (36) en Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad (37).

(109)

De bevoegde autoriteiten moeten ervoor zorgen dat inbreuken op de in deze verordening vastgelegde verplichtingen worden onderworpen aan sancties. Dergelijke sancties kunnen onder meer bestaan uit financiële sancties, waarschuwingen, berispingen of bevelen om handelspraktijken in overeenstemming te brengen met de verplichtingen uit hoofde van deze verordening. De door de lidstaten vastgestelde sancties moeten doeltreffend, evenredig en afschrikkend zijn en moeten rekening houden met de aanbevelingen van het Europees Comité voor gegevensinnovatie, en aldus bijdragen tot een zo groot mogelijke mate van consistentie bij de vaststelling en toepassing van sancties. In voorkomend geval moeten de bevoegde autoriteiten gebruikmaken van voorlopige maatregelen om de gevolgen van een vermeende inbreuk te beperken zolang het onderzoek naar die inbreuk aan de gang is. Daarbij moeten zij onder meer rekening houden met de aard, de ernst, de omvang en de duur van de inbreuk in het licht van het algemeen belang, de omvang en de aard van de verrichte activiteiten, alsmede de economische draagkracht van de inbreukmakende partij. Zij moeten er ook rekening mee houden of de inbreukmakende partij systematisch of herhaaldelijk zijn verplichtingen uit hoofde van deze verordening niet nakomt. Om ervoor te zorgen dat het ne-bis-in-idem-beginsel wordt nageleefd, en met name om te voorkomen dat dezelfde inbreuk op de verplichtingen van deze verordening meer dan eens wordt bestraft, moet elke lidstaat die voornemens is zijn bevoegdheid met betrekking tot een inbreukmakende partij die niet in de Unie is gevestigd noch daar een rechtsvertegenwoordiger heeft aangewezen uit te oefenen, onverwijld alle datacoördinatoren alsook de Commissie daarvan in kennis stellen.

(110)

Het Europees Comité voor gegevensinnovatie moet de Commissie advies verstrekken en bijstaan bij de coördinatie van nationale praktijken en beleidsmaatregelen met betrekking tot de onderwerpen die onder deze verordening vallen, alsook bij de verwezenlijking van haar doelstellingen met betrekking tot technische normalisatie om de interoperabiliteit te verbeteren. Zij moet ook een sleutelrol spelen bij het faciliteren van uitgebreide besprekingen tussen de bevoegde autoriteiten over de toepassing en handhaving van deze verordening. Die uitwisseling van informatie is bedoeld om de daadwerkelijke toegang tot de rechter en de handhaving en justitiële samenwerking in de hele Unie te verbeteren. De bevoegde autoriteiten moeten onder meer gebruikmaken van het Europees Comité voor gegevensinnovatie als platform om de sancties voor inbreuken op deze verordening te evalueren en te coördineren en daarover aanbevelingen aan te nemen. Het Comité moet de bevoegde autoriteiten, met behulp van de Commissie, in staat stellen om de optimale aanpak voor de vaststelling en oplegging van dergelijke sancties te coördineren. Die aanpak voorkomt versnippering, zorgt ervoor dat de lidstaten flexibel blijven en moet leiden tot doeltreffende aanbevelingen die een consistente toepassing van deze verordening ondersteunen. Het Europees Comité voor gegevensinnovatie moet ook een adviserende rol spelen bij de normalisatieprocessen en de vaststelling van gemeenschappelijke specificaties door middel van uitvoeringshandelingen, bij de vaststelling van gedelegeerde handelingen met het oog op de invoering van een monitoringmechanisme voor overstapkosten, opgelegd door aanbieders van dataverwerkingsdiensten, en bij de nadere bepaling van de essentiële eisen inzake de interoperabiliteit van gegevens, mechanismen en diensten voor het delen van gegevens en de gemeenschappelijke Europese dataruimten. Het Comité moet de Commissie tevens advies verstrekken en haar bijstaan bij het vaststellen van richtsnoeren met daarin interoperabiliteitsspecificaties voor de werking van de gemeenschappelijke Europese dataruimten.

(111)

Om ondernemingen te helpen overeenkomsten op te stellen en daarover te onderhandelen, moet de Commissie niet-bindende modelcontractvoorwaarden voor gegevensdelingsovereenkomsten tussen ondernemingen ontwikkelen en aanbevelen, zo nodig rekening houdend met de voorwaarden in specifieke sectoren en de bestaande praktijken met vrijwillige gegevensdelingsmechanismen. Die modelcontractvoorwaarden moeten in de eerste plaats een praktisch instrument zijn om met name kmo’s te helpen een overeenkomst te sluiten. Wanneer die modelcontractvoorwaarden op grote schaal en integraal worden gebruikt, moeten zij ook het gunstige effect hebben dat zij van invloed zijn op de opzet van overeenkomsten inzake de toegang tot en het gebruik van gegevens en derhalve in bredere zin leiden tot eerlijkere contractuele betrekkingen bij de toegang tot en het delen van gegevens.

(112)

Om het risico weg te nemen dat houders van gegevens in databanken die zijn verkregen of gegenereerd door middel van fysieke componenten, zoals sensoren, van een verbonden product en een gerelateerde dienst of andere door machines gegenereerde gegevens, aanspraak maken op het sui-generis-recht uit hoofde van artikel 7 van Richtlijn 96/9/EG en daardoor in het bijzonder de daadwerkelijke uitoefening van het recht van gebruikers op toegang tot en gebruik van gegevens en het recht om gegevens met derden te delen uit hoofde van deze verordening, belemmeren, moet worden verduidelijkt dat het sui-generis-recht niet van toepassing is op dergelijke databanken. Dit doet geen afbreuk aan de mogelijke toepassing van het sui-generis-recht uit hoofde van artikel 7 van Richtlijn 96/9/EG op databanken die gegevens bevatten die buiten het toepassingsgebied van deze verordening vallen op voorwaarde dat wordt voldaan aan de vereisten voor bescherming uit hoofde van lid 1 van dat artikel.

(113)

Teneinde rekening te houden met de technische aspecten van dataverwerkingsdiensten, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen om deze verordening aan te vullen met het oog op de invoering van een monitoringmechanisme voor door aanbieders van dataverwerkingsdiensten aan de markt opgelegde overstaptarieven en tot nadere bepaling van de essentiële eisen inzake interoperabiliteit voor deelnemers van dataruimten die gegevens of datadiensten aan andere deelnemers aanbieden. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven (38). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(114)

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend zodat zij gemeenschappelijke specificaties kan vaststellen met het oog op de interoperabiliteit van gegevens, van mechanismen en diensten voor het delen van gegevens alsook van gemeenschappelijke Europese dataruimten, gemeenschappelijke specificaties voor de interoperabiliteit van dataverwerkingsdiensten, en gemeenschappelijke specificaties voor de interoperabiliteit van slimme contracten. De Commissie moet ook uitvoeringsbevoegdheden worden toegekend voor de bekendmaking van de referenties van geharmoniseerde normen en gemeenschappelijke specificaties voor de interoperabiliteit van dataverwerkingsdiensten in een centraal Unienormenarchief voor de interoperabiliteit van dataverwerkingsdiensten. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (39).

(115)

Deze verordening mag geen afbreuk doen aan regels die gericht zijn op specifieke behoeften van afzonderlijke sectoren of gebieden van algemeen belang. Dergelijke regels kunnen aanvullende vereisten omvatten met betrekking tot de technische aspecten van toegang tot gegevens, zoals interfaces voor de toegang tot gegevens, of de wijze waarop toegang tot gegevens kan worden verleend, bijvoorbeeld rechtstreeks vanuit het product of via databemiddelingsdiensten. Dergelijke regels kunnen ook beperkingen omvatten van de rechten van gegevenshouders om toegang te krijgen tot of gebruik te maken van gebruikersgegevens, of andere aspecten dan de toegang tot en het gebruik van gegevens, zoals governance-aspecten of beveiligingseisen, waaronder cyberbeveiligingsvereisten. Deze verordening mag evenmin afbreuk doen aan specifiekere regels in het kader van de ontwikkeling van gemeenschappelijke Europese dataruimten of, onder voorbehoud van de in deze verordening genoemde uitzonderingen, aan het Unierecht en het nationale recht die voorzien in toegang tot en toestemming voor het gebruik van gegevens voor wetenschappelijk onderzoek.

(116)

Deze verordening mag geen afbreuk doen aan de toepassing van de regels inzake mededinging, en met name de artikelen 101 en 102 VWEU. De maatregelen van deze verordening mogen niet worden gebruikt om de mededinging te beperken op een wijze die strijdig is met het VWEU.

(117)

Om actoren binnen het toepassingsgebied van deze verordening in staat te stellen zich aan te passen aan de nieuwe regels van deze verordening en de noodzakelijke technische maatregelen te treffen, moeten die regels van toepassing worden vanaf 12 september 2025.

(118)

Overeenkomstig artikel 42, leden 1 en 2, van Verordening (EU) 2018/1725 zijn de Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming geraadpleegd, en op 4 mei 2022 hebben zij hun advies uitgebracht.

(119)

Daar de doelstellingen van deze verordening, namelijk het waarborgen van een eerlijke toewijzing van de waarde van gegevens aan de actoren in de data-economie en het bevorderen van eerlijke toegang tot en gebruik van gegevens om bij te dragen tot de vaststelling van een echte interne datamarkt, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het optreden en het grensoverschrijdend gegevensgebruik beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag van de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstellingen te verwezenlijken,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp en toepassingsgebied

1.   Deze verordening voorziet in geharmoniseerde regels voor onder meer:

a)

het beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst aan de gebruiker van het verbonden product of gerelateerde dienst;

b)

het beschikbaar stellen van gegevens door gegevenshouders aan gegevensontvangers;

c)

het beschikbaar stellen van gegevens door gegevenshouders aan overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie, indien er sprake is van een uitzonderlijke noodzaak aan die gegevens voor de uitvoering van een specifieke taak in het algemeen belang;

d)

het vergemakkelijken van het overstappen tussen dataverwerkingsdiensten;

e)

het invoeren van waarborgen tegen ongeoorloofde toegang van derden tot niet-persoonsgebonden gegevens; en

f)

de ontwikkeling van interoperabiliteitsnormen voor te raadplegen, door te geven en te gebruiken gegevens.

2.   Deze verordening heeft betrekking op persoonsgegevens en niet-persoonsgebonden gegevens, waaronder de volgende soorten gegevens, in de volgende contexten:

a)

hoofdstuk II is van toepassing op gegevens, met uitzondering van inhoud, betreffende de prestaties, het gebruik en de omgeving van verbonden producten en gerelateerde diensten;

b)

hoofdstuk III is van toepassing op alle gegevens van de particuliere sector waarvoor wettelijke gegevensdelingsverplichtingen gelden;

c)

hoofdstuk IV is van toepassing op alle gegevens van de particuliere sector die worden geraadpleegd en gebruikt op basis van overeenkomsten tussen ondernemingen;

d)

hoofdstuk V is van toepassing op alle gegevens van de particuliere sector, met de nadruk op niet-persoonsgebonden gegevens;

e)

hoofdstuk VI is van toepassing op alle gegevens en diensten die door aanbieders van dataverwerkingsdiensten worden verwerkt;

f)

hoofdstuk VII is van toepassing op alle niet-persoonsgebonden gegevens die in de Unie in handen zijn van aanbieders van dataverwerkingsdiensten.

3.   Deze verordening is van toepassing op:

a)

fabrikanten van verbonden producten die in de Unie in de handel worden gebracht en aanbieders van gerelateerde diensten, ongeacht de vestigingsplaats van die fabrikanten en aanbieders;

b)

gebruikers in de Unie van verbonden producten of gerelateerde diensten zoals bedoeld in punt a);

c)

gegevenshouders, ongeacht hun vestigingsplaats, die gegevens ter beschikking stellen van gegevensontvangers in de Unie;

d)

gegevensontvangers in de Unie aan wie gegevens ter beschikking worden gesteld;

e)

overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie die gegevenshouders verzoeken gegevens beschikbaar te stellen indien er sprake is van een uitzonderlijke noodzaak om die gegevens te gebruiken voor de uitvoering van een specifieke taak in het algemeen belang, en de gegevenshouders die die gegevens in antwoord op een dergelijk verzoek verstrekken;

f)

aanbieders van dataverwerkingsdiensten, ongeacht hun vestigingsplaats, die dergelijke diensten aan klanten in de Unie aanbieden;

g)

deelnemers aan dataruimten en verkopers van toepassingen die gebruikmaken van slimme contracten en personen wier handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van de uitvoering van een overeenkomst behelst.

4.   Waar in deze verordening wordt verwezen naar verbonden producten of gerelateerde diensten, worden die verwijzingen ook geacht virtuele assistenten te omvatten, voor zover deze interageren met een verbonden product of gerelateerde dienst.

5.   Deze verordening doet geen afbreuk aan het Unierecht en het nationale recht inzake de bescherming van persoonsgegevens, de persoonlijke levenssfeer en de vertrouwelijkheid van communicatie en de integriteit van eindapparatuur, die van toepassing zijn op persoonsgegevens die worden verwerkt in verband met de hierin vastgelegde rechten en verplichtingen, in het bijzonder Verordeningen (EU) 2016/679 en (EU) 2018/1725 en Richtlijn 2002/58/EG, met inbegrip van de bevoegdheden van toezichthoudende autoriteiten en de rechten van datasubjecten. Voor zover gebruikers datasubjecten zijn, vormen de in hoofdstuk II van deze verordening vastgelegde rechten een aanvulling op de rechten van toegang door datasubjecten en de rechten van overdraagbaarheid van gegevens uit hoofde van de artikelen 15 en 20 van Verordening (EU) 2016/679. Indien deze verordening en het Unierecht inzake de bescherming van persoonsgegevens of de persoonlijke levenssfeer, of het overeenkomstig dat Unierecht vastgestelde nationale wetgeving tegenstrijdig zijn, prevaleert het relevante Unie- of nationale recht inzake de bescherming van persoonsgegevens of de persoonlijke levenssfeer.

6.   Deze verordening is niet van toepassing op en loopt niet vooruit op vrijwillige regelingen voor het uitwisselen van gegevens tussen particuliere entiteiten en overheidsinstanties, met name vrijwillige regelingen voor het delen van gegevens.

Deze verordening heeft geen gevolgen voor Unie- of nationale rechtshandelingen die voorzien in het delen van, de toegang tot en het gebruik van gegevens met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of de tenuitvoerlegging van straffen, of voor douane- en belastingdoeleinden, met name de Verordeningen (EU) 2021/784, (EU) 2022/2065 en (EU) 2023/1543, Richtlijn (EU) 2023/1544, of internationale samenwerking op dit gebied. Deze verordening is niet van toepassing op het verzamelen of delen van, de toegang tot of het gebruik van gegevens uit hoofde van Verordening (EU) 2015/847 en Richtlijn (EU) 2015/849. Deze verordening is niet van toepassing op buiten het toepassingsgebied van het Unierecht vallende gebieden en doet in geen geval afbreuk aan de bevoegdheden van de lidstaten inzake openbare veiligheid, defensie of nationale veiligheid, ongeacht het soort entiteit dat door de lidstaten is belast met de uitvoering van taken in verband met die bevoegdheden, noch aan hun bevoegdheid om andere essentiële staatsfuncties te waarborgen, waaronder het waarborgen van de territoriale integriteit van de staat en de handhaving van de openbare orde. Deze verordening doet geen afbreuk aan de bevoegdheden van de lidstaten op het gebied van douane- en belastingadministratie of de gezondheid en veiligheid van de burgers.

7.   Deze verordening vormt een aanvulling op de zelfregulerende aanpak in Verordening (EU) 2018/1807 door algemeen toepasselijke verplichtingen toe te voegen voor het overstappen naar andere clouddiensten.

8.   Deze verordening doet geen afbreuk aan Unie- of nationale rechtshandelingen die voorzien in de bescherming van intellectuele eigendomsrechten, met name de Richtlijnen 2001/29/EG, 2004/48/EG en (EU) 2019/790.

9.   Deze verordening vormt een aanvulling op en doet geen afbreuk aan het Unierecht dat erop gericht is de belangen van consumenten te behartigen en een hoog niveau van consumentenbescherming te waarborgen en hun gezondheid, veiligheid en economische belangen te beschermen, met name de Richtlijnen 93/13/EEG, 2005/29/EG en 2011/83/EU.

10.   Deze verordening vormt geen beletsel voor de sluiting van vrijwillige rechtmatige gegevensdelingsovereenkomsten, waaronder wederkerige overeenkomsten, die voldoen aan de in deze verordening vastgestelde vereisten.

Artikel 2

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1)

“gegevens”: elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluids-, visuele of audiovisuele opnames;

2)

“metagegevens”: een gestructureerde beschrijving van de inhoud of het gebruik van gegevens die het vinden en gebruiken van die gegevens vergemakkelijkt;

3)

“persoonsgegevens”: persoonsgegevens zoals gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679;

4)

“niet-persoonsgebonden gegevens”: andere gegevens dan persoonsgegevens;

5)

“verbonden product”: een goed dat gegevens over het gebruik of de omgeving ervan verkrijgt, genereert of verzamelt, en dat productgegevens kan doorgeven via een elektronische-communicatiedienst, fysieke verbinding of apparaattoegang, en waarvan de hoofdfunctie niet het opslaan, verwerken of doorgeven van gegevens namens anderen dan de gebruiker is;

6)

“gerelateerde dienst”: een andere digitale dienst dan een elektronische-communicatiedienst, waaronder software, die op het moment van aankoop, huur of lease zodanig met het product verbonden is dat de afwezigheid ervan het verbonden product zou beletten een of meer van zijn functies uit te voeren, of die vervolgens door de fabrikant of een derde met het product wordt verbonden om functies aan het product toe te voegen, of de functies van het verbonden product te updaten of aan te passen;

7)

“verwerking”: een bewerking of een geheel van bewerkingen die al dan niet op geautomatiseerde wijze op gegevens of datasets worden uitgevoerd, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaken door middel van doorgeven, verspreiden of anderszins ter beschikking stellen, op een lijn brengen of combineren, afschermen, wissen of vernietigen van gegevens;

8)

“dataverwerkingsdienst”: een digitale aan een klant aangeboden dienst die alomtegenwoordige en on-demand netwerktoegang mogelijk maakt tot een gedeelde pool van configureerbare, schaalbare en elastische computercapaciteit van gecentraliseerde, gedistribueerde of sterk gedistribueerde aard, die snel ter beschikking kan worden gesteld en worden vrijgegeven met minimale beheersinspanningen of tussenkomst van een dienstverlener;

9)

“dienst van hetzelfde type”: een reeks dataverwerkingsdiensten met dezelfde primaire doelstelling, hetzelfde dataverwerkingsdienstenmodel en dezelfde voornaamste functionaliteiten;

10)

“databemiddelingsdienst”: databemiddelingsdienst zoals gedefinieerd in artikel 2, punt 11, van Verordening (EU) 2022/868;

11)

“datasubject”: betrokkene zoals bedoeld in artikel 4, punt 1, van Verordening (EU) 2016/679;

12)

“gebruiker”: een natuurlijke of rechtspersoon die een verbonden product in eigendom heeft, of aan wie contractueel tijdelijke rechten zijn overgedragen om dat verbonden product te gebruiken, of die gerelateerde diensten ontvangt;

13)

“gegevenshouder”: een natuurlijke of rechtspersoon die overeenkomstig deze verordening, het toepasselijke Unierecht of het overeenkomstig het Unierecht vastgestelde nationale recht, het recht of de verplichting heeft gegevens te gebruiken en ter beschikking te stellen, waaronder — in gevallen waar dat contractueel is overeengekomen — productgegevens of gegevens van een gerelateerde dienst die deze natuurlijke of rechtspersoon heeft opgevraagd of gegenereerd tijdens de verlening van een gerelateerde dienst;

14)

“gegevensontvanger”: een natuurlijke of rechtspersoon die handelt voor doeleinden die verband houden met diens handels-, bedrijfs-, ambachts- of beroepsactiviteit, die niet de gebruiker van een verbonden product of gerelateerde dienst is en aan wie gegevens beschikbaar worden gesteld door de gegevenshouder, met inbegrip van een derde op verzoek van de gebruiker aan de gegevenshouder of in overeenstemming met een wettelijke verplichting uit hoofde van Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving;

15)

“productgegevens”: door het gebruik van een verbonden product gegenereerde gegevens die door de fabrikant zo ontworpen zijn dat ze kunnen worden opgevraagd via een elektronische-communicatiedienst, fysieke verbinding of apparaattoegang, door een gebruiker, gegevenshouder of derde, waaronder waar nodig, de fabrikant;

16)

“gegevens van een gerelateerde dienst”: gegevens die de digitalisering vertegenwoordigen van handelingen van de gebruiker of van gebeurtenissen die gerelateerd zijn aan het verbonden product, die intentioneel door de gebruiker zijn geregistreerd of als een bijproduct van de handeling van de gebruiker zijn gegenereerd tijdens het verlenen van een gerelateerde dienst door de aanbieder;

17)

“eenvoudig beschikbare gegevens”: productgegevens en gegevens van een gerelateerde dienst die een gegevenshouder rechtmatig verkrijgt of rechtmatig kan verkrijgen van het verbonden product of de gerelateerde dienst, zonder daarvoor een onevenredig grote inspanning te moeten leveren die verder zou gaan dan een eenvoudige handeling;

18)

“bedrijfsgeheim”: bedrijfsgeheim zoals gedefinieerd in artikel 2, punt 1, van Richtlijn (EU) 2016/943;

19)

“houder van het bedrijfsgeheim”: houder van het bedrijfsgeheim zoals gedefinieerd in artikel 2, punt 2, van Richtlijn (EU) 2016/943;

20)

“profilering”: profilering zoals gedefinieerd in artikel 4, punt 4, van Verordening (EU) 2016/679;

21)

“op de markt aanbieden”: het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een verbonden product met het oog op distributie, consumptie of gebruik op de markt van de Unie;

22)

“in de handel brengen”: het voor het eerst in de Unie op de markt aanbieden van een verbonden product;

23)

“consument”: een natuurlijke persoon die handelt met doeleinden die geen verband houden met de handels-, bedrijfs-, ambachts- of beroepsactiviteit van die persoon;

24)

“onderneming”: een natuurlijke of rechtspersoon die handelt volgens onder deze verordening vallende overeenkomsten en praktijken, met doeleinden die gerelateerd zijn aan diens handels-, bedrijfs-, ambachts- of beroepsactiviteit;

25)

“kleine onderneming”: een kleine onderneming zoals gedefinieerd in artikel 2, lid 2, van de bijlage bij Aanbeveling 2003/361/EG;

26)

“micro-onderneming”: een micro-onderneming zoals gedefinieerd in artikel 2, lid 3, van de bijlage bij Aanbeveling 2003/361/EG;

27)

“organen van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of op grond van handelingen die zijn vastgesteld op basis van het Verdrag betreffende de Europese Unie, het VWEU of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie;

28)

“overheidsinstantie”: nationale, regionale en lokale autoriteiten van de lidstaten, publiekrechtelijke instellingen van de lidstaten of samenwerkingsverbanden bestaande uit één of meer van dergelijke autoriteiten of één of meer van dergelijke instellingen;

29)

“algemene noodsituatie”: een in de tijd beperkte uitzonderlijke situatie, zoals een noodsituatie op het gebied van de volksgezondheid, een noodsituatie die voortvloeit uit natuurrampen, of een door de mens veroorzaakte grote ramp, met inbegrip van een groot cyberveiligheidsincident, dat negatieve gevolgen heeft voor de bevolking van de Unie, van een lidstaat of van een deel daarvan, met een risico op ernstige en blijvende gevolgen voor de levensomstandigheden of de economische stabiliteit, de financiële stabiliteit of een aanzienlijke en onmiddellijke verslechtering van de economische activa in de Unie of in de betrokken lidstaat, en die wordt vastgesteld of officieel wordt afgekondigd overeenkomstig de relevante Unie- of nationaalrechtelijke procedures;

30)

“klant”: een natuurlijke of rechtspersoon die een contractuele relatie is aangegaan met een aanbieder van dataverwerkingsdiensten, met als doel gebruik te maken van een of meer dataverwerkingsdiensten;

31)

“virtuele assistenten”: software die opdrachten, taken of vragen kan verwerken, onder meer op basis van audio, schriftelijke input, gebaren of bewegingen, en die, op basis van die opdrachten, taken of vragen toegang biedt tot andere diensten of de functies van verbonden producten bestuurt;

32)

“digitale activa”: elementen in digitale vorm, inclusief toepassingen, waarvoor de klant het gebruiksrecht heeft, onafhankelijk van de contractuele relatie met de dataverwerkingsdienst die hij voornemens is te verlaten om over te stappen;

33)

“on-premises ICT-infrastructuur”: ICT-infrastructuur en computermiddelen die eigendom zijn van of worden gehuurd of geleased door de klant en zich in het datacentrum van de klant zelf bevinden en door de klant of een derde worden geëxploiteerd;

34)

“overstappen”: het proces waarbij een oorspronkelijke aanbieder van dataverwerkingsdiensten, een klant van een dataverwerkingsdienst en, waar van toepassing, een bestemmingsaanbieder van dataverwerkingsdiensten zijn betrokken, waarbij de klant van een dataverwerkingsdienst van dataverwerkingsdienst verandert en een andere dataverwerkingsdienst van hetzelfde type of een andere dienst begint te gebruiken, die wordt aangeboden door een andere aanbieder van dataverwerkingsdiensten, of een on-premises ICT-infrastructuur begint te gebruiken, onder meer door het extraheren, transformeren en uploaden van de gegevens;

35)

“gegevensextractiekosten”: gegevensoverdrachttarieven die in rekening worden gebracht aan klanten om via het netwerk hun gegevens uit de ICT-infrastructuur van een aanbieder van dataverwerkingsdiensten te extraheren naar de systemen van een andere aanbieder of naar een on-premises ICT-infrastructuur;

36)

“overstapkosten”: andere kosten dan de standaardvergoedingen voor dienstverlening of boetes voor voortijdige beëindiging, opgelegd door een aanbieder van dataverwerkingsdiensten aan een klant voor de bij deze verordening voorgeschreven acties betreffende het overstappen naar het systeem van een andere aanbieder of naar een on-premises ICT-infrastructuur, met inbegrip van gegevensextractiekosten;

37)

“functionele gelijkwaardigheid”: op basis van de exporteerbare data en digitale activa van de klant een minimumniveau van functionaliteit herstellen in de omgeving van een nieuwe dataverwerkingsdienst van hetzelfde type na het overstapproces, waarbij de nieuwe dataverwerkingsdienst een materieel vergelijkbaar resultaat oplevert met gebruikmaking van dezelfde input voor gedeelde kenmerken die in het kader van de overeenkomst aan de klant wordt geleverd;

38)

“exporteerbare data”, voor de toepassing van de artikelen 23 tot en met 31 en artikel 35: de input- en outputgegevens, met inbegrip van metagegevens, die direct of indirect worden gegenereerd, of worden medegegenereerd, door het gebruik door de klant van de dataverwerkingsdienst, met uitzondering van activa of gegevens die beschermd zijn door intellectuele-eigendomsrechten of die een bedrijfsgeheim vormen, van aanbieders van dataverwerkingsdiensten of derden;

39)

“slim contract”: een computerprogramma dat wordt gebruikt voor de geautomatiseerde uitvoering van een overeenkomst of een deel daarvan, waarbij gebruik wordt gemaakt van een opeenvolging van elektronische databestanden en waarbij de integriteit daarvan en de nauwkeurigheid van hun chronologische volgorde worden gewaarborgd;

40)

“interoperabiliteit”: het vermogen van twee of meer dataruimten of communicatienetwerken, systemen, verbonden producten, toepassingen, dataverwerkingsdiensten of componenten om gegevens uit te wisselen en te gebruiken teneinde hun functies te vervullen;

41)

“open interoperabiliteitsspecificatie”: een technische specificatie op het gebied van informatie- en communicatietechnologie, die prestatiegericht is op het bereiken van interoperabiliteit tussen dataverwerkingsdiensten;

42)

“gemeenschappelijke specificaties”: een document dat geen norm is en dat technische oplossingen bevat om te voldoen aan bepaalde voorschriften en verplichtingen zoals vastgelegd uit hoofde van deze verordening;

43)

“geharmoniseerde norm”: geharmoniseerde norm zoals gedefinieerd in artikel 2, punt 1, c), van Verordening (EU) nr. 1025/2012.

HOOFDSTUK II

DELEN VAN GEGEVENS TUSSEN BEDRIJVEN EN CONSUMENTEN EN TUSSEN BEDRIJVEN ONDERLING

Artikel 3

Verplichting om productgegevens en gegevens van gerelateerde diensten toegankelijk te maken voor de gebruiker

1.   Verbonden producten worden zodanig ontworpen en vervaardigd, en gerelateerde diensten worden zodanig ontworpen en verleend, dat de productgegevens en gegevens van een gerelateerde dienst, met inbegrip van de relevante metagegevens die nodig zijn om die gegevens te gebruiken en te interpreteren, standaard, gemakkelijk, veilig, kosteloos en in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat en, voor zover relevant en technisch haalbaar, rechtstreeks toegankelijk zijn voor de gebruiker.

2.   Alvorens een overeenkomst te sluiten voor de aankoop, huur of leasing van een verbonden product, verstrekt de verkoper, verhuurder of leasegever, die tevens de fabrikant kan zijn, de gebruiker ten minste de volgende informatie op duidelijke en begrijpelijke wijze:

a)

het type, formaat en geraamde volume productgegevens die het verbonden product kan genereren;

b)

of het verbonden product in staat is continu en in realtime gegevens te genereren;

c)

of het verbonden product in staat is gegevens op het apparaat of op een server op afstand op te slaan, indien van toepassing met inbegrip van de beoogde bewaringstermijn;

d)

hoe de gebruiker de gegevens kan raadplegen, opvragen of, in voorkomend geval, wissen, met inbegrip van de technische middelen om dit te doen, alsmede de gebruiksvoorwaarden en de kwaliteit van de dienstverlening daarvan.

3.   Alvorens een overeenkomst te sluiten voor de verlening van een gerelateerde dienst, verstrekt de leverancier van een dergelijke gerelateerde dienst de gebruiker minstens de volgende informatie op duidelijke en begrijpelijke wijze:

a)

de aard, het geraamde volume en de frequentie van verzameling van productgegevens die de potentiële gegevenshouder geacht wordt te verkrijgen en, in voorkomend geval, de regelingen voor de gebruiker om toegang te krijgen tot die gegevens of deze op te vragen, met inbegrip van de regelingen van de potentiële gegevenshouder inzake gegevensopslag en de duur van de bewaring;

b)

de aard en het geraamde volume van de te genereren gegevens van een gerelateerde dienst, alsmede de regelingen voor de gebruiker om toegang te krijgen tot die gegevens of deze op te vragen, met inbegrip van de regelingen van de potentiële gegevenshouder inzake gegevensopslag en de duur van de bewaring;

c)

of de potentiële gegevenshouder verwacht eenvoudig beschikbare gegevens zelf te gebruiken en de doeleinden waarvoor die gegevens zullen worden gebruikt, en of hij al dan niet voornemens is een of meer derden toe te staan de gegevens te gebruiken voor met de gebruiker overeengekomen doeleinden;

d)

de identiteit van de potentiële gegevenshouder, zoals zijn handelsnaam en het geografische adres waar hij is gevestigd en, in voorkomend geval, van andere gegevensverwerkende partijen;

e)

de communicatiemiddelen die de gebruiker in staat stellen snel contact op te nemen met de potentiële gegevenshouder en efficiënt met hem te communiceren;

f)

de manier waarop de gebruiker kan verzoeken om de gegevens te delen met een derde en, in voorkomend geval, het delen van gegevens kan stopzetten;

g)

het recht van de gebruiker om bij de op grond van artikel 37 aangewezen bevoegde autoriteit klacht in te dienen over een vermeende inbreuk op de bepalingen van dit hoofdstuk;

h)

de vraag of een potentiële gegevenshouder de houder is van bedrijfsgeheimen die vervat zijn in de gegevens die toegankelijk zijn via het verbonden product of die worden gegenereerd tijdens de verlening van een gerelateerde dienst, en, wanneer de potentiële gegevenshouder niet de houder van de bedrijfsgeheimen is, de identiteit van de houder van het bedrijfsgeheim;

i)

de duur van de overeenkomst tussen de gebruiker en de potentiële gegevenshouder, alsmede de regelingen voor het beëindigen van deze overeenkomst.

Artikel 4

De rechten en plichten van gebruikers en gegevenshouders wat betreft het raadplegen, gebruiken en beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst

1.   Indien de gebruiker geen rechtstreekse toegang heeft tot de gegevens via het verbonden product of de gerelateerde dienst, stellen gegevenshouders de eenvoudig beschikbare gegevens, alsook de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onmiddellijk, met dezelfde kwaliteit als de voor de gegevenshouder beschikbare gegevens, gemakkelijk, veilig, kosteloos, in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat ter beschikking van de gebruiker, voor zover dat relevant en technisch haalbaar is, en gebeurt deze terbeschikkingstelling continu en in realtime. Voor zover technisch haalbaar, gebeurt dit op eenvoudig elektronisch verzoek.

2.   Gebruikers en gegevenshouders kunnen de toegang tot gegevens of het gebruik of verder delen daarvan contractueel beperken of verbieden indien een dergelijke verwerking de beveiligingsvereisten van het verbonden product, zoals vastgesteld in het Unie- of nationaal recht, zou kunnen ondermijnen, met ernstige negatieve gevolgen voor de gezondheid, veiligheid of beveiliging van natuurlijke personen. De sectorale autoriteiten kunnen in dat verband gebruikers en houders van gegevens technische expertise verstrekken. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit artikel, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.

3.   Onverminderd het recht van de gebruiker om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan de gebruiker met betrekking tot elk geschil met de gegevenshouder over de in lid 2 bedoelde contractuele beperkingen of verboden:

a)

overeenkomstig artikel 37, lid 5, punt b), een klacht indienen bij de bevoegde autoriteit, of

b)

met de gegevenshouder overeenkomen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1.

4.   Gegevenshouders maken het maken van keuzes of de uitoefening van de rechten op grond van dit artikel van gebruikers niet onnodig moeilijk door bijvoorbeeld de keuzemogelijkheden voor de gebruiker op een niet-neutrale manier te presenteren of door de autonomie, besluitvorming of vrije keuze van de gebruikers te ondermijnen of te belemmeren via de structuur, het ontwerp, de functie of de gebruikswijze van een digitale gebruikersinterface of een deel daarvan.

5.   Om na te gaan of een natuurlijke of rechtspersoon als gebruiker op grond van lid 1 kan worden aangemerkt, mag een gegevenshouder van die persoon niet verlangen dat die persoon informatie verstrekt die verder gaat dan nodig is. Gegevenshouders bewaren geen informatie, met name loggegevens, over de toegang van de gebruiker tot de gevraagde gegevens die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de gebruiker en voor de beveiliging en het onderhoud van de data-infrastructuur.

6.   Bedrijfsgeheimen worden bewaard en worden alleen bekendgemaakt op voorwaarde dat de gegevenshouder en de gebruiker voorafgaand aan de bekendmaking alle noodzakelijke maatregelen nemen om de vertrouwelijkheid ervan te waarborgen, met name ten aanzien van derden. De gegevenshouder, of de houder van het bedrijfsgeheim wanneer deze niet de gegevenshouder is, identificeert de gegevens die als bedrijfsgeheim worden beschermd, onder meer in de relevante metagegevens, en komt met de gebruiker evenredige technische en organisatorische maatregelen overeen, zoals modelcontractvoorwaarden, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes, die noodzakelijk zijn om de vertrouwelijkheid van de gedeelde gegevens te waarborgen, met name ten aanzien van derden.

7.   Indien er geen overeenstemming wordt bereikt over de in lid 6 bedoelde noodzakelijke maatregelen, of indien de gebruiker de op grond van lid 6 overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, kan de gegevenshouder het delen van als bedrijfsgeheim aangemerkte gegevens tegenhouden of, naargelang van het geval, opschorten. Het besluit van de gegevenshouder wordt naar behoren gemotiveerd en onverwijld schriftelijk aan de gebruiker meegedeeld. In dergelijke gevallen stelt de gegevenshouder de op grond van artikel 37 aangewezen bevoegde autoriteit in kennis van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en vermeldt hij welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd.

8.   In uitzonderlijke omstandigheden, wanneer de gegevenshouder die houder is van een bedrijfsgeheim kan aantonen dat hij door de bekendmaking van bedrijfsgeheimen, ondanks de door de gebruiker op grond van lid 6 van dit artikel genomen technische en organisatorische maatregelen, zeer waarschijnlijk ernstige economische schade zal lijden, kan die gegevenshouder per geval een verzoek om toegang tot de specifieke gegevens in kwestie weigeren. Dat bewijs wordt naar behoren onderbouwd op basis van objectieve elementen, met name de afdwingbaarheid van de bescherming van bedrijfsgeheimen in derde landen, de aard en het niveau van vertrouwelijkheid van de gevraagde gegevens, en de mate waarin het om een uniek en nieuw verbonden product gaat, en wordt onverwijld schriftelijk aan de gebruiker verstrekt. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit lid, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.

9.   Onverminderd het recht van een gebruiker om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan een gebruiker het besluit van een gegevenshouder om het delen van gegevens op grond van de leden 7 en 8 te weigeren, tegen te houden of op te schorten aanvechten door:

a)

overeenkomstig artikel 37, lid 5, punt b), een klacht in te dienen bij de bevoegde autoriteit, die onverwijld beslist of en onder welke voorwaarden het delen van gegevens aanvangt of wordt hervat, of

b)

met de gegevenshouder overeen te komen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1.

10.   De gebruiker mag gegevens die zijn verkregen naar aanleiding van een in lid 1 bedoeld verzoek niet gebruiken om een verbonden product te ontwikkelen dat concurreert met het verbonden product waaruit de gegevens afkomstig zijn, noch met datzelfde oogmerk gegevens delen met een derde, en mag die gegevens evenmin gebruiken om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van de fabrikant of, in voorkomend geval, de gegevenshouder.

11.   De gebruiker mag geen dwangmiddelen gebruiken of misbruik maken van leemten in de technische infrastructuur van een gegevenshouder die bedoeld is om de gegevens te beschermen, teneinde toegang tot gegevens te verkrijgen.

12.   Indien de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, worden persoonsgegevens die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd, door de gegevenshouder alleen ter beschikking gesteld van de gebruiker indien er een geldige rechtsgrond voor verwerking bestaat uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG wordt voldaan.

13.   Een gegevenshouder gebruikt alleen eenvoudig beschikbare gegevens die niet-persoonsgebonden gegevens zijn op basis van een overeenkomst met de gebruiker. Een gegevenshouder gebruikt dergelijke gegevens niet om inzichten in de economische situatie, de activa of de productiemethoden van de gebruiker of het gebruik van het product of de dienst door de gebruiker te verwerven, op enige andere wijze die de commerciële positie van die gebruiker op de markten waarop deze actief is, zouden kunnen ondermijnen.

14.   Gegevenshouders stellen niet-persoonsgebonden productgegevens niet beschikbaar aan derden voor andere commerciële of niet-commerciële doeleinden dan de uitvoering van hun overeenkomst met de gebruiker. In voorkomend geval verplichten gegevenshouders derden er contractueel toe de van hen ontvangen gegevens niet verder te delen.

Artikel 5

Het recht van de gebruiker om gegevens te delen met derden

1.   Op verzoek van een gebruiker of van een namens een gebruiker optredende partij stelt de gegevenshouder eenvoudig beschikbare gegevens, alsmede de desbetreffende metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onmiddellijk, met dezelfde kwaliteit als de voor de gegevenshouder beschikbare gegevens, gemakkelijk, veilig, kosteloos voor de gebruiker, in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat ter beschikking van een derde partij, en gebeurt deze terbeschikkingstelling voor zover dat relevant en technisch haalbaar is continu en in realtime. De gegevens worden door de gegevenshouder beschikbaar gesteld aan de derde overeenkomstig de artikelen 8 en 9.

2.   Lid 1 is niet van toepassing op eenvoudig beschikbare gegevens in het kader van het testen van nieuwe verbonden producten, stoffen of processen die nog niet in de handel zijn gebracht, tenzij hun gebruik door een derde contractueel is toegestaan.

3.   Een onderneming die overeenkomstig artikel 3 van Verordening (EU) 2022/1925 als poortwachter is aangewezen, is geen in aanmerking komende derde uit hoofde van dit artikel en mag derhalve niet:

a)

een gebruiker op enigerlei wijze vragen of commercieel stimuleren, onder meer door financiële of andere vergoedingen te bieden, om gegevens die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1, beschikbaar te stellen voor een van zijn diensten;

b)

een gebruiker verzoeken of commercieel stimuleren om de gegevenshouder te verzoeken gegevens beschikbaar te stellen voor een van zijn diensten overeenkomstig lid 1 van dit artikel;

c)

van een gebruiker gegevens ontvangen die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1.

4.   Om na te gaan of een natuurlijke of rechtspersoon voor de toepassing van lid 1 kan worden aangemerkt als gebruiker of als derde, mag van de gebruiker of de derde niet worden verlangd dat hij informatie verstrekt die verder gaat dan nodig is. Gegevenshouders bewaren geen informatie over de toegang van de derde tot de gevraagde gegevens die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de derde en voor de beveiliging en het onderhoud van de data-infrastructuur.

5.   De derde mag geen dwangmiddelen gebruiken of misbruik maken van leemten in de technische infrastructuur van een gegevenshouder die bedoeld is om de gegevens te beschermen, teneinde toegang tot gegevens te verkrijgen.

6.   Een gegevenshouder mag geen eenvoudig beschikbare gegevens gebruiken om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van of het gebruik door de derde op enige andere wijze die de commerciële positie van de derde op de markten waarop de derde actief is, zou kunnen ondermijnen, tenzij de derde voor dat gebruik toestemming heeft verleend en de technische mogelijkheid heeft om die toestemming te allen tijde gemakkelijk in te trekken.

7.   Wanneer de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, worden persoonsgegevens die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd alleen door de gegevenshouder ter beschikking gesteld van de derde indien er een geldige rechtsgrond voor verwerking bestaat uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG is voldaan.

8.   Het verzuim van de gegevenshouder en de derde om regelingen voor het doorgeven van de gegevens overeen te komen, mag de uitoefening van de rechten van het datasubject uit hoofde van Verordening (EU) 2016/679 en met name het recht op overdraagbaarheid van gegevens uit hoofde van artikel 20 van die verordening, niet belemmeren, beletten of verstoren.

9.   Bedrijfsgeheimen worden alleen bewaard en bekendgemaakt aan derden voor zover deze openbaarmaking strikt noodzakelijk is om het tussen de gebruiker en de derde overeengekomen doel te verwezenlijken. De gegevenshouder, of de houder van het bedrijfsgeheim indien deze niet de gegevenshouder is, identificeert de gegevens die als bedrijfsgeheim worden beschermd, onder meer in de relevante metagegevens, en komt met de derde alle evenredige technische en organisatorische maatregelen overeen die noodzakelijk zijn om de vertrouwelijkheid van de gedeelde gegevens te waarborgen, zoals modelcontractvoorwaarden, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes.

10.   Indien er geen overeenstemming is over de in lid 9 van dit artikel bedoelde noodzakelijke maatregelen of als de derde de op grond van lid 9 van dit artikel overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, kan de gegevenshouder het delen van als bedrijfsgeheim aangemerkte gegevens tegenhouden of, naargelang van het geval, opschorten. Het besluit van de gegevenshouder wordt naar behoren gemotiveerd en onverwijld schriftelijk aan de derde meegedeeld. In dergelijke gevallen stelt de gegevenshouder de op grond van artikel 37 aangewezen bevoegde autoriteit in kennis van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en vermeldt hij welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd.

11.   In uitzonderlijke omstandigheden, wanneer de gegevenshouder die houder is van een bedrijfsgeheim kan aantonen dat hij door de bekendmaking van bedrijfsgeheimen, ondanks de door de derde op grond van lid 9 van dit artikel genomen technische en organisatorische maatregelen, zeer waarschijnlijk ernstige economische schade zal lijden, kan die gegevenshouder per geval een verzoek om toegang tot de specifieke gegevens in kwestie weigeren. Dat bewijs wordt naar behoren onderbouwd op basis van objectieve elementen, met name de afdwingbaarheid van de bescherming van bedrijfsgeheimen in derde landen, de aard en het niveau van vertrouwelijkheid van de gevraagde gegevens, en de mate waarin het om een uniek en nieuw verbonden product gaat, en wordt onverwijld schriftelijk aan de derde verstrekt. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit lid, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.

12.   Onverminderd het recht van derden om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan een derde het besluit van een gegevenshouder om het delen van gegevens op grond van de leden 10 en 11 te weigeren, tegen te houden of op te schorten aanvechten door:

a)

overeenkomstig artikel 37, lid 5, punt b), een klacht in te dienen bij de bevoegde autoriteit, die onverwijld beslist of en onder welke voorwaarden het delen van gegevens aanvangt of wordt hervat, of

b)

met de gegevenshouder overeen te komen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1.

13.   Het in lid 1 bedoelde recht doet geen afbreuk aan de rechten van andere datasubjecten krachtens het toepasselijke Unie- en nationale recht inzake de bescherming van persoonsgegevens.

Artikel 6

Verplichtingen van derden die op verzoek van de gebruiker gegevens ontvangen

1.   Een derde verwerkt de hem overeenkomstig artikel 5 ter beschikking gestelde gegevens uitsluitend voor de doeleinden en onder de voorwaarden die met de gebruiker zijn overeengekomen, en met inachtneming van het Unierecht en het nationale recht inzake de bescherming van persoonsgegevens, met inbegrip van de rechten van het datasubject wat persoonsgegevens betreft. De derde wist de gegevens wanneer zij niet langer noodzakelijk zijn voor het overeengekomen doel, tenzij in verband met niet-persoonsgebonden gegevens anders met de gebruiker is overeengekomen.

2.   De derde:

a)

maakt de uitoefening van het maken van keuzes of rechten uit hoofde van artikel 5 en dit artikel door gebruikers niet onnodig moeilijk door onder meer keuzemogelijkheden op niet-neutrale wijze aan de gebruiker te presenteren, hen te dwingen, te misleiden of te manipuleren, of door de autonomie, besluitvorming of keuzes van de gebruiker te ondermijnen, onder meer met behulp van een digitale gebruikersinterface met de gebruikers of een deel daarvan;

b)

gebruikt, niettegenstaande artikel 22, lid 2, punten a) en c), van Verordening (EU) 2016/679, de ontvangen gegevens niet voor de profilering, tenzij dit noodzakelijk is om de door de gebruiker gevraagde dienst te verlenen;

c)

stelt de ontvangen gegevens niet ter beschikking van een andere derde, tenzij de gegevens beschikbaar worden gesteld op grond van een overeenkomst met de gebruiker en op voorwaarde dat de andere derde alle tussen de gegevenshouder en de derde overeengekomen noodzakelijke maatregelen neemt om de vertrouwelijkheid van bedrijfsgeheimen te waarborgen;

d)

stelt de ontvangen gegevens niet ter beschikking van een onderneming die als poortwachter is aangewezen overeenkomstig artikel 3 van Verordening (EU) 2022/1925;

e)

gebruikt de ontvangen gegevens niet om een product te ontwikkelen dat concurreert met het verbonden product waaruit de ontvangen gegevens afkomstig zijn, of deelt de gegevens niet voor dat doel met een andere derde partij; derden gebruiken ook geen niet-persoonsgebonden productgegevens of gegevens van een gerelateerde dienst die hun ter beschikking zijn gesteld om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van, of het gebruik door, de gegevenshouder;

f)

gebruikt de ontvangen gegevens niet op een wijze die negatieve gevolgen heeft voor de veiligheid van het verbonden product of de gerelateerde dienst;

g)

neemt de specifieke maatregelen die overeenkomstig artikel 5, lid 9, met de gegevenshouder of de houder van bedrijfsgeheimen zijn overeengekomen in acht en ondermijnt de vertrouwelijkheid van bedrijfsgeheimen niet;

h)

belet gebruikers die consumenten zijn niet, onder meer op grond van een overeenkomst, om de gegevens die zij ontvangen ter beschikking te stellen van andere partijen.

Artikel 7

Reikwijdte van de verplichtingen tot het delen van gegevens tussen bedrijven en consumenten en tussen bedrijven onderling

1.   De verplichtingen van dit hoofdstuk zijn niet van toepassing op gegevens die zijn gegenereerd door het gebruik van verbonden producten die zijn vervaardigd of ontworpen of gerelateerde diensten die zijn verleend door micro- of kleine ondernemingen, mits die ondernemingen geen partnerondernemingen of verbonden ondernemingen zoals gedefinieerd in artikel 3 van de bijlage bij Aanbeveling 2003/361/EG hebben die niet als micro- of kleine onderneming kunnen worden aangemerkt, en voor zover de micro- en kleine ondernemingen niet in onderaanneming een verbonden product vervaardigen of ontwerpen of een gerelateerde dienst verlenen.

Hetzelfde geldt voor minder dan een jaar voor gegevens die worden gegenereerd via het gebruik van verbonden producten die zijn vervaardigd of gerelateerde diensten die worden verleend door een onderneming die voor minder dan een jaar uit hoofde van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG als middelgrote onderneming kan is aangemerkt, of voor de verbonden producten voor minder dan een jaar na de datum waarop zij door een middelgrote onderneming in de handel zijn gebracht.

2.   Contractuele bepalingen die de gebruiker benadelen omdat ze de toepassing van zijn rechten uitsluiten, daarvan afwijken of zijn rechten uit hoofde van dit hoofdstuk aantasten, zijn niet bindend voor de gebruiker.

HOOFDSTUK III

VERPLICHTINGEN VOOR GEGEVENSHOUDERS DIE KRACHTENS HET UNIERECHT VERPLICHT ZIJN OM GEGEVENS BESCHIKBAAR TE STELLEN

Artikel 8

Voorwaarden waaronder gegevenshouders gegevens ter beschikking stellen aan gegevensontvangers

1.   Wanneer, in relaties tussen ondernemingen, een gegevenshouder verplicht is gegevens aan een gegevensontvanger beschikbaar te stellen op grond van artikel 5 of op grond van ander toepasselijk Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving, komt hij met de gegevensontvanger tot een akkoord over de regelingen voor het ter beschikking stellen van de gegevens, en doet hij dit onder eerlijke, redelijke en niet-discriminerende voorwaarden en op transparante wijze overeenkomstig dit hoofdstuk en hoofdstuk IV.

2.   Een contractueel beding betreffende toegang tot en het gebruik van gegevens of betreffende aansprakelijkheid en remedies voor de inbreuk op of beëindiging van gegevensgerelateerde verplichtingen is niet bindend indien het een oneerlijk contractueel beding vormt in de zin van artikel 13 of indien het ten nadele van de gebruiker de toepassing uitsluit van, afwijkt van of de gevolgen wijzigt van de rechten van de gebruiker uit hoofde van hoofdstuk II.

3.   Een gegevenshouder mag wat de regelingen voor het beschikbaar stellen van gegevens betreft geen onderscheid maken tussen vergelijkbare categorieën gegevensontvangers, met inbegrip van partnerondernemingen of verbonden ondernemingen van de gegevenshouder, wanneer hij gegevens beschikbaar stelt. Wanneer een gegevensontvanger van mening is dat de voorwaarden voor het beschikbaar stellen van de gegevens discriminerend zijn, doet de gegevenshouder de gegevensontvanger, op basis van een met redenen omkleed verzoek, onverwijld informatie toekomen waaruit blijkt dat er geen sprake is van discriminatie.

4.   Een gegevenshouder stelt gegevens niet ter beschikking aan een gegevensontvanger, ook niet op exclusieve basis, tenzij de gebruiker hem uit hoofde van hoofdstuk II heeft verzocht om dat te doen.

5.   Van gegevenshouders en gegevensontvangers wordt niet verlangd dat zij informatie verstrekken die verder gaat dan wat nodig is om na te gaan of wordt voldaan aan de contractvoorwaarden die zijn overeengekomen voor het beschikbaar stellen van gegevens of aan hun verplichtingen uit hoofde van deze verordening of andere toepasselijke Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving.

6.   Tenzij anders bepaald in het Unierecht, waaronder artikel 4, lid 6, en artikel 5, lid 9, van deze verordening, of in overeenkomstig het Unierecht vastgestelde nationale wetgeving, leidt een verplichting om gegevens ter beschikking te stellen aan een gegevensontvanger niet tot een verplichting tot de openbaarmaking van bedrijfsgeheimen.

Artikel 9

Vergoeding voor het beschikbaar stellen van gegevens

1.   Vergoedingen die tussen een gegevenshouder en een gegevensontvanger zijn overeengekomen voor het beschikbaar stellen van gegevens in relaties tussen ondernemingen, zijn niet-discriminerend en redelijk en kunnen een marge omvatten.

2.   Bij het overeenkomen van vergoedingen, houden de gegevenshouder en de gegevensontvanger met name rekening met:

a)

kosten voor het beschikbaar stellen van gegevens, waaronder, met name, de kosten die nodig zijn voor de formattering van gegevens, elektronische verspreiding en opslag;

b)

investeringen in het verzamelen en produceren van gegevens, indien van toepassing, rekening houdend met de vraag of andere partijen hebben bijgedragen tot het verkrijgen, genereren of verzamelen van de betrokken gegevens.

3.   De in lid 1 bedoelde vergoeding kan ook afhangen van de omvang, het formaat en de aard van de gegevens.

4.   Wanneer de gegevensontvanger een kmo zoals gedefinieerd of een onderzoeksorganisatie zonder winstoogmerk is, en indien die gegevensontvanger geen partnerondernemingen of verbonden ondernemingen zoals gedefinieerd heeft die niet als kmo’s kunnen worden aangemerkt, mag de overeengekomen vergoeding niet hoger zijn dan de in lid 2, punt a), bedoelde kosten.

5.   De Commissie stelt richtsnoeren vast voor de berekening van een redelijke vergoeding, rekening houdend met het in artikel 42 bedoelde advies van het Europees Comité voor gegevensinnovatie.

6.   Dit artikel belet niet dat ander Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving, een vergoeding voor het beschikbaar stellen van gegevens uitsluit of voorziet in een lagere vergoeding.

7.   De gegevenshouder verstrekt de gegevensontvanger voldoende gedetailleerde informatie over de grondslag voor de berekening van de vergoeding, zodat de gegevensontvanger kan beoordelen of aan de vereisten van lid 1 tot en met 4 is voldaan.

Artikel 10

Geschillenbeslechting

1.   Gebruikers, gegevenshouders en gegevensontvangers hebben toegang tot een overeenkomstig lid 5 van dit artikel gecertificeerd geschillenbeslechtingsorgaan om geschillen op grond van artikel 4, leden 3 en 9, en artikel 5, lid 12, te beslechten alsmede geschillen met betrekking tot de eerlijke, redelijke en niet-discriminerende voorwaarden voor en transparante wijze van het beschikbaar stellen van gegevens overeenkomstig dit hoofdstuk en hoofdstuk IV.

2.   De geschillenbeslechtingsorganen stellen de betrokken partijen in kennis van de vergoedingen of van de mechanismen om de vergoedingen vast te stellen, voordat die partijen om een besluit verzoeken.

3.   Voor geschillen die worden verwezen naar een geschillenbeslechtingsorgaan op grond van artikel 4, lid 3, en artikel 5 lid 12, geldt dat, indien het geschillenbeslechtingsorgaan het geschil in het voordeel van de gebruiker of de gegevensontvanger beslecht, de gegevenshouder alle door het geschillenbeslechtingsorgaan aangerekende kosten op zich neemt en aan die gebruiker of die gegevensontvanger alle overige redelijke kosten terugbetaalt die deze in verband met de geschillenbeslechting heeft gemaakt. Indien het geschillenbeslechtingsorgaan het geschil in het voordeel van de gegevenshouder beslecht, hoeft de gebruiker of de gegevensontvanger geen vergoedingen of andere door de gegevenshouder in verband met de geschillenbeslechting gemaakte of nog te maken kosten terug te betalen, tenzij het geschillenbeslechtingsorgaan van oordeel is dat de gebruiker of de gegevensontvanger duidelijk te kwader trouw heeft gehandeld.

4.   Klanten en aanbieders van dataverwerkingsdiensten hebben toegang tot een overeenkomstig lid 5 van dit artikel gecertificeerd geschillenbeslechtingsorgaan om geschillen te beslechten met betrekking tot inbreuken op de rechten van klanten en de verplichtingen van aanbieders van dataverwerkingsdiensten overeenkomstig de artikelen 23 tot en met 31.

5.   De lidstaat waar het geschillenbeslechtingsorgaan is gevestigd, certificeert dat orgaan op verzoek van dat orgaan, indien het heeft aangetoond dat het aan alle volgende voorwaarden voldoet:

a)

het is onpartijdig en onafhankelijk en neemt zijn besluiten volgens een duidelijk, niet-discriminerend en eerlijk reglement van orde;

b)

het beschikt over de nodige deskundigheid, met name met betrekking tot eerlijke, redelijke en niet-discriminerende voorwaarden voor het beschikbaar stellen van gegevens, alsook de vergoeding daarvoor, en het op transparante wijze beschikbaar stellen van gegevens, zodat het die voorwaarden doeltreffend kan bepalen;

c)

het is gemakkelijk toegankelijk via elektronische communicatietechnologie;

d)

het kan snel, efficiënt en kosteneffectief in ten minste een van de officiële talen van de Unie een besluit vaststellen.

6.   De lidstaten stellen de Commissie in kennis van de overeenkomstig lid 5 gecertificeerde geschillenbeslechtingsorganen. De Commissie publiceert een lijst van deze organen op een speciale website en houdt deze actueel.

7.   Een geschillenbeslechtingsorgaan weigert een verzoek om beslechting van een geschil dat al voor een ander geschillenbeslechtingsorgaan of voor een rechterlijke instantie van een lidstaat is gebracht.

8.   Een geschillenbeslechtingsorgaan biedt partijen de mogelijkheid om binnen een redelijke termijn hun standpunten over de aangelegenheden die zij bij dat orgaan aanhangig hebben gemaakt, kenbaar te maken. In dat verband wordt elke partij bij een geschil voorzien van de opmerkingen van de andere partij met betrekking tot hun geschil en eventuele deskundigenverklaringen. De partijen krijgen de mogelijkheid om op deze opmerkingen en verklaringen te reageren.

9.   Een geschillenbeslechtingsorgaan neemt binnen 90 dagen na ontvangst van een verzoek op grond van de leden 1 en 4 een besluit over een aangelegenheid die haar is voorgelegd. Dat besluit wordt schriftelijk of op een duurzame drager opgesteld en wordt met een motivering gestaafd.

10.   Geschillenbeslechtingsorganen stellen jaarlijkse activiteitenverslagen op en maken deze openbaar. Zulke jaarverslagen bevatten met name de volgende algemene informatie:

a)

een synthese van de uitkomsten van geschillen;

b)

de gemiddelde tijd die de beslechting van de geschillen in beslag heeft genomen;

c)

de meest voorkomende redenen voor geschillen.

11.   Om de uitwisseling van informatie en beste praktijken te vergemakkelijken, kan een geschillenbeslechtingsorgaan besluiten in het in lid 10 bedoelde verslag aanbevelingen te doen over de wijze waarop problemen kunnen worden voorkomen of opgelost.

12.   Het besluit van een geschillenbeslechtingsorgaan is alleen bindend voor de partijen indien deze vóór aanvang van de geschillenbeslechtingsprocedure uitdrukkelijk hebben ingestemd met het bindende karakter ervan.

13.   Dit artikel doet geen afbreuk aan het recht van partijen om een doeltreffende voorziening in rechte in te stellen bij een rechterlijke instantie van een lidstaat.

Artikel 11

Technische beschermingsmaatregelen inzake het ongeoorloofd gebruik of de ongeoorloofde openbaarmaking van gegevens

1.   Een gegevenshouder kan passende technische beschermingsmaatregelen treffen, zoals slimme contracten en encryptie, om ongeoorloofde toegang tot gegevens, waaronder metagegevens, te voorkomen en de naleving van de artikelen 5, 6, 8 en 9 en de overeengekomen contractvoorwaarden voor het beschikbaar stellen van gegevens te waarborgen. Dergelijke technische beschermingsmaatregelen mogen geen onderscheid maken tussen gegevensontvangers, noch het recht van de gebruiker belemmeren om een kopie te verkrijgen, gegevens op te vragen, te gebruiken of te raadplegen, dan wel gegevens aan derden te verstrekken overeenkomstig artikel 5, of enig recht van een derde uit hoofde van het Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving. Gebruikers, derden of gegevensontvangers mogen dergelijke technische beschermingsmaatregelen niet wijzigen of schrappen, tenzij de gegevenshouder daarmee instemt.

2.   In de in lid 3 bedoelde omstandigheden voldoet de derde of gegevensontvanger onverwijld aan de verzoeken van de gegevenshouder en, indien van toepassing en indien zij niet dezelfde persoon zijn, de houder van het bedrijfsgeheim of de gebruiker om:

a)

de door de gegevenshouder beschikbaar gestelde gegevens en kopieën daarvan te wissen;

b)

een einde te maken aan het produceren, aanbieden, in de handel brengen of gebruiken van goederen, afgeleide gegevens of diensten die zijn geproduceerd op basis van de via die gegevens verkregen kennis, of aan het invoeren, uitvoeren of opslaan van inbreukmakende goederen voor die doeleinden, en inbreukmakende goederen te vernietigen, indien er een ernstig risico bestaat dat het onrechtmatige gebruik van die gegevens de gegevenshouder, de houder van het bedrijfsgeheim of de gebruiker ernstige schade zal berokkenen of indien een dergelijke maatregel niet onevenredig zou zijn in het licht van de belangen van de gegevenshouder, de houder van het bedrijfsgeheim of de gebruiker;

c)

de gebruiker in kennis te stellen van het ongeoorloofde gebruik of de ongeoorloofde openbaarmaking van de gegevens en van de maatregelen die zijn genomen om een einde te maken aan het ongeoorloofde gebruik of de ongeoorloofde openbaarmaking van de gegevens;

d)

de partij die lijdt onder het misbruik of de openbaarmaking van dergelijke onrechtmatig geraadpleegde of gebruikte gegevens schadeloos te stellen.

3.   Lid 2 is van toepassing indien een derde of een gegevensontvanger

a)

met het oog op het verkrijgen van gegevens valse informatie aan een gegevenshouder heeft verstrekt, misleidende middelen of dwangmiddelen heeft ingezet of leemten in de technische infrastructuur van de gegevenshouder ter bescherming van de gegevens heeft misbruikt;

b)

de gegevens die ter beschikking zijn gesteld, voor ongeoorloofde doeleinden heeft gebruikt, zoals de ontwikkeling van een concurrerend verbonden product in de zin van artikel 6, lid 2, punt e);

c)

gegevens onrechtmatig aan een andere partij heeft verstrekt;

d)

de overeenkomstig artikel 5, lid 9, overeengekomen technische en organisatorische maatregelen niet heeft gehandhaafd; of

e)

door de gegevenshouder op grond van lid 1 van dit artikel toegepaste technische beschermingsmaatregelen zonder toestemming van de gegevenshouder heeft gewijzigd of geschrapt;

4.   Lid 2 is ook van toepassing indien een gebruiker de door de gegevenshouder toegepaste technische beschermingsmaatregelen wijzigt of schrapt of de technische en organisatorische maatregelen die de gebruiker in overleg met de gegevenshouder of de houder van het bedrijfsgeheim, indien deze niet de gegevenshouder is, heeft genomen, niet handhaaft, om bedrijfsgeheimen te beschermen, alsmede ten aanzien van elke andere partij die de gegevens van de gebruiker ontvangt door middel van een inbreuk op deze verordening.

5.   Wanneer de gegevensontvanger inbreuk maakt op artikel 6, lid 2, punt a) of b), hebben gebruikers dezelfde rechten als gegevenshouders op grond van lid 2 van dit artikel.

Artikel 12

Reikwijdte van de verplichtingen voor gegevenshouders die krachtens het Unierecht verplicht zijn om gegevens beschikbaar te stellen

1.   Dit hoofdstuk is van toepassing wanneer een gegevenshouder in relaties tussen ondernemingen krachtens artikel 5, krachtens het toepasselijke Unierecht of krachtens toepasselijke overeenkomstig het Unierecht vastgestelde nationale wetgeving, verplicht is gegevens ter beschikking te stellen aan een gegevensontvanger.

2.   Een contractvoorwaarde in een gegevensdelingsovereenkomst die, ten nadele van een partij of, in voorkomend geval, ten nadele van de gebruiker, de toepassing van dit hoofdstuk uitsluit, daarvan afwijkt of de gevolgen ervan wijzigt, is niet bindend voor die partij.

HOOFDSTUK IV

ONEERLIJKE CONTRACTUELE BEDINGEN MET BETREKKING TOT DE TOEGANG TOT EN HET GEBRUIK VAN GEGEVENS TUSSEN ONDERNEMINGEN

Artikel 13

Oneerlijke contractuele bedingen die eenzijdig worden opgelegd aan een andere onderneming

1.   Een contractueel beding betreffende de toegang tot en het gebruik van gegevens of aansprakelijkheid en remedies in geval van schending of beëindiging van gegevensgerelateerde verplichtingen dat eenzijdig door een onderneming is opgelegd aan een andere onderneming, is niet bindend voor laatstgenoemde onderneming indien dit oneerlijk is.

2.   Een contractueel beding dat dwingende bepalingen van het Unierecht weerspiegelt, of bepalingen van het Unierecht die van toepassing zouden zijn indien de contractuele bedingen de kwestie niet zouden regelen, wordt niet als oneerlijk beschouwd.

3.   Een contractueel beding is oneerlijk indien het van dien aard is dat het gebruik ervan sterk afwijkt van goede handelspraktijken bij de toegang tot en het gebruik van gegevens, in strijd met de goede trouw en eerlijke behandeling.

4.   Een contractueel beding is met name oneerlijk in de zin van lid 3 indien dat beding het volgende tot doel of gevolg heeft:

a)

de partij die het beding eenzijdig heeft opgelegd, draagt geen of beperkte aansprakelijkheid voor opzettelijke handelingen of grove nalatigheid;

b)

de partij waaraan het beding eenzijdig is opgelegd, wordt uitgesloten van de remedies waarover deze beschikt in het geval van niet-nakoming van contractuele verplichtingen of de partij die het beding eenzijdig heeft opgelegd, draagt geen aansprakelijkheid in het geval van een niet-nakoming van die verplichtingen;

c)

de partij die het beding eenzijdig heeft opgelegd beschikt over het exclusieve recht om te bepalen of de verstrekte gegevens in overeenstemming zijn met de overeenkomst of om contractsbedingen uit te leggen.

5.   Een contractueel beding wordt geacht oneerlijk te zijn in de zin van lid 3 indien het ertoe strekt of tot gevolg heeft dat:

a)

de remedies in het geval van niet-nakoming van contractuele verplichtingen of de aansprakelijkheid in het geval van een inbreuk op die verplichtingen op ongepaste wijze worden beperkt, of de aansprakelijkheid van de onderneming waaraan het beding eenzijdig is opgelegd, wordt uitgebreid;

b)

de partij die het beding eenzijdig heeft opgelegd, toegang kan krijgen tot en gebruik kan maken van de gegevens van de medecontractant op een wijze die de rechtmatige belangen van de medecontractant aanzienlijk schaadt, met name indien die gegevens commercieel gevoelige informatie bevatten of beschermd zijn door bedrijfsgeheimen of door intellectuele-eigendomsrechten;

c)

de partij waaraan het beding eenzijdig is opgelegd, wordt verhinderd de door die partij tijdens de looptijd van de overeenkomst verstrekte of gegenereerde gegevens te gebruiken, of het gebruik van dergelijke gegevens in die mate wordt beperkt dat die partij niet het recht heeft dergelijke gegevens te gebruiken, te verzamelen, te raadplegen of te controleren of de waarde ervan adequaat te exploiteren;

d)

de partij waaraan het beding eenzijdig is opgelegd, wordt belet om de overeenkomst binnen een redelijke termijn op te zeggen;

e)

de partij waaraan het beding eenzijdig is opgelegd, wordt verhinderd tijdens de looptijd van de overeenkomst of binnen een redelijke termijn na de beëindiging ervan een kopie van de door die partij verstrekte of gegenereerde gegevens te verkrijgen;

f)

de partij die de termijn eenzijdig heeft opgelegd de overeenkomst binnen een onredelijk korte termijn kan opzeggen, rekening houdend met een redelijke mogelijkheid van de medecontractant om over te stappen naar een alternatieve en vergelijkbare dienst en met de financiële schade die door een dergelijke beëindiging wordt berokkend, tenzij er gewichtige redenen zijn om dit te doen;

g)

de partij die het beding eenzijdig heeft opgelegd aanzienlijke wijzigingen kan aanbrengen in de in de overeenkomst gespecificeerde prijs of ten aanzien van een andere wezenlijke voorwaarde met betrekking tot de aard, het formaat, de kwaliteit of de kwantiteit van de gegevens die worden gedeeld, zonder dat in de overeenkomst een geldige reden of het recht van de wederpartij om de overeenkomst op te zeggen in geval van een dergelijke wijziging wordt vermeld.

Punt g) van de eerste alinea doet geen afbreuk aan voorwaarden op basis waarvan de partij die het beding eenzijdig heeft opgelegd zich het recht voorbehoudt de voorwaarden van een overeenkomst voor onbepaalde tijd eenzijdig te wijzigen, mits in die overeenkomst een geldige reden is vermeld voor dergelijke eenzijdige wijzigingen, de partij die het beding eenzijdig heeft opgelegd, verplicht is de wederpartij van een dergelijke voorgenomen wijziging binnen een redelijke termijn op de hoogte te stellen en het de wederpartij vrijstaat de overeenkomst kosteloos op te zeggen in geval van een wijziging.

6.   Een contractueel beding wordt geacht eenzijdig te zijn opgelegd in de zin van dit artikel indien het door een van de overeenkomstsluitende partijen is gesteld en de andere partij ondanks een poging om daarover te onderhandelen geen invloed op de inhoud ervan heeft kunnen uitoefenen. De overeenkomstsluitende partij die het beding in de overeenkomst heeft laten opnemen, moet bewijzen dat dit beding niet eenzijdig is opgelegd. De overeenkomstsluitende partij die het betwiste contractuele beding in de overeenkomst heeft laten opnemen, kan zich er niet op beroepen dat het contractuele beding oneerlijk is.

7.   Indien het oneerlijke contractuele beding kan worden gescheiden van de overige contractuele bedingen, zijn die resterende bedingen bindend.

8.   Dit artikel is niet van toepassing op contractuele bedingen waarin het eigenlijke onderwerp van de overeenkomst wordt omschreven, noch op de juistheid van de prijs voor de als tegenprestatie geleverde gegevens.

9.   De partijen bij een overeenkomst als bedoeld in lid 1 mogen de toepassing van dit artikel niet uitsluiten, ervan afwijken of de gevolgen ervan wijzigen.

HOOFDSTUK V

GEGEVENS BESCHIKBAAR STELLEN AAN OVERHEIDSINSTANTIES, DE COMMISSIE, DE EUROPESE CENTRALE BANK EN ORGANEN VAN DE UNIE OP GROND VAN UITZONDERLIJKE NOODZAAK

Artikel 14

Verplichting om gegevens beschikbaar te stellen op grond van uitzonderlijke noodzaak

Indien een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie aantoont dat er sprake is van een uitzonderlijke noodzaak, zoals uiteengezet in artikel 15, om gebruik te maken van bepaalde gegevens, waaronder de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, haar/zijn wettelijke verplichtingen in het algemeen belang uit te voeren, stellen gegevenshouders die rechtspersonen maar geen overheidsinstanties zijn, en die die gegevens in bezit hebben, ze op naar behoren gemotiveerd verzoek beschikbaar.

Artikel 15

Uitzonderlijke noodzaak om gegevens te gebruiken

1.   Een uitzonderlijke noodzaak om bepaalde gegevens te gebruiken in de zin van dit hoofdstuk is in tijd en reikwijdte beperkt en wordt geacht uitsluitend te bestaan in een of meer van de volgende omstandigheden:

a)

indien de gevraagde gegevens noodzakelijk zijn om te reageren op een algemene noodsituatie en de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie niet in staat is dergelijke gegevens tijdig en doeltreffend op een andere manier en in gelijkwaardige omstandigheden te verkrijgen;

b)

in niet onder punt a) vallende omstandigheden en uitsluitend voor niet-persoonsgebonden gegevens, indien:

i)

een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie handelt op grond van het Unie- of nationale recht en specifieke gegevens heeft geïdentificeerd waarvan het ontbreken haar/het ervan weerhoudt een bij wet opgelegde specifieke taak van algemeen belang te vervullen, zoals het opstellen van officiële statistieken of beperking van of herstel na een algemene noodsituatie, en

ii)

de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie alle andere middelen waarover zij/het beschikt om dergelijke gegevens te verkrijgen heeft uitgeput, met inbegrip van de aankoop van de gegevens op de markt door markttarieven aan te bieden of door gebruik te maken van bestaande verplichtingen om gegevens beschikbaar te stellen of de vaststelling van nieuwe wetgevingsmaatregelen die de tijdige beschikbaarheid van de gegevens kunnen waarborgen.

2.   Lid 1, punt b), is niet van toepassing op micro-ondernemingen en kleine ondernemingen.

3.   De verplichting om aan te tonen dat de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie niet in staat was niet-persoonsgebonden gegevens te verkrijgen door die op de markt aan te kopen, is niet van toepassing indien de specifieke taak van algemeen belang het opstellen van officiële statistieken betreft en de tot het verkrijgen van dergelijke gegevens strekkende aankoop nationaalrechtelijk niet is toegestaan.

Artikel 16

Verband met andere verplichtingen om gegevens beschikbaar te stellen aan overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie

1.   Dit hoofdstuk doet geen afbreuk aan de in het Unie- of nationale recht vastgelegde verplichtingen met betrekking tot rapportage, het voldoen aan verzoeken om toegang tot informatie of het aantonen of verifiëren van de naleving van wettelijke verplichtingen.

2.   Dit hoofdstuk is niet van toepassing op overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie die activiteiten uitvoeren met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafrechtelijke of administratieve inbreuken of de tenuitvoerlegging van straffen, noch op de douane- of belastingadministratie. Dit hoofdstuk doet geen afbreuk aan het toepasselijke Unierecht en het toepasselijke nationale recht inzake het voorkomen, onderzoeken, opsporen en vervolgen van strafrechtelijke of administratieve inbreuken of de tenuitvoerlegging van strafrechtelijke of administratieve sancties, of inzake de douane- of belastingadministratie.

Artikel 17

Verzoeken om gegevens beschikbaar te stellen

1.   Wanneer overheidsinstanties, de Commissie, de Europese Centrale Bank of een orgaan van de Unie om gegevens overeenkomstig artikel 14, verzoeken:

a)

specificeren zij de vereiste gegevens, met inbegrip van de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken;

b)

tonen zij aan dat wordt voldaan aan de noodzakelijke voorwaarden voor het bestaan van een uitzonderlijke noodzaak als bedoeld in artikel 15, op grond waarvan om de gegevens wordt verzocht;

c)

geven zij een toelichting op het doel van het verzoek, het beoogde gebruik van de gevraagde gegevens, ook indien een derde in voorkomend geval overeenkomstig lid 4 van dit artikel daarom heeft verzocht, de duur van dat gebruik en, in voorkomend geval, de wijze waarop de verwerking van persoonsgegevens tegemoetkomt aan de uitzonderlijke noodzaak;

d)

geven zij indien mogelijk aan wanneer de gegevens naar verwachting zullen worden gewist door alle partijen die er toegang toe hebben;

e)

onderbouwen zij de keuze van de gegevenshouder tot wie het verzoek zich richt;

f)

vermelden zij de andere overheidsinstanties of de Commissie, de Europese Centrale Bank of organen van de Unie en de derden waarmee de verkregen gegevens naar verwachting zullen worden gedeeld;

g)

indien om persoonsgegevens wordt verzocht, specificeren zij welke technische en organisatorische maatregelen nodig en evenredig zijn om de gegevensbeschermingsbeginselen en de nodige waarborgen toe te passen, zoals pseudonimisering, en of de gegevenshouder anonimisering kan toepassen voordat hij de gegevens beschikbaar stelt;

h)

vermelden zij de wettelijke bepaling waarbij aan de verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie de specifieke taak van algemeen belang wordt toegewezen waarvoor de gegevens wordt gevraagd;

i)

specificeren zij de termijn waarbinnen de gegevens beschikbaar moeten worden gesteld en de in artikel 18, lid 2, bedoelde termijn waarbinnen de gegevenshouder het verzoek kan afwijzen of om wijziging ervan kan verzoeken;

j)

stellen zij alles in het werk om te voorkomen dat een verzoek om gegevens wordt ingewilligd als dat zou leiden tot aansprakelijkheid van de gegevenshouders voor inbreuken op het Unierecht of nationale recht.

2.   Een verzoek om gegevens op grond van lid 1 van dit artikel:

a)

wordt schriftelijk ingediend en uitgedrukt in duidelijke, beknopte en eenvoudige taal die voor de gegevenshouder begrijpelijk is;

b)

vermeldt specifiek om welk soort gegevens het gaat en komt overeen met de gegevens waarover de gegevenshouder ten tijde van het verzoek de controle heeft;

c)

staat in verhouding tot de uitzonderlijke noodzaak en is naar behoren gemotiveerd, wat betreft de mate van detail en het volume van de gevraagde gegevens en de frequentie van de toegang tot de gevraagde gegevens;

d)

eerbiedigt de legitieme doelstellingen van de gegevenshouder en zorgt voor de bescherming van bedrijfsgeheimen overeenkomstig artikel 19, lid 3, en de kosten en inspanningen die nodig zijn om de gegevens beschikbaar te stellen;

e)

heeft betrekking op niet-persoonsgebonden gegevens, en alleen als wordt aangetoond dat dit ontoereikend is om te voldoen aan de uitzonderlijke noodzaak om gegevens te gebruiken, overeenkomstig artikel 15, lid 1, punt a), behelst het persoonsgegevens in gepseudonimiseerde vorm en stelt het de technische en organisatorische maatregelen vast die moeten worden genomen om de gegevens te beschermen;

f)

stelt de gegevenshouder in kennis van de sancties die overeenkomstig artikel 40 door de in artikel 37 aangewezen bevoegde autoriteit moeten worden opgelegd in geval van niet-naleving van het verzoek;

g)

wordt, indien het verzoek door een overheidsinstantie wordt ingediend, toegezonden aan de in artikel 37 bedoelde gegevenscoördinator van de lidstaat waar de verzoekende overheidsinstantie is gevestigd, die het verzoek onverwijld online beschikbaar stelt, tenzij de datacoördinator van oordeel is dat een dergelijke publicatie een risico voor de openbare veiligheid zou opleveren;

h)

wordt, wanneer het verzoek door de Commissie, de Europese Centrale Bank of een orgaan van de Unie wordt gedaan, onverwijld online beschikbaar gesteld;

i)

wordt, indien om persoonsgegevens wordt verzocht, onverwijld gemeld bij de toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de toepassing van Verordening (EU) 2016/679 in de lidstaat waar de overheidsinstantie is gevestigd.

De Europese Centrale Bank en de organen van de Unie stellen de Commissie in kennis van hun verzoeken.

3.   Een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie stelt de op grond van dit hoofdstuk verkregen gegevens niet beschikbaar voor hergebruik zoals gedefinieerd in artikel 2, punt 2, van Verordening (EU) 2022/868 of artikel 2, punt 11, van Richtlijn (EU) 2019/1024. Verordening (EU) 2022/868 en Richtlijn (EU) 2019/1024 zijn niet van toepassing op de gegevens die overheidsinstanties op grond van dit hoofdstuk hebben verkregen.

4.   Lid 3 van dit artikel belet een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie niet om op grond van dit hoofdstuk verkregen gegevens uit te wisselen met een andere overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie met het oog op de vervulling van de taken zoals bedoeld in artikel 15, zoals vermeld in het verzoek overeenkomstig lid 1, punt f), van dit artikel, of om de gegevens beschikbaar te stellen aan een derde in gevallen waarin door middel van een openbaar beschikbare overeenkomst technische inspecties of andere taken aan die derde zijn gedelegeerd. De verplichtingen van overheidsinstanties overeenkomstig artikel 19, met name waarborgen ter bescherming van de vertrouwelijkheid van bedrijfsgeheimen, gelden ook voor dergelijke derden. Wanneer overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie gegevens uit hoofde van dit lid doorgeven of beschikbaar stellen, stellen zij de gegevenshouder van wie de gegevens zijn ontvangen onverwijld daarvan in kennis.

5.   Indien de gegevenshouder van mening is dat zijn rechten uit hoofde van dit hoofdstuk zijn geschonden door het doorgeven of het beschikbaar stellen van gegevens, kan hij een klacht indienen bij de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.

6.   De Commissie ontwikkelt een modelformulier voor verzoeken overeenkomstig dit artikel.

Artikel 18

Naleving van verzoeken om gegevens

1.   Een gegevenshouder die een verzoek ontvangt om gegevens beschikbaar te stellen uit hoofde van dit hoofdstuk, stelt de gegevens onverwijld ter beschikking van de verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie, rekening houdend met de benodigde technische, organisatorische en juridische maatregelen.

2.   Onverminderd specifieke behoeften in verband met de beschikbaarheid van gegevens zoals omschreven in het Unie- of nationale recht, kan een gegevenshouder het verzoek afwijzen of verzoeken om wijziging van een verzoek om gegevens beschikbaar te stellen uit hoofde van dit hoofdstuk, onverwijld en in elk geval binnen vijf werkdagen na ontvangst van een verzoek om de gegevens die noodzakelijk zijn om te reageren op een algemene noodsituatie en onverwijld en in elk geval binnen 30 werkdagen na ontvangst van een dergelijk verzoek in andere gevallen van uitzonderlijke noodzaak, om de volgende redenen:

a)

de gegevenshouder heeft geen controle over de gevraagde gegevens;

b)

er is eerder een soortgelijk verzoek met hetzelfde doel ingediend door een andere overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie, en de gegevenshouder is niet in kennis gesteld van de wissing van de gegevens overeenkomstig artikel 19, lid 1, punt c);

c)

het verzoek voldoet niet aan de voorwaarden van artikel 17, leden 1 en 2.

3.   Indien de gegevenshouder besluit het verzoek af te wijzen of te verzoeken het te wijzigen overeenkomstig lid 2, punt b), vermeldt hij de identiteit van de overheidsinstantie of de Commissie, de Europese Centrale Bank of het orgaan van de Unie waardoor eerder een verzoek met hetzelfde doel is ingediend.

4.   Indien de gegevens persoonsgegevens bevatten, anonimiseert de gegevenshouder de gegevens naar behoren, tenzij er persoonsgegevens moeten worden verstrekt om het verzoek om gegevens van een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie in te willigen. In dergelijke gevallen pseudonimiseert de gegevenshouder de gegevens.

5.   Indien de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie de weigering van een gegevenshouder om de gevraagde gegevens te verstrekken wenst aan te vechten, of indien de gegevenshouder het verzoek wenst aan te vechten en de zaak niet kan worden opgelost door een gepaste wijziging van het verzoek, wordt de zaak voorgelegd aan de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.

Artikel 19

Verplichtingen van overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie

1.   Een overheidsinstantie, de Commissie, de Europese Centrale Bank of organen van de Unie die op grond van een verzoek uit hoofde van artikel 14 gegevens ontvangen:

a)

mogen de gegevens niet gebruiken op een wijze die onverenigbaar is met het doel waarvoor zij zijn gevraagd;

b)

moeten technische en organisatorische maatregelen hebben genomen om de vertrouwelijkheid en integriteit van de gevraagde gegevens en de beveiliging van de gegevens-overdrachten, met name die van persoonsgegevens, te waarborgen en de rechten en vrijheden van de datasubjecten te waarborgen;

c)

wissen de gegevens zodra zij niet langer nodig zijn voor het aangegeven doel en stellen de gegevenshouder en personen of organisaties die de gegevens hebben ontvangen overeenkomstig artikel 21, lid 1, onverwijld ervan in kennis dat de gegevens zijn gewist, tenzij archivering van de gegevens vereist is overeenkomstig het Unie- of nationale recht inzake de toegang van het publiek tot documenten in het kader van transparantieverplichtingen.

2.   Het is een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie of een derde die gegevens uit hoofde van dit hoofdstuk ontvangt, niet toegestaan om:

a)

de gegevens of inzichten over de economische situatie, activa en productie- of exploitatiemethoden van de gegevenshouder te gebruiken om een verbonden product of dienst te ontwikkelen of te verbeteren dat met het verbonden product of de gerelateerde dienst van de gegevenshouder concurreert;

b)

de gegevens met een andere derde te delen voor een van de doeleinden zoals bedoeld in punt a).

3.   De openbaarmaking van bedrijfsgeheimen aan een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie is alleen vereist voor zover dit strikt noodzakelijk is om het doel van een verzoek overeenkomstig artikel 15 te verwezenlijken. In dat geval identificeert de gegevenshouder of de houder van het bedrijfsgeheim, indien hij niet dezelfde persoon is, de gegevens die als bedrijfsgeheim worden beschermd, met inbegrip van de relevante metagegevens. De overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie neemt vóór de openbaarmaking van bedrijfsgeheimen alle nodige en passende technische en organisatorische maatregelen om de vertrouwelijkheid van de bedrijfsgeheimen te waarborgen, met inbegrip van, in voorkomend geval, het gebruik van modelcontractvoorwaarden, technische normen en de toepassing van gedragscodes.

4.   Een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie is verantwoordelijk voor de beveiliging van de gegevens die zij/het ontvangt.

Artikel 20

Vergoeding in geval van uitzonderlijke noodzaak

1.   Andere gegevenshouders dan micro-ondernemingen en kleine ondernemingen stellen de gegevens die nodig zijn om te reageren op een algemene noodsituatie overeenkomstig artikel 15, lid 1, punt a), kosteloos beschikbaar. De overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie die/dat gegevens heeft ontvangen, geeft een openbare bevestiging aan de gegevenshouder indien de gegevenshouder daarom verzoekt.

2.   De gegevenshouder heeft recht op een eerlijke vergoeding voor het beschikbaar stellen van gegevens in naleving van een verzoek overeenkomstig artikel 15, lid 1, punt b). Die vergoeding dekt de technische en organisatorische kosten die zijn gemaakt om aan het verzoek te voldoen, met inbegrip van, in voorkomend geval, de kosten van anonimisering, pseudonimisering, aggregatie en technische aanpassing, en met een redelijke marge. Op verzoek van de overheidsinstantie of de Commissie, de Europese Centrale Bank of het orgaan van de Unie, verstrekt de gegevenshouder informatie over de grondslag voor de berekening van de kosten en de redelijke marge.

3.   Lid 2 is ook van toepassing indien een micro-onderneming en een kleine onderneming zoals gedefinieerd een vergoeding eisen voor het beschikbaar stellen van gegevens.

4.   Gegevenshouders hebben geen recht op vergoeding voor het beschikbaar stellen van gegevens in naleving van een verzoek uit hoofde van artikel 15, lid 1, punt b), indien de specifieke taak van algemeen belang bestaat in het opstellen van officiële statistieken en indien de aankoop van gegevens niet is toegestaan op grond van het nationale recht. De lidstaten stellen de Commissie ervan in kennis indien de aankoop van gegevens voor het opstellen van officiële statistieken op grond van het nationale recht niet is toegestaan.

5.   Indien de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie het niet eens is met de hoogte van de door de gegevenshouder gevraagde vergoeding, kan zij/het klacht indienen bij de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.

Artikel 21

Delen van in de context van een uitzonderlijke noodzaak verkregen gegevens met onderzoeksorganisaties of statistische instanties

1.   Overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie mogen uit hoofde van dit hoofdstuk ontvangen gegevens delen:

a)

met personen of organisaties met het oog op het uitvoeren van wetenschappelijk onderzoek of analyses die verenigbaar zijn met het doel waarvoor de gegevens werden gevraagd; of

b)

met nationale bureaus voor de statistiek of Eurostat voor het opstellen van officiële statistieken.

2.   Personen of organisaties die de gegevens overeenkomstig lid 1 ontvangen, handelen zonder winstoogmerk of in het kader van een in het Unie- of nationale recht erkende taak van algemeen belang. Hieronder vallen niet organisaties waarop commerciële ondernemingen een aanzienlijke invloed uitoefenen die waarschijnlijk zal leiden tot preferentiële toegang tot de resultaten van het onderzoek.

3.   Personen of organisaties die de gegevens overeenkomstig lid 1 van dit artikel ontvangen, voldoen aan dezelfde verplichtingen die van toepassing zijn op de overheidsinstanties, de Commissie, de Europese Centrale Bank of de organen van de Unie overeenkomstig artikel 17, lid 3, en artikel 19.

4.   Niettegenstaande artikel 19, lid 1, punt c), mogen personen of organisaties die de gegevens overeenkomstig lid 1 van dit artikel ontvangen, de ontvangen gegevens voor het doel waarvoor de gegevens werden gevraagd, bewaren tot zes maanden na het wissen van de gegevens door de overheidsinstanties, de Commissie, de Europese Centrale Bank en de organen van de Unie.

5.   Indien een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie voornemens is gegevens uit hoofde van lid 1 van dit artikel beschikbaar te stellen, stelt zij/het onverwijld de gegevenshouder van wie de gegevens zijn ontvangen daarvan in kennis met vermelding van de identiteit en contactgegevens van de organisatie of de persoon die de gegevens ontvangt, het doel van de doorgifte of beschikbaarstelling van de gegevens, de termijn gedurende welke de gegevens mogen worden gebruikt en de technische bescherming en organisatorische maatregelen die zijn genomen, ook indien het persoonsgegevens of bedrijfsgeheimen betreft. Indien de gegevenshouder het niet eens is met het doorgeven of beschikbaar stellen van gegevens, kan hij een klacht indienen bij de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar hij is gevestigd.

Artikel 22

Wederzijdse bijstand en grensoverschrijdende samenwerking

1.   Overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie werken samen en staan elkaar bij om dit hoofdstuk op consistente wijze uit te voeren.

2.   Alle gegevens die in het kader van de verzochte bijstand worden uitgewisseld en verstrekt overeenkomstig lid 1, mogen niet worden gebruikt op een wijze die onverenigbaar is met het doel waarvoor zij zijn gevraagd.

3.   Indien een overheidsinstantie voornemens is om gegevens te verzoeken van een gegevenshouder die in een andere lidstaat is gevestigd, stelt zij eerst de op grond van artikel 37 aangewezen bevoegde autoriteit in die lidstaat van haar voornemen in kennis. Deze vereiste geldt ook voor verzoeken van de Commissie, de Europese Centrale Bank en organen van de Unie. Het verzoek wordt onderzocht door de bevoegde autoriteit van de lidstaat waar de gegevenshouder gevestigd is.

4.   Nadat de relevante bevoegde autoriteit het verzoek heeft onderzocht in het licht van de in artikel 17 vastgestelde vereisten, neemt zij onverwijld een van de volgende maatregelen:

a)

zij stuurt het verzoek door naar de gegevenshouder en adviseert, indien van toepassing, de verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie over de eventuele noodzaak om samen te werken met overheidsinstanties van de lidstaat waar de gegevenshouder is gevestigd, teneinde de administratieve lasten voor de gegevenshouder bij het voldoen aan het verzoek te verminderen;

b)

zij wijst het verzoek om naar behoren gemotiveerde redenen af overeenkomstig dit hoofdstuk;

De verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank en het orgaan van de Unie houden rekening met het advies en de redenen die de betrokken bevoegde autoriteit overeenkomstig de eerste alinea heeft verstrekt alvorens verdere maatregelen te nemen, zoals het opnieuw indienen van het verzoek, indien van toepassing.

HOOFDSTUK VI

OVERSTAPPEN NAAR EEN ANDERE DATAVERWERKINGSDIENST

Artikel 23

Belemmeringen voor een doeltreffende overstap wegnemen

Aanbieders van dataverwerkingsdiensten nemen de in de artikelen 25, 26, 27, 29 en 30 bedoelde maatregelen om klanten in staat te stellen over te stappen naar een dataverwerkingsdienst voor hetzelfde soort dienst die door een andere aanbieder van dataverwerkingsdiensten wordt verleend of naar on-premises ICT-infrastructuur of, in voorkomend geval, tegelijkertijd een beroep te doen op meerdere aanbieders van dataverwerkingsdiensten. Aanbieders van dataverwerkingsdiensten werpen met name geen precommerciële, commerciële, technische, contractuele en organisatorische belemmeringen op en nemen dergelijke belemmeringen weg die klanten beletten:

a)

na de maximale opzegtermijn en de succesvolle afronding van het overstapproces overeenkomstig artikel 25 de overeenkomst van de dataverwerkingsdienst op te zeggen;

b)

met een andere aanbieder van dataverwerkingsdiensten nieuwe overeenkomsten voor hetzelfde soort diensten te sluiten;

c)

hun exporteerbare data en digitale activa over te dragen aan een andere aanbieder van dataverwerkingsdiensten, of aan een on-premises-ICT-infrastructuur, ook indien die klanten reeds hebben geprofiteerd van een aanbieding om gratis gebruik te maken van de diensten;

d)

overeenkomstig artikel 24, functionele gelijkwaardigheid in het gebruik van de nieuwe dataverwerkingsdienst in de ICT-omgeving van een verschillende aanbieder van dataverwerkingsdiensten voor de gelijkwaardige dienst te bereiken;

e)

loskoppeling te bereiken, voor zover technisch haalbaar, van de in artikel 30, lid 1, bedoelde dataverwerkingsdiensten van andere door de aanbieder van dataverwerkingsdiensten verleende dataverwerkingsdiensten.

Artikel 24

Reikwijdte van de technische verplichtingen

De verantwoordelijkheden van aanbieders van dataverwerkingsdiensten zoals vastgelegd in de artikelen 23, 25, 29, 30 en 34 zijn uitsluitend van toepassing op de diensten, overeenkomsten of handelspraktijken die door de oorspronkelijke aanbieder van dataverwerkingsdiensten worden verleend.

Artikel 25

Contractvoorwaarden betreffende een overstap

1.   De rechten van de klant en de verplichtingen van de aanbieder van dataverwerkingsdiensten met betrekking tot het overstappen naar andere aanbieders van dergelijke diensten of, indien van toepassing, naar een on-premises-ICT-infrastructuur worden duidelijk vastgelegd in een schriftelijk contract. De aanbieder van dataverwerkingsdiensten stelt die overeenkomst vóór de ondertekening daarvan ter beschikking van de klant op een manier waardoor deze de overeenkomst kan opslaan en reproduceren.

2.   Onverminderd Richtlijn (EU) 2019/770 bevat het in lid 1 van dit artikel bedoelde contract ten minste het volgende:

a)

bepalingen op grond waarvan de klant, op verzoek, kan overstappen naar een dataverwerkingsdienst die wordt aangeboden door een andere aanbieder van dataverwerkingsdiensten of op grond waarvan de klant alle exporteerbare data, en digitale activa kan overdragen naar een on-premises-ICT-infrastructuur, onverwijld en in geen geval na de verplichte overgangsperiode van maximaal 30 dagen, die aanvangt na de maximale opzegtermijn bedoeld in punt d), waarbinnen de dienstverleningsovereenkomst van toepassing blijft en waarbinnen de aanbieder van dataverwerkingsdiensten:

i)

redelijke bijstand verleent aan de klant en door de klant gemachtigde derden in het overstapproces;

ii)

met de nodige zorgvuldigheid handelt om de bedrijfscontinuïteit in stand te houden en de functies of diensten op grond van de overeenkomst blijft verlenen;

iii)

duidelijke informatie verstrekt over bekende risico’s voor de continuïteit van de verlening van de functies of diensten aan de zijde van de oorspronkelijke aanbieder van de dataverwerkingsdiensten;

iv)

ervoor zorgt dat gedurende het overstapproces een hoog beveiligingsniveau wordt gehandhaafd, met name wat betreft de beveiliging van de gegevens tijdens de doorgifte ervan en de voortdurende beveiliging van gegevens tijdens de in punt g) gespecificeerde opvragingstermijn, in overeenstemming met het toepasselijke Unie- of nationale recht;

b)

een verplichting voor de aanbieder van dataverwerkingsdiensten om ondersteuning te bieden voor de exitstrategie van de klant in het kader van de gecontracteerde diensten, onder meer door alle relevante informatie te verstrekken;

c)

een clausule waarin wordt bepaald dat de overeenkomst wordt geacht te zijn beëindigd en dat de klant in kennis wordt gesteld van de beëindiging, in een van de volgende gevallen:

i)

indien van toepassing, na de succesvolle voltooiing van het overstapproces;

ii)

aan het einde van de in punt d) bedoelde maximale opzegtermijn, indien de klant niet wil overstappen, maar al zijn exporteerbare data en digitale activa na beëindiging van de dienst wil wissen.

d)

een maximale opzegtermijn voor het initiëren van het overstapproces, die niet meer dan twee maanden bedraagt;

e)

een volledige specificatie van alle categorieën gegevens en digitale activa die tijdens het overstapproces kunnen worden overgedragen, waaronder ten minste alle exporteerbare data;

f)

een exhaustieve specificatie van de categorieën gegevens die specifiek zijn voor de interne werking van de dataverwerkingsdiensten van de aanbieder en die geen deel mogen uitmaken van de in punt e) van dit lid bedoelde exporteerbare data wanneer er een risico op schending van bedrijfsgeheimen van de aanbieder bestaat, op voorwaarde dat dergelijke uitzonderingen het in artikel 23 bedoelde overstapproces niet belemmeren of vertragen;

g)

een minimumtermijn voor het opvragen van gegevens van ten minste 30 kalenderdagen, beginnend na de beëindiging van de overgangsperiode die is overeengekomen tussen de klant en de aanbieder van dataverwerkingsdiensten, overeenkomstig punt a), van dit lid en lid 4;

h)

een clausule die garandeert dat alle exporteerbare data en digitale activa die rechtstreeks door de klant worden gegenereerd of die rechtstreeks betrekking hebben op de klant, volledig worden gewist na het verstrijken van de in punt g) bedoelde opvragingstermijn of na het verstrijken van een alternatieve overeengekomen termijn na de datum waarop de in punt g) bedoelde opvragingstermijn verstrijkt, op voorwaarde dat het overstapproces met succes is voltooid;

i)

overstapkosten die door aanbieders van dataverwerkingsdiensten in rekening kunnen worden gebracht overeenkomstig artikel 29.

3.   Het in lid 1 bedoelde contract bevat bedingen op grond waarvan de klant de aanbieder van dataverwerkingsdiensten bij de beëindiging van de in lid 2, punt d), bedoelde maximale kennisgevingsperiode in kennis kan stellen van zijn besluit om een of meer van de volgende handelingen te verrichten:

a)

overstappen naar een andere aanbieder van dataverwerkingsdiensten, in welk geval de klant de nodige gegevens over die aanbieder verstrekt;

b)

overschakelen op een on-premises-ICT-infrastructuur;

c)

zijn exporteerbare data en digitale activa wissen.

4.   Wanneer de verplichte maximale overgangsperiode als bedoeld in lid 2, punt a), technisch niet haalbaar is, stelt de aanbieder van dataverwerkingsdiensten de klant daarvan in kennis binnen 14 werkdagen na het overstapverzoek, rechtvaardigt hij de technische onhaalbaarheid naar behoren en vermeldt hij een alternatieve overgangsperiode, die niet langer mag zijn dan zeven maanden. Overeenkomstig lid 1 wordt de continuïteit van de dienstverlening gewaarborgd gedurende de gehele alternatieve overgangsperiode.

5.   Onverminderd lid 4 bevat het in lid 1 bedoelde contract bedingen die de klant het recht verlenen de overgangsperiode eenmaal te verlengen met een periode die de klant voor zijn eigen doeleinden geschikter acht.

Artikel 26

Verplichting voor aanbieders van dataverwerkingsdiensten om informatie te verstrekken

Aanbieders van dataverwerkingsdiensten verstrekken de klant:

a)

informatie over beschikbare procedures om over te stappen op en gegevens over te dragen aan de dataverwerkingsdienst, met inbegrip van informatie over beschikbare overstap- en overdrachtsmethoden, formaten, restricties en technische beperkingen die bekend zijn bij de aanbieder van de dataverwerkingsdiensten;

b)

een verwijzing naar een actueel onlineregister dat wordt gehost door de aanbieder van dataverwerkingsdiensten, met gegevens over alle gegevensstructuren en dataformaten, alsook de relevante normen en open interoperabiliteitsspecificaties, waarin de in artikel 25, lid 2, punt e), bedoelde exporteerbare data beschikbaar moeten zijn.

Artikel 27

Goedetrouwverplichting

Alle betrokken partijen, met inbegrip van aanbieders van dataverwerkingsdiensten van bestemming, werken te goeder trouw samen om het overstapproces doeltreffend te laten verlopen, de tijdige overdracht van gegevens mogelijk te maken en de continuïteit van de dataverwerkingsdienst te waarborgen.

Artikel 28

Contractuele transparantieverplichtingen inzake internationale toegang en doorgifte

1.   Aanbieders van dataverwerkingsdiensten stellen de volgende informatie op hun websites beschikbaar en houden die actueel:

a)

het rechtsgebied waaronder de voor de dataverwerking van hun individuele diensten opgezette ICT-infrastructuur valt;

b)

een algemene beschrijving van de technische, organisatorische en contractuele maatregelen die de aanbieder van dataverwerkingsdiensten heeft genomen om toegang van de internationale overheid tot of de doorgifte van niet-persoonsgebonden gegevens die in de Unie zijn opgeslagen, te voorkomen indien een dergelijke toegang of doorgifte in strijd zou zijn met het Unie- of nationale recht van de betrokken lidstaat.

2.   De in lid 1 bedoelde websites worden vermeld in overeenkomsten van alle dataverwerkingsdiensten die aanbieders van dataverwerkingsdiensten aanbieden.

Artikel 29

Stapsgewijze opheffing van overstapkosten

1.   Vanaf 12 januari 2027 brengen aanbieders van dataverwerkingsdiensten klanten geen overstapkosten meer in rekening voor het overstapproces.

2.   Vanaf 11 januari 2024 tot 12 januari 2027 kunnen aanbieders van dataverwerkingsdiensten klanten verlaagde overstapkosten in rekening brengen.

3.   De in lid 2 bedoelde verlaagde overstapkosten mogen niet hoger zijn dan de door de aanbieder van dataverwerkingsdiensten gemaakte kosten die rechtstreeks verband houden met het betrokken overstapproces.

4.   Alvorens een overeenkomst met een klant te sluiten, verstrekken aanbieders van dataverwerkingsdiensten de potentiële klant duidelijke informatie over de standaardvergoedingen en boetes voor vroegtijdige beëindiging die kunnen worden opgelegd, alsook over de verlaagde overstapkosten, die tijdens de in lid 2 bedoelde termijn kunnen worden opgelegd.

5.   In voorkomend geval verstrekken aanbieders van dataverwerkingsdiensten informatie aan een consument over dataverwerkingsdiensten waarbij overstappen zeer complex of duur is, dan wel onmogelijk zonder aanzienlijke interferentie in de gegevens, digitale activa of dienstenarchitectuur.

6.   In voorkomend geval stellen aanbieders van dataverwerkingsdiensten de in de leden 4 en 5 bedoelde informatie voor klanten openbaar beschikbaar op een speciaal daarvoor bestemd gedeelte van hun website of op een andere gemakkelijk toegankelijke wijze.

7.   De Commissie is bevoegd overeenkomstig artikel 45 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen door het instellen van een toezichtmechanisme waarmee de Commissie toezicht kan houden op de door aanbieders van dataverwerkingsdiensten op de markt in rekening gebrachte overstapkosten, om ervoor te zorgen dat de opheffing en verlaging van de overstap- en gegevens-extractietarieven krachtens de leden 1 en 2 van dit artikel binnen de in die leden vastgelegde termijnen worden verwezenlijkt.

Artikel 30

Technische aspecten van een overstap

1.   Aanbieders van dataverwerkingsdiensten die betrekking hebben op schaalbare en elastische computingmiddelen die beperkt zijn tot infrastructurele elementen zoals servers, netwerken en de virtuele middelen die nodig zijn voor de exploitatie van de infrastructuur, maar die geen toegang bieden tot de operationele diensten, software en toepassingen die worden opgeslagen, anderszins verwerkt of op die infrastructurele elementen worden ingezet, nemen overeenkomstig artikel 27 alle redelijke en haalbare maatregelen om te faciliteren dat de klant, nadat de overstap naar een dienst van hetzelfde type, functionele gelijkwaardigheid bereikt bij het gebruik van de dataverwerkingsdienst van bestemming. De oorspronkelijke aanbieder van dataverwerkingsdiensten faciliteert het overstapproces door in capaciteit, adequate informatie, documentatie, technische ondersteuning en zo nodig hulpmiddelen te voorzien.

2.   Aanbieders van andere dan de in lid 1 van dit artikel bedoelde dataverwerkingsdiensten, stellen kosteloos en in gelijke mate open interfaces beschikbaar aan al hun klanten en de betrokken aanbieders van dataverwerkingsdiensten van bestemming om het overstapproces te vergemakkelijken. Die interfaces bevatten voldoende informatie over de betrokken dienst om de ontwikkeling van software voor communicatie met de diensten mogelijk te maken met het oog op gegevensoverdraagbaarheid en interoperabiliteit.

3.   Voor andere dan de onder lid 1 van dit artikel vallende dataverwerkingsdiensten waarborgen aanbieders van dataverwerkingsdiensten compatibiliteit met gemeenschappelijke specificaties die gebaseerd zijn op open interoperabiliteitsspecificaties of geharmoniseerde interoperabiliteitsnormen, en wel uiterlijk 12 maanden na de bekendmaking van de referenties van die gemeenschappelijke specificaties of geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten in het centrale register voor EU-normen voor de interoperabiliteit van dataverwerkingsdiensten, na de bekendmaking van de onderliggende uitvoeringshandelingen in het Publicatieblad van de Europese Unie overeenkomstig artikel 35, lid 8.

4.   Aanbieders van andere dan de onder lid 1 van dit artikel vallende dataverwerkingsdiensten, werken het in artikel 26, punt b), bedoelde onlineregister bij overeenkomstig hun verplichtingen uit hoofde van lid 3 van dit artikel.

5.   In het geval van een overstap tussen diensten van hetzelfde type waarvoor in het centrale register voor Unienormen voor de interoperabiliteit van dataverwerkingsdiensten geen gemeenschappelijke specificaties of geharmoniseerde normen voor interoperabiliteit als bedoeld in lid 3 van dit artikel zijn opgenomen overeenkomstig artikel 35, lid 8, exporteert de aanbieder van de dataverwerkingsdiensten op verzoek van de klant alle exporteerbare data in een gestructureerd, algemeen gebruikt en machineleesbaar formaat.

6.   Aanbieders van dataverwerkingsdiensten mogen niet worden verplicht nieuwe technologieën of diensten te ontwikkelen, digitale activa die door eigendomsrechten worden beschermd of die een bedrijfsgeheim vormen bekend te maken of over te dragen aan een klant of een andere aanbieder van dataverwerkingsdiensten, of de veiligheid en de integriteit van de dienst van de klant of aanbieder in gevaar te brengen.

Artikel 31

Specifieke regeling voor bepaalde dataverwerkingsdiensten

1.   De in artikel 23, punt d), artikel 29 en artikel 30, leden 1 en 3, vastgestelde verplichtingen zijn niet van toepassing op dataverwerkingsdiensten waarvan het merendeel van de belangrijkste kenmerken is afgestemd op de specifieke behoeften van een individuele klant of waarvan alle componenten zijn ontwikkeld ten behoeve van een individuele klant, en waarbij die dataverwerkingsdiensten niet op grote commerciële schaal worden aangeboden via de dienstencatalogus van de aanbieder van dataverwerkingsdiensten.

2.   De in dit hoofdstuk vastgelegde verplichtingen zijn niet van toepassing op dataverwerkingsdiensten die gedurende een beperkte periode als een niet voor productiedoeleinden bedoelde versie voor test- en evaluatiedoeleinden worden verleend.

3.   Voorafgaand aan de sluiting van een overeenkomst betreffende de verlening van de in dit artikel bedoelde dataverwerkingsdiensten stelt de aanbieder van dataverwerkingsdiensten de potentiële klant in kennis van de verplichtingen van dit hoofdstuk die niet van toepassing zijn.

HOOFDSTUK VII

INTERNATIONALE OVERHEIDSTOEGANG EN OVERDRACHT VAN NIET-PERSOONSGEBONDEN GEGEVENS

Artikel 32

Internationale overheidstoegang en overdracht

1.   Aanbieders van dataverwerkingsdiensten nemen alle adequate technische, organisatorische en juridische maatregelen, waaronder overeenkomsten, om internationale overheidstoegang en toegang van overheden van derde landen, alsook overdracht van niet-persoonsgebonden gegevens die in de Unie zijn opgeslagen, te voorkomen indien die overdracht of toegang in strijd zou zijn met het Unierecht of met het nationale recht van de betrokken lidstaat, onverminderd lid 2 of lid 3.

2.   Elke beslissing of elke uitspraak van een rechterlijke instantie van een derde land en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een aanbieder van dataverwerkingsdiensten niet-persoonsgebonden gegevens die binnen het toepassingsgebied van deze verordening vallen en in de Unie zijn opgeslagen, moet overdragen of er toegang toe moet verlenen, wordt alleen op enigerlei wijze erkend of is alleen op enigerlei wijze afdwingbaar indien de beslissing, de uitspraak of het besluit gebaseerd is op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, die van kracht is tussen het verzoekende derde land en de Unie, of op een dergelijke overeenkomst tussen het verzoekende derde land en een lidstaat.

3.   Bij ontstentenis van een internationale overeenkomst als bedoeld in lid 2, vindt, indien een aanbieder van dataverwerkingsdiensten de geadresseerde is van een beslissing of uitspraak van een rechterlijke instantie van een derde land of een besluit van een administratieve autoriteit van een derde land om niet-persoonsgebonden gegevens die binnen het toepassingsgebied van deze verordening vallen en die in de Unie zijn opgeslagen, over te dragen of er toegang toe te verlenen, en de naleving van een dergelijke beslissing of uitspraak of een dergelijk besluit de geadresseerde in strijd zou kunnen brengen met het Unierecht of met het nationale recht van de betrokken lidstaat, de overdracht van of de toegang tot dergelijke gegevens door die autoriteit van het derde land alleen plaats indien:

a)

het bestel van het derde land voorschrijft dat de redenen voor en de evenredigheid van een dergelijke rechterlijke beslissing of uitspraak of een dergelijk besluit worden toegelicht, en dat die rechterlijke beslissing of uitspraak of dat besluit een specifiek karakter heeft, bijvoorbeeld doordat daarin een toereikend verband wordt gelegd met bepaalde verdachten of inbreuken;

b)

het gemotiveerde bezwaar van de geadresseerde getoetst wordt door een bevoegde rechterlijke instantie van het derde land, en

c)

de bevoegde rechterlijke instantie van het derde land die de rechterlijke beslissing neemt of de rechterlijke uitspraak doet of het besluit van een administratieve autoriteit toetst, uit hoofde van het recht van dat derde land gemachtigd is terdege rekening te houden met de relevante juridische belangen van de verstrekker van de gegevens die uit hoofde van het Unierecht of van het nationale recht van de betrokken lidstaat worden beschermd.

De geadresseerde van de beslissing of het besluit of de rechterlijke uitspraak kan het advies inwinnen van de nationale instantie of autoriteit die bevoegd is voor internationale samenwerking in juridische aangelegenheden, teneinde te bepalen of aan de in de eerste alinea vastgestelde voorwaarden wordt voldaan, met name wanneer hij van oordeel is dat de beslissing of het besluit betrekking kan hebben op bedrijfsgeheimen en andere commercieel gevoelige gegevens, alsook op door intellectuele-eigendomsrechten beschermde inhoud of dat de overdracht tot heridentificatie kan leiden. De bevoegde nationale instantie of autoriteit kan de Commissie raadplegen. Indien de geadresseerde van oordeel is dat de beslissing of het besluit of de rechterlijke uitspraak afbreuk kan doen aan de nationale veiligheids- of defensiebelangen van de Unie of haar lidstaten, wint hij het advies in van de betreffende nationale instantie of autoriteit om te bepalen of de gevraagde gegevens nationale veiligheids- of defensiebelangen van de Unie of haar lidstaten betreffen. Indien de geadresseerde binnen een maand geen antwoord heeft ontvangen of indien deze instanties of autoriteit in hun advies concluderen dat niet aan de in de eerste alinea vastgestelde voorwaarden wordt voldaan, kan de geadresseerde het verzoek om overdracht of toegang tot niet-persoonsgebonden gegevens op die gronden afwijzen.

Het Europees Comité voor gegevensinnovatie zoals bedoeld in artikel 42 adviseert en assisteert de Commissie bij het opstellen van richtsnoeren voor de beoordeling van de vraag of aan de voorwaarden van de eerste alinea wordt voldaan.

4.   Indien aan de voorwaarden van lid 2 of lid 3 wordt voldaan, verstrekt de aanbieder van dataverwerkingsdiensten de minimaal toestaanbare hoeveelheid gegevens in antwoord op een verzoek, op basis van de redelijke interpretatie van dat verzoek door de aanbieder of de relevante nationale instantie of autoriteit als bedoeld in lid 3, tweede alinea.

5.   De aanbieder van dataverwerkingsdiensten stelt de klant in kennis van het bestaan van een verzoek van een autoriteit van een derde land om toegang tot zijn gegevens te krijgen alvorens aan dit verzoek te voldoen, behalve indien het verzoek rechtshandhavingsdoeleinden dient en zolang dit noodzakelijk is om de doeltreffendheid van de rechtshandhavingsactiviteiten te waarborgen.

HOOFDSTUK VIII

INTEROPERABILITEIT

Artikel 33

Essentiële eisen inzake interoperabiliteit van gegevens, van mechanismen en diensten voor het delen van gegevens alsook van gemeenschappelijke Europese dataruimten

1.   Deelnemers aan dataruimten die gegevens of datadiensten aanbieden aan andere deelnemers, voldoen aan de volgende essentiële eisen om de interoperabiliteit van gegevens, van mechanismen en diensten voor gegevensdeling alsook van gemeenschappelijke Europese dataruimten die doel- of sectorspecifieke of sectoroverschrijdende interoperabele kaders voor gemeenschappelijke normen en praktijken op het gebied van het delen van gegevens of gezamenlijke dataverwerking vormen met het oog op onder meer de ontwikkeling van nieuwe producten en diensten, wetenschappelijk onderzoek of initiatieven van het maatschappelijk middenveld:

a)

de inhoud van de dataset, gebruiksbeperkingen, licenties, gegevensverzamelingsmethoden, gegevenskwaliteit en onzekerheid worden voldoende beschreven, indien van toepassing, in een machineleesbaar formaat om de ontvanger in staat te stellen de gegevens te vinden, te raadplegen en te gebruiken;

b)

de datastructuren, dataformaten, vocabularia, classificatieschema’s, taxonomieën en codelijsten worden, indien beschikbaar, op een voor het publiek toegankelijke en consistente wijze beschreven;

c)

de technische middelen om toegang te krijgen tot de gegevens, zoals application programming interfaces, en de bijbehorende gebruiksvoorwaarden en kwaliteit van de dienstverlening worden voldoende beschreven om automatische toegang tot en overdracht van gegevens tussen partijen mogelijk te maken, ook continu, in de vorm van bulksgewijze downloads of in realtime in een machineleesbaar formaat, indien dat technisch haalbaar is en de goede werking van het verbonden product niet belemmert;

d)

indien van toepassing wordt er voorzien in de middelen om de interoperabiliteit mogelijk te maken van instrumenten voor het automatiseren van de uitvoering van gegevensdelingsovereenkomsten, zoals slimme contracten.

De eisen kunnen een generiek karakter hebben of betrekking hebben op specifieke sectoren, waarbij ten volle rekening wordt gehouden met de samenhang met eisen die voortvloeien uit ander Unie- of nationaal recht.

2.   De Commissie is bevoegd overeenkomstig artikel 45 van deze verordening gedelegeerde handelingen vast te stellen om deze verordening aan te vullen, door de in lid 1 van dit artikel vastgelegde essentiële eisen nader te specificeren wat betreft die eisen welke door hun aard niet het beoogde effect kunnen sorteren tenzij zij nader worden gespecificeerd in bindende rechtshandelingen van de Unie, en teneinde de technologische en marktontwikkelingen naar behoren weer te geven.

De Commissie houdt bij de vaststelling van gedelegeerde handelingen rekening met het advies van het Europees Comité voor gegevensinnovatie overeenkomstig artikel 42, punt c), iii).

3.   De deelnemers aan dataruimten die gegevens of datadiensten aanbieden aan andere deelnemers aan dataruimten die voldoen aan de geharmoniseerde normen of delen daarvan, waarvan de referentie in het Publicatieblad van de Europese Unie is bekendgemaakt, worden geacht te voldoen aan de in lid 1 vastgelegde essentiële eisen, voor zover die eisen worden gedekt door deze geharmoniseerde normen of delen daarvan.

4.   De Commissie verzoekt op grond van artikel 10 van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties geharmoniseerde normen op te stellen die voldoen aan de in lid 1 van dit artikel vastgelegde essentiële eisen.

5.   De Commissie kan door middel van uitvoeringshandelingen gemeenschappelijke specificaties vaststellen voor een of alle van de in lid 1 vastgelegde essentiële eisen, indien aan de volgende voorwaarden is voldaan:

a)

de Commissie heeft overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties verzocht een geharmoniseerde norm op te stellen die voldoet aan de in lid 1 van dit artikel vastgelegde eisen en:

i)

het verzoek is niet aanvaard:

ii)

de geharmoniseerde normen die naar aanleiding van dat verzoek zijn ontwikkeld, is niet binnen de overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 vastgestelde termijn geleverd; of

iii)

de geharmoniseerde normen voldoen niet aan het verzoek, en

b)

er werd geen referentie van geharmoniseerde normen overeenkomstig Verordening (EU) nr. 1025/2012 bekendgemaakt in het Publicatieblad van de Europese Unie voor de desbetreffende in lid 1 van dit artikel vastgelegde essentiële eisen, en een dergelijke referentie zal naar verwachting niet binnen een redelijke termijn worden bekendgemaakt.

Die uitvoeringshandelingen worden volgens de in artikel 46, lid 2, bedoelde onderzoeksprocedure vastgesteld.

6.   Alvorens een in lid 5 van dit artikel bedoelde ontwerpuitvoeringshandeling op te stellen, stelt de Commissie het in artikel 22 van Verordening (EU) nr. 1025/2012 bedoelde comité ervan in kennis dat zij van oordeel is dat aan de voorwaarden van lid 5 van dit artikel is voldaan.

7.   Bij het opstellen van de ontwerpuitvoeringshandeling zoals bedoeld in lid 5 houdt de Commissie rekening met het advies van het Europees Comité voor gegevensinnovatie en met de standpunten van andere relevante organen of deskundigengroepen en raadpleegt zij alle relevante belanghebbenden.

8.   De deelnemers aan dataruimten die gegevens of datadiensten aan andere deelnemers aan dataruimten aanbieden die voldoen aan de gemeenschappelijke specificaties zoals vastgesteld bij de in lid 5 bedoelde uitvoeringshandelingen of delen daarvan, worden geacht in overeenstemming te zijn met de essentiële in lid 1 vastgelegde eisen voor zover die eisen door de gemeenschappelijke specificaties of delen daarvan gedekt zijn.

9.   Wanneer een Europese normalisatieorganisatie een geharmoniseerde norm vaststelt en deze aan de Commissie voorstelt met het oog op de bekendmaking van de referentie ervan in het Publicatieblad van de Europese Unie, beoordeelt de Commissie de geharmoniseerde norm overeenkomstig Verordening (EU) nr. 1025/2012. Wanneer de referentie van een geharmoniseerde norm in het Publicatieblad van de Europese Unie wordt bekendgemaakt, trekt de Commissie de in lid 5 van dit artikel bedoelde uitvoeringshandelingen of delen daarvan die dezelfde essentiële eisen dekken als die die zijn gedekt door die geharmoniseerde norm, in.

10.   Wanneer een lidstaat van oordeel is dat een gemeenschappelijke specificatie niet volledig aan de in lid 1 vastgelegde essentiële eisen voldoet, stelt deze lidstaat de Commissie daarvan in kennis door het indienen van een gedetailleerde toelichting. De Commissie beoordeelt die gedetailleerde toelichting en kan in voorkomend geval de uitvoeringshandeling tot vaststelling van de betrokken gemeenschappelijke specificatie wijzigen.

11.   De Commissie kan richtsnoeren vaststellen, rekening houdend met het voorstel van het Europees Comité voor gegevensinnovatie overeenkomstig artikel 30, punt h), van Verordening (EU) 2022/868 tot vaststelling van interoperabele kaders voor gemeenschappelijke normen en praktijken voor de werking van gemeenschappelijke Europese dataruimten.

Artikel 34

Interoperabiliteit met het oog op parallel gebruik van dataverwerkingsdiensten

1.   De in de artikelen 23 en 24, artikel 25, lid 2, punten a), ii) en iv), e), en f), en artikel 30, leden 2 tot en met 5, vastgestelde vereisten zijn tevens van overeenkomstige toepassing op aanbieders van dataverwerkingsdiensten om de interoperabiliteit met het oog op parallel gebruik van dataverwerkingsdiensten te vergemakkelijken.

2.   Wanneer een dataverwerkingsdienst parallel met een andere dataverwerkingsdienst wordt gebruikt, mogen de aanbieders van dataverwerkingsdiensten gegevensextractievergoedingen opleggen, maar alleen voor het doorberekenen van de gemaakte gegevensextractiekosten, zonder dergelijke kosten te overschrijden.

Artikel 35

Interoperabiliteit voor dataverwerkingsdiensten

1.   Open interoperabiliteitsspecificaties en geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten voldoen aan het volgende:

a)

zij bereiken, voor zover technisch haalbaar, interoperabiliteit tussen verschillende dataverwerkingsdiensten die hetzelfde type dienst dekken;

b)

zij verbeteren de overdraagbaarheid van digitale activa tussen verschillende dataverwerkingsdiensten die hetzelfde type dienst dekken;

c)

zij faciliteren, voor zover technisch haalbaar, de functionele gelijkwaardigheid tussen de in artikel 30, lid 1, bedoelde dataverwerkingsdiensten die hetzelfde type dienst dekken;

d)

zij hebben geen negatieve gevolgen voor de veiligheid en integriteit van dataverwerkingsdiensten;

e)

zij zijn zodanig ontworpen dat zij technische vooruitgang en de opneming van nieuwe functies en innovatie in dataverwerkingsdiensten mogelijk maken.

2.   Open interoperabiliteitsspecificaties en geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten pakken de volgende aspecten naar behoren aan:

a)

de aspecten van cloudinteroperabiliteit in het vervoer, syntactische interoperabiliteit, semantische data-interoperabiliteit, gedragsinteroperabiliteit en beleidsinteroperabiliteit;

b)

de overdraagbaarheidsaspecten van cloudgegevens inzake syntactische en semantische overdraagbaarheid van gegevens en overdraagbaarheid van het gegevensbeleid;

c)

de cloudtoepassingsaspecten van applicatiesyntactische overdraagbaarheid, applicatie-instructieportabiliteit, overdraagbaarheid van applicatiemetagegevens, overdraagbaarheid van applicatiegedrag en overdraagbaarheid van het applicatiebeleid.

3.   Open interoperabiliteitsspecificaties voldoen aan bijlage II bij Verordening (EU) nr. 1025/2012.

4.   Na rekening te hebben gehouden met relevante internationale en Europese normen en initiatieven op het gebied van zelfregulering, kan de Commissie overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties verzoeken geharmoniseerde normen op te stellen die voldoen aan de in de leden 1 en 2 van dit artikel vastgelegde essentiële eisen.

5.   De Commissie kan door middel van uitvoeringshandelingen gemeenschappelijke specificaties vaststellen op basis van open interoperabiliteitsspecificaties die alle in de leden 1 en 2 vastgelegde essentiële eisen dekken.

6.   Bij de opstelling van de in lid 5 van dit artikel bedoelde ontwerpuitvoeringshandeling houdt de Commissie rekening met de standpunten van de in artikel 37, lid 5, punt h), bedoelde relevante bevoegde autoriteiten en andere relevante instanties of deskundigengroepen en raadpleegt zij naar behoren alle relevante belanghebbenden.

7.   Wanneer een lidstaat van oordeel is dat een gemeenschappelijke specificatie niet volledig aan de in de leden 1 en 2 vastgelegde essentiële eisen voldoet, stelt deze lidstaat de Commissie daarvan in kennis door het indienen van een gedetailleerde toelichting. De Commissie beoordeelt die gedetailleerde informatie en kan in voorkomend geval de uitvoeringshandeling tot vaststelling van de betrokken gemeenschappelijke specificatie wijzigen.

8.   Voor de toepassing van artikel 30, lid 3, maakt de Commissie door middel van uitvoeringshandelingen, in een centraal Unieregister voor normen voor de interoperabiliteit van dataverwerkingsdiensten, de referentie bekend van geharmoniseerde normen en gemeenschappelijke specificaties voor de interoperabiliteit van dataverwerkingsdiensten.

9.   De in dit artikel bedoelde uitvoeringshandelingen worden vastgesteld volgens de in artikel 46, lid 2, bedoelde onderzoeksprocedure.

Artikel 36

Essentiële eisen met betrekking tot slimme contracten voor het uitvoeren van gegevensdelingsovereenkomsten

1.   De verkoper van een applicatie die gebruikmaakt van slimme contracten of, bij het ontbreken daarvan, de persoon van wie de handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van de uitvoering van een overeenkomst of een deel daarvan voor het beschikbaar stellen van gegevens inhoudt, zorgt ervoor dat die slimme contracten voldoen aan de volgende essentiële eisen van:

a)

robuustheid en toegangscontrole, om ervoor te zorgen dat het slimme contract zo is ontworpen dat het toegangscontrolemechanismen en een zeer hoge mate van robuustheid biedt om functionele fouten te voorkomen en manipulatie door derden te weerstaan;

b)

veilige beëindiging en onderbreking, om ervoor te zorgen dat er een mechanisme bestaat om de doorlopende uitvoering van transacties te beëindigen en dat het slimme contract interne functies omvat die de overeenkomst kunnen resetten of de opdracht kunnen geven de verrichting stop te zetten of te onderbreken, met name om toekomstige accidentele uitvoeringen ervan te voorkomen;

c)

archivering en continuïteit van gegevens, om ervoor te zorgen dat, in gevallen waarin een slim contract moet worden beëindigd of gedeactiveerd, de mogelijkheid bestaat om de transactiegegevens, alsook de slimme-contractlogica en -code te archiveren teneinde verrichtingen die in het verleden op de gegevens zijn uitgevoerd, te registreren (controleerbaarheid);

d)

toegangscontrole, om ervoor te zorgen dat een slim contract wordt beschermd door middel van strikte toegangscontrolemechanismen in de beheers- en slimme-contractlagen, en

e)

consistentie, om te zorgen voor consistentie met de voorwaarden van de gegevensdelingsovereenkomst die door het slimme contract wordt uitgevoerd.

2.   De verkoper van een slim contract of, bij het ontbreken daarvan, de persoon van wie de handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van de uitvoering van een overeenkomst of een deel daarvan voor het beschikbaar stellen van gegevens inhoudt, voert een conformiteitsbeoordeling uit om aan de in lid 1 vastgelegde essentiële eisen te voldoen en geeft, indien aan die eisen is voldaan, een EU-conformiteitsverklaring af.

3.   Door een EU-conformiteitsverklaring af te geven is de verkoper van een toepassing die gebruikmaakt van slimme contracten of, bij het ontbreken daarvan, de persoon van wie de handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van de uitvoering van een overeenkomst of een deel daarvan, voor het beschikbaar stellen van gegevens inhoudt, verantwoordelijk voor de conformiteit met de in lid 1 vastgelegde essentiële eisen.

4.   Een slim contract dat voldoet aan de geharmoniseerde normen of de relevante delen daarvan, waarvan de referenties in het Publicatieblad van de Europese Unie worden bekendgemaakt, wordt geacht in overeenstemming te zijn met de in lid 1 vastgelegde essentiële eisen, voor zover die eisen door die geharmoniseerde normen of delen daarvan worden gedekt.

5.   De Commissie verzoekt op grond van artikel 10 van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties geharmoniseerde normen op te stellen die voldoen aan de in lid 1 van dit artikel vastgelegde essentiële eisen.

6.   De Commissie kan door middel van uitvoeringshandelingen gemeenschappelijke specificaties vaststellen voor een of alle van de in lid 1 vastgelegde essentiële eisen indien aan de volgende voorwaarden is voldaan:

a)

de Commissie heeft overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties verzocht een geharmoniseerde norm op te stellen die voldoet aan de in lid 1 van dit artikel vastgelegde essentiële eisen en:

i)

het verzoek is niet aanvaard;

ii)

de geharmoniseerde normen waarop dat verzoek is gericht, zijn niet binnen de overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 vastgestelde termijn geleverd; of

iii)

de geharmoniseerde normen voldoen niet aan het verzoek, en

b)

er wordt geen referentie van geharmoniseerde normen overeenkomstig Verordening (EU) nr. 1025/2012 bekendgemaakt in het Publicatieblad van de Europese Unie voor de desbetreffende in lid 1 van dit artikel vastgelegde essentiële eisen, en een dergelijke referentie zal naar verwachting niet binnen een redelijke termijn worden bekendgemaakt.

Die uitvoeringshandelingen worden volgens de in artikel 46, lid 2, bedoelde onderzoeksprocedure vastgesteld.

7.   Alvorens een in lid 6 van dit artikel bedoelde ontwerpuitvoeringshandeling op te stellen, stelt de Commissie het in artikel 22 van Verordening (EU) nr. 1025/2012 bedoelde comité ervan in kennis dat zij van oordeel is dat aan de voorwaarden van lid 6 van dit artikel is voldaan.

8.   Bij het opstellen van de in lid 6 bedoelde ontwerpuitvoeringshandeling houdt de Commissie rekening met het advies van het Europees Comité voor gegevensinnovatie en de standpunten van andere relevante organen of deskundigengroepen en raadpleegt zij alle relevante belanghebbenden.

9.   De verkoper van een slim contract of, bij het ontbreken daarvan, de persoon van wie de handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van de uitvoering van een overeenkomst of een deel daarvan, voor het beschikbaar stellen van gegevens inhoudt die voldoen aan de gemeenschappelijke specificaties zoals vastgesteld bij de in lid 6 bedoelde uitvoeringshandelingen of delen daarvan, wordt geacht in overeenstemming te zijn met de in lid 1 vastgelegde essentiële eisen voor zover deze eisen door die gemeenschappelijke specificaties of delen daarvan gedekt zijn.

10.   Wanneer een Europese normalisatieorganisatie een geharmoniseerde norm vaststelt en deze aan de Commissie voorstelt met het oog op de bekendmaking van de referentie ervan in het Publicatieblad van de Europese Unie, beoordeelt de Commissie de geharmoniseerde norm overeenkomstig Verordening (EU) nr. 1025/2012. Wanneer de referentie van een geharmoniseerde norm in het Publicatieblad van de Europese Unie wordt bekendgemaakt, trekt de Commissie de in lid 6 van dit artikel bedoelde uitvoeringshandelingen of delen daarvan die dezelfde essentiële eisen dekken als die welke door die geharmoniseerde norm zijn gedekt, in.

11.   Wanneer een lidstaat van oordeel is dat een gemeenschappelijke specificatie niet volledig aan de in lid 1 vastgelegde essentiële eisen voldoet, stelt deze lidstaat de Commissie daarvan in kennis door het indienen van een gedetailleerde toelichting. De Commissie beoordeelt die gedetailleerde toelichting en kan in voorkomend geval de uitvoeringshandeling tot vaststelling van de betrokken gemeenschappelijke specificatie wijzigen.

HOOFDSTUK IX

UITVOERING EN HANDHAVING

Artikel 37

Bevoegde autoriteiten en datacoördinatoren

1.   Elke lidstaat wijst een of meer autoriteiten aan die bevoegd zijn voor de uitvoering en handhaving van deze verordening (bevoegde autoriteiten). De lidstaten kunnen een of meer nieuwe autoriteiten oprichten of een beroep doen op bestaande autoriteiten.

2.   Indien een lidstaat meer dan één bevoegde autoriteit aanwijst, wijst hij onder deze bevoegde autoriteiten een datacoördinator aan om de samenwerking tussen hen te vergemakkelijken en entiteiten binnen het toepassingsgebied van deze verordening bij te staan in alle aangelegenheden die verband houden met de toepassing en handhaving ervan. Bij de uitoefening van de hun krachtens lid 5 toegewezen taken en bevoegdheden werken de bevoegde autoriteiten met elkaar samen.

3.   De toezichthoudende autoriteiten die verantwoordelijk zijn voor het toezicht op de toepassing van Verordening (EU) 2016/679, zijn verantwoordelijk voor het toezicht op de toepassing van deze verordening wat de bescherming van persoonsgegevens betreft. De hoofdstukken VI en VII van Verordening (EU) 2016/679 zijn van overeenkomstige toepassing.

De Europese Toezichthouder voor gegevensbescherming is verantwoordelijk voor het toezicht op de toepassing van deze verordening voor zover deze betrekking heeft op de Commissie, de Europese Centrale Bank of organen van de Unie. In voorkomend geval is artikel 62 van Verordening (EU) 2018/1725 van overeenkomstige toepassing.

De in dit lid bedoelde taken en bevoegdheden van de toezichthoudende autoriteiten worden uitgeoefend met betrekking tot de verwerking van persoonsgegevens.

4.   Onverminderd lid 1 van dit artikel:

a)

wordt de bevoegdheid van de sectorale autoriteiten voor specifieke sectorale toegang tot gegevens en specifiek sectoraal gegevensgebruik in verband met de toepassing van deze verordening geëerbiedigd;

b)

heeft de bevoegde autoriteit die verantwoordelijk is voor de toepassing en handhaving van de artikelen 23 tot en met 31 en de artikelen 34 en 35, ervaring op het gebied van gegevens en elektronische-communicatiediensten.

5.   De lidstaten zorgen ervoor dat de taken en bevoegdheden van de bevoegde autoriteiten duidelijk omschreven zijn en het volgende omvatten:

a)

datageletterdheid en bewustmaking over de rechten en verplichtingen uit hoofde van deze verordening bevorderen bij gebruikers en entiteiten die binnen het toepassingsgebied van deze verordening vallen;

b)

klachten over vermeende overtredingen op deze verordening behandelen, ook met betrekking tot bedrijfsgeheimen, de inhoud van klachten onderzoeken in de mate waarin dat gepast is en klagers, indien relevant overeenkomstig het nationale recht, regelmatig en binnen een redelijke termijn in kennis stellen van de voortgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere bevoegde autoriteit noodzakelijk is;

c)

onderzoek verrichten naar zaken die betrekking hebben op de toepassing van deze verordening, onder meer op basis van informatie die van een andere bevoegde autoriteit of een andere overheidsinstantie is ontvangen;

d)

doeltreffende, evenredige en afschrikkende financiële sancties opleggen, waaronder dwangsommen en sancties met terugwerkende kracht, of gerechtelijke procedures voor het opleggen van geldboetes inleiden;

e)

toezicht houden op technologische en relevante commerciële ontwikkelingen die relevant zijn voor het beschikbaar stellen en gebruiken van gegevens;

f)

samenwerken met de bevoegde autoriteiten van andere lidstaten en indien relevant met de Commissie of het Europees Comité voor gegevensinnovatie, om de consistente en efficiënte toepassing van deze verordening te waarborgen, waaronder het onverwijld elektronisch uitwisselen van alle relevante informatie, ook met betrekking tot lid 10 van dit artikel;

g)

samenwerken met de relevante bevoegde autoriteiten die verantwoordelijk zijn voor de uitvoering van andere Unie- of nationale rechtshandelingen, onder meer met autoriteiten die bevoegd zijn op het gebied van gegevens en elektronische-communicatiediensten, met de toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de toepassing van Verordening (EU) 2016/679 of met sectorale autoriteiten om te waarborgen dat deze verordening in overeenstemming met andere Unie- en nationale wetgeving wordt gehandhaafd;

h)

samenwerken met de relevante bevoegde autoriteiten om ervoor te zorgen dat de verplichtingen van de artikelen 23 tot en met 31 en de artikelen 34 en 35 worden gehandhaafd in overeenstemming met ander Unierecht en zelfregulering die van toepassing zijn op aanbieders van dataverwerkingsdiensten;

i)

ervoor zorgen dat de overstapkosten overeenkomstig artikel 29 worden ingetrokken;

j)

de verzoeken om gegevens uit hoofde van hoofdstuk V onderzoeken.

Indien er een datacoördinator is aangewezen, faciliteert deze de in de eerste alinea, punten f), g) en h), bedoelde samenwerking en staat hij de bevoegde autoriteiten op hun verzoek bij.

6.   De datacoördinator, indien een dergelijke bevoegde autoriteit is aangewezen:

a)

treedt op als centraal contactpunt voor alle kwesties in verband met de toepassing van deze verordening;

b)

waarborgt dat verzoeken van overheidsinstanties om gegevens beschikbaar te stellen in het geval van een uitzonderlijke noodzaak uit hoofde van hoofdstuk V online openbaar beschikbaar zijn, en bevordert vrijwillige gegevensdelingsovereenkomsten tussen overheidsinstanties en gegevenshouders;

c)

stelt de Commissie jaarlijks in kennis van de weigeringen waarvan overeenkomstig artikel 4, leden 2 en 8, en artikel 5, lid 11, kennis is gegeven.

7.   De lidstaten stellen de Commissie in kennis van de namen van de bevoegde autoriteiten en van hun taken en bevoegdheden en, indien van toepassing, de naam van de gegevenscoördinator. De Commissie houdt een openbaar register van deze autoriteiten bij.

8.   Bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig deze verordening blijven de bevoegde autoriteiten onpartijdig en vrij van enige, directe of indirecte, invloed van buitenaf, en vragen noch aanvaarden zij voor individuele gevallen instructies van andere overheidsinstanties of particuliere partijen.

9.   De lidstaten zorgen ervoor dat de bevoegde autoriteiten over voldoende personele en technische middelen beschikken alsook de relevante expertise om hun taken overeenkomstig deze verordening doeltreffend uit te voeren.

10.   Entiteiten die binnen het toepassingsgebied van deze verordening vallen, vallen onder de bevoegdheid van de lidstaat waar de entiteit is gevestigd. Indien de entiteit in meer dan een lidstaat is gevestigd, wordt zij geacht onder de bevoegdheid te vallen van de lidstaat waar zij haar hoofdvestiging heeft, dat is waar het hoofdkantoor of de statutaire zetel van de entiteit zich bevindt, van waaruit de voornaamste financiële functies en de operationele controle worden uitgeoefend.

11.   Elke binnen het toepassingsgebied van deze verordening vallende entiteit die in de Unie verbonden producten of diensten aanbiedt en niet in de Unie is gevestigd, wijst een wettelijke vertegenwoordiger aan in een van de lidstaten.

12.   Met het oog op de naleving van deze verordening wordt een wettelijke vertegenwoordiger gemachtigd door een binnen het toepassingsgebied van deze verordening vallende entiteit die in de Unie verbonden producten of diensten aanbiedt, zodat de bevoegde autoriteiten zich ook of in plaats van tot de entiteit, tot hem kunnen richten voor alle aangelegenheden die verband houden met die entiteit. Die wettelijke vertegenwoordiger werkt samen met de bevoegde autoriteiten en toont hun op verzoek de maatregelen en voorzieningen die zijn getroffen door de binnen het toepassingsgebied van deze verordening vallende entiteit die in de Unie verbonden producten of diensten aanbiedt, teneinde de naleving van deze verordening te waarborgen.

13.   Een binnen het toepassingsgebied van deze verordening vallende entiteit die in de Unie verbonden producten of diensten aanbiedt, wordt geacht te vallen onder de bevoegdheid van de lidstaat waar haar wettelijke vertegenwoordiger is gevestigd. De aanwijzing van een wettelijke vertegenwoordiger door een dergelijke entiteit doet geen afbreuk aan de aansprakelijkheid van een dergelijke entiteit en aan eventuele rechtsvorderingen die tegen haar kunnen worden ingesteld. Totdat een entiteit overeenkomstig dit artikel een wettelijke vertegenwoordiger aanwijst, valt zij, in voorkomend geval, onder de bevoegdheid van alle lidstaten teneinde de toepassing en handhaving van deze verordening te waarborgen. Elke bevoegde autoriteit kan haar bevoegdheid uitoefenen, onder meer door doeltreffende, evenredige en afschrikkende sancties op te leggen, mits de entiteit met betrekking tot dezelfde feiten niet door een andere bevoegde autoriteit onderworpen is aan een handhavingsprocedure uit hoofde van deze verordening.

14.   Bevoegde autoriteiten hebben de bevoegdheid om van gebruikers, gegevenshouders of gegevensontvangers, of hun wettelijke vertegenwoordigers, die onder de bevoegdheid van hun lidstaat vallen, alle informatie op te vragen die nodig is om na te gaan of aan deze verordening is voldaan. Een verzoek om informatie moet in verhouding staan tot de uitvoering van de onderliggende taak en moet worden gemotiveerd.

15.   Indien een bevoegde autoriteit in een lidstaat om bijstand of handhavingsmaatregelen van een bevoegde autoriteit in een andere lidstaat verzoekt, dient zij een gemotiveerd verzoek in. Na ontvangst van een dergelijk verzoek geeft een bevoegde autoriteit onverwijld een antwoord met een gedetailleerde beschrijving van de maatregelen die zijn genomen of gepland.

16.   Bevoegde autoriteiten eerbiedigen het vertrouwelijkheidsbeginsel en het beroeps- en handelsgeheim, en beschermen persoonsgegevens overeenkomstig het Unie-of nationale recht. Alle informatie die naar aanleiding van een verzoek om bijstand wordt uitgewisseld en wordt verstrekt uit hoofde van dit artikel, wordt uitsluitend gebruikt in verband met de aangelegenheid waarvoor zij is gevraagd.

Artikel 38

Recht om een klacht in te dienen

1.   Onverminderd andere mogelijkheden van administratief beroep of beroep in rechte hebben natuurlijke en rechtspersonen het recht om individueel of, in voorkomend geval, collectief een klacht in te dienen bij de relevante bevoegde autoriteit in de lidstaat waar zij hun gewone verblijfplaats, werkplek of vestiging hebben, indien zij van mening zijn dat hun rechten uit hoofde van deze verordening zijn geschonden. De datacoördinator verstrekt natuurlijke en rechtspersonen op verzoek alle benodigde informatie om hun klachten bij de juiste bevoegde autoriteit in te dienen.

2.   De bevoegde autoriteit waarbij de klacht is ingediend, stelt de klager overeenkomstig het nationale recht in kennis van het verloop van de procedure en van het genomen besluit.

3.   De bevoegde autoriteiten werken samen om klachten doeltreffend en tijdig te behandelen en op te lossen, onder meer door onverwijld alle relevante informatie elektronisch uit te wisselen. Deze samenwerking doet geen afbreuk aan de samenwerkingsmechanismes waarin de hoofdstukken VI en VII van Verordening (EU) 2016/679, alsook Verordening (EU) 2017/2394 voorzien.

Artikel 39

Recht op een doeltreffende voorziening in rechte

1.   Niettegenstaande een administratief of ander buitengerechtelijk beroep, heeft elke betrokken natuurlijke of rechtspersoon recht op een doeltreffende voorziening in rechte tegen juridisch bindende besluiten die door bevoegde autoriteiten zijn genomen.

2.   Indien een bevoegde autoriteit nalaat gevolg te geven aan een klacht, hebben betrokken natuurlijke en rechtspersonen, overeenkomstig het nationale recht, recht op een doeltreffende voorziening in rechte of op toetsing door een onpartijdige instantie met de nodige expertise.

3.   Procedures op grond van dit artikel worden ingesteld bij een rechterlijke instantie van de lidstaat van de bevoegde autoriteit waartegen het rechtsmiddel wordt ingesteld, hetzij individueel, hetzij, in voorkomend geval, collectief door de vertegenwoordigers van een of meer natuurlijke of rechtspersonen.

Artikel 40

Sancties

1.   De lidstaten stellen voorschriften vast ten aanzien van de sancties voor inbreuken op deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

2.   De lidstaten stellen de Commissie uiterlijk op 12 september 2025 van die voorschriften en maatregelen in kennis en delen haar onverwijld alle latere wijzigingen daarvan mee. De Commissie houdt een gemakkelijk toegankelijk openbaar register van die maatregelen bij en actualiseert dit regelmatig.

3.   De lidstaten houden rekening met de aanbevelingen van het Europees Comité voor gegevensinnovatie en de volgende niet-uitputtende criteria voor het opleggen van sancties voor inbreuken op deze verordening:

a)

de aard, de ernst, de omvang en de duur van de inbreuk;

b)

door de inbreukmakende partij ondernomen actie om de schade als gevolg van de inbreuk te beperken of te herstellen;

c)

eerdere inbreuken van de inbreukmakende partij;

d)

de door de inbreukmakende partij verkregen financiële voordelen of vermeden verliezen als gevolg van de inbreuk, voor zover deze voordelen of verliezen op betrouwbare wijze kunnen worden vastgesteld;

e)

andere verzwarende of verzachtende factoren die van toepassing zijn op de omstandigheden van de zaak;

f)

de jaaromzet van de inbreukmakende partij in het voorgaande boekjaar in de Unie.

4.   Voor inbreuken op de verplichtingen in de hoofdstukken II, III en V van deze verordening kunnen de voor de toepassing van Verordening (EU) 2016/679 verantwoordelijke toezichthoudende autoriteiten binnen hun bevoegdheidssfeer administratieve geldboetes opleggen overeenkomstig artikel 83 van Verordening (EU) 2016/679, welke kunnen oplopen tot het in artikel 83, lid 5, van die verordening bedoelde bedrag.

5.   Voor inbreuken op de verplichtingen in hoofdstuk V van deze verordening kan de Europese Toezichthouder voor gegevensbescherming binnen zijn bevoegdheidssfeer administratieve geldboetes opleggen overeenkomstig artikel 66 van Verordening (EU) 2018/1725, die kunnen oplopen tot het in artikel 66, lid 3, van die verordening bedoelde bedrag.

Artikel 41

Modelcontractvoorwaarden en standaardcontractbepalingen

Vóór 12 september 2025 ontwikkelt de Commissie niet-bindende modelcontractvoorwaarden inzake de toegang tot en het gebruik van gegevens en beveelt zij deze aan, met inbegrip van voorwaarden over redelijke vergoeding en de bescherming van bedrijfsgeheimen, alsook niet-bindende standaardcontractbepalingen voor cloudcomputingovereenkomsten teneinde partijen bij te staan bij het opstellen van en onderhandelen over overeenkomsten met eerlijke, redelijke en niet-discriminerende contractuele rechten en verplichtingen.

Artikel 42

Rol van het Europees Comité voor gegevensinnovatie

Het Europees Comité voor gegevensinnovatie, dat door de Commissie is opgericht als een deskundigengroep op grond van artikel 29 van Verordening (EU) 2022/868 en waarin de bevoegde autoriteiten zijn vertegenwoordigd, ondersteunt de consistente toepassing van deze verordening door:

a)

de Commissie te adviseren en bij te staan bij de ontwikkeling van een consistente praktijk van de bevoegde autoriteiten bij de handhaving van de hoofdstukken II, III, V en VII;

b)

samenwerking tussen de bevoegde autoriteiten te faciliteren door middel van capaciteitsopbouw en informatie-uitwisseling, met name door methoden vast te stellen voor efficiënte informatie-uitwisseling met betrekking tot de handhaving van de rechten en plichten uit hoofde van de hoofdstukken II, III en V in grensoverschrijdende zaken, met inbegrip van coördinatie met betrekking tot de vaststelling van sancties;

c)

de Commissie te adviseren en bij te staan met betrekking tot het volgende:

i)

of er al dan niet moet worden verzocht om de opstelling van geharmoniseerde normen als bedoeld in artikel 33, lid 4, artikel 35, lid 4, en artikel 36, lid 5;

ii)

de voorbereiding van de ontwerpuitvoeringshandelingen bedoeld in artikel 33, lid 5, artikel 35, leden 5 en 8, en artikel 36, lid 6;

iii)

de voorbereiding van de gedelegeerde handelingen bedoeld in artikel 29, lid 7, en artikel 33, lid 2, en

iv)

de vaststelling van de in artikel 33, lid 11, bedoelde richtsnoeren tot vaststelling van interoperabele kaders voor gemeenschappelijke normen en praktijken voor de werking van gemeenschappelijke Europese dataruimten.

HOOFDSTUK X

SUI-GENERIS-RECHT KRACHTENS RICHTLIJN 96/9/EG

Artikel 43

Databanken die bepaalde gegevens bevatten

Het in artikel 7 van Richtlijn 96/9/EG bedoelde sui-generis-recht is niet van toepassing wanneer gegevens worden verkregen uit of gegenereerd door een verbonden product dat of gerelateerde dienst die binnen het toepassingsgebied van deze verordening valt, met name met betrekking tot de artikelen 4 en 5 daarvan.

HOOFDSTUK XI

SLOTBEPALINGEN

Artikel 44

Andere Unierechtshandelingen betreffende rechten en verplichtingen inzake de toegang tot en het gebruik van gegevens

1.   De specifieke verplichtingen voor het beschikbaar stellen van gegevens tussen bedrijven onderling, tussen bedrijven en consumenten, en bij wijze van uitzondering tussen bedrijven en overheidsinstanties, in Unierechtshandelingen die op of vóór 11 januari 2024 in werking zijn getreden, en de gedelegeerde of uitvoeringshandelingen op grond daarvan, blijven onverlet.

2.   Deze verordening doet geen afbreuk aan het Unierecht waarin, gezien de behoeften van een sector, een gemeenschappelijke Europese dataruimte of een gebied van algemeen belang, verdere vereisten worden vastgesteld, met name met betrekking tot:

a)

technische aspecten van de toegang tot gegevens;

b)

beperkingen van het recht van gegevenshouders op toegang tot of gebruik van bepaalde door gebruikers verstrekte gegevens;

c)

aspecten die verder gaan dan de toegang tot en het gebruik van gegevens.

3.   Deze verordening, met uitzondering van hoofdstuk V, doet geen afbreuk aan het Unierecht en het nationale recht die voorzien in toegang tot en toestemming voor het gebruik van gegevens voor wetenschappelijk onderzoek.

Artikel 45

Uitoefening van de bevoegdheidsdelegatie

1.   De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.   De in artikel 29, lid 7, en artikel 33, lid 2, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van 11 januari 2024.

3.   Het Europees Parlement of de Raad kan de in artikel 29, lid 7, en artikel 33, lid 2, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.   Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5.   Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

6.   Een op grond van artikel 29, lid 7, of artikel 33, lid 2, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van drie maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad vóór het verstrijken van die termijn de Commissie hebben meegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met drie maanden verlengd.

Artikel 46

Comitéprocedure

1.   De Commissie wordt bijgestaan door het bij Verordening (EU) 2022/868 ingestelde comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 47

Wijziging van Verordening (EU) 2017/2394

Aan de bijlage bij Verordening (EU) 2017/2394 wordt het volgende punt toegevoegd:

“29.

Verordening (EU) 2023/2854 van het Europees Parlement en de Raad van 13 december 2023 betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van gegevens en tot wijziging van Verordening (EU) 2017/2394 en Richtlijn (EU) 2020/1828 (Dataverordening) (PB L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).”.

Artikel 48

Wijziging van Richtlijn (EU) 2020/1828

In bijlage I bij Richtlijn (EU) 2020/1828 wordt het volgende punt toegevoegd:

“68.

Verordening (EU) 2023/2854 van het Europees Parlement en de Raad van 13 december 2023 betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van gegevens en tot wijziging van Verordening (EU) 2017/2394 en Richtlijn (EU) 2020/1828 (Dataverordening) (PB L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).”.

Artikel 49

Evaluatie en herziening

1.   Uiterlijk op 12 september 2028 voert de Commissie een evaluatie van deze verordening uit en brengt zij over de belangrijkste bevindingen verslag uit aan het Europees Parlement en de Raad, en aan het Europees Economisch en Sociaal Comité. In het kader van deze evaluatie wordt met name het volgende beoordeeld:

a)

situaties die moeten worden beschouwd als situaties van uitzonderlijke noodzaak voor de toepassing van artikel 15 van deze verordening en de toepassing in de praktijk van hoofdstuk V van deze verordening, met name de ervaring met de toepassing van hoofdstuk V van deze verordening door overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie; het aantal procedures dat op grond van artikel 18, lid 5, bij de bevoegde autoriteit is ingesteld met betrekking tot de toepassing van hoofdstuk V van deze verordening, zoals gerapporteerd door de bevoegde autoriteiten, en het resultaat van die procedures; het effect van andere verplichtingen die in het Unie- of nationale recht zijn vastgelegd met betrekking tot de inwilliging van verzoeken om toegang tot informatie; het effect van vrijwillige mechanismen voor het delen van gegevens, zoals die zijn opgezet uit hoofde van Verordening (EU) 2022/868 erkende organisaties voor data-altruïsme, op de verwezenlijking van de doelstellingen van hoofdstuk V van deze verordening, en de rol van persoonsgegevens in het kader van artikel 15 van deze verordening, met inbegrip van de ontwikkeling van privacybevorderende technologieën;

b)

het effect van deze verordening op het gebruik van gegevens in de economie, onder meer op gegevensinnovatie, praktijken in verband met het te gelde maken van gegevens, en databemiddelingsdiensten, alsook op het delen van data binnen de gemeenschappelijke Europese dataruimten;

c)

de toegankelijkheid en het gebruik van verschillende categorieën en soorten gegevens;

d)

de uitsluiting van bepaalde categorieën ondernemingen als begunstigden op grond van artikel 5;

e)

het uitblijven van gevolgen voor intellectuele-eigendomsrechten;

f)

de gevolgen voor bedrijfsgeheimen, met inbegrip van de bescherming tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken ervan, alsook de gevolgen van het mechanisme dat de gegevenshouder in staat stelt het verzoek van de gebruiker af te wijzen uit hoofde van artikel 4, lid 8, en artikel 5, lid 11., voort zoveel mogelijk rekening houdend met de herziening van Richtlijn (EU) 2016/943;

g)

of de in artikel 13 bedoelde lijst van oneerlijke contractuele bedingen actueel is in het licht van nieuwe bedrijfspraktijken en het snelle tempo van marktinnovatie;

h)

veranderingen in de contractuele praktijken van aanbieders van dataverwerkingsdiensten en of dit leidt tot toereikende naleving van artikel 25;

i)

de verlaging van de kosten die aanbieders van dataverwerkingsdiensten voor het overstapproces opleggen, in overeenstemming met de geleidelijke afschaffing van de overstapkosten overeenkomstig artikel 29;

j)

de wisselwerking tussen deze verordening en andere Unierechtshandelingen die relevant zijn voor de data-economie;

k)

het voorkomen van onrechtmatige overheidstoegang tot niet-persoonsgebonden gegevens;

l)

de doeltreffendheid van de krachtens artikel 37 vereiste handhavingsregeling;

m)

het effect van deze verordening op kmo’s met betrekking tot hun innovatiecapaciteit en tot de beschikbaarheid van dataverwerkingsdiensten voor gebruikers in de Unie en tot de lasten bij de nakoming van nieuwe verplichtingen.

2.   Uiterlijk op 12 september 2028 voert de Commissie een evaluatie van deze verordening uit en brengt zij een verslag uit over de belangrijkste bevindingen aan het Europees Parlement en de Raad, alsmede aan het Europees Economisch en Sociaal Comité. Bij die evaluatie wordt het effect van de artikelen 23 tot en met 31 en de artikelen 34 en 35 bedoelde bepalingen beoordeeld, met name wat betreft de prijsstelling en de diversiteit van de in de Unie aangeboden dataverwerkingsdiensten, met bijzondere aandacht voor aanbieders die kmo’s zijn.

3.   De lidstaten verstrekken de Commissie de nodige informatie voor het opstellen van de in de leden 1 en 2 bedoelde verslagen.

4.   Op basis van de in de leden 1 en 2 bedoelde verslagen kan de Commissie zo nodig bij het Europees Parlement en de Raad een wetgevingsvoorstel indienen om deze verordening te wijzigen.

Artikel 50

Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Zij is van toepassing met ingang van 12 september 2025.

De uit artikel 3, lid 1, voortvloeiende verplichting is van toepassing op verbonden producten en de daaraan gerelateerde diensten die na 12 september 2026.

Hoofdstuk III is van toepassing met betrekking tot verplichtingen om gegevens beschikbaar te stellen op grond van het Unierecht of op grond van overeenkomstig het Unierecht vastgestelde nationale wetgeving die na 12 september 2025 in werking treedt.

Hoofdstuk IV is van toepassing op overeenkomsten die na 12 september 2025.

Hoofdstuk IV is met ingang van 12 september 2027 van toepassing op overeenkomsten die op of vóór 12 september 2025 zijn gesloten mits zij:

a)

van onbepaalde duur zijn, of

b)

ten minste 10 jaar na 11 januari 2024 aflopen.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Straatsburg, 13 december 2023.

Voor het Europees Parlement

De voorzitter

R. METSOLA

Voor de Raad

De voorzitter

P. NAVARRO RÍOS


(1)   PB C 402 van 19.10.2022, blz. 5.

(2)   PB C 365 van 23.9.2022, blz. 18.

(3)   PB C 375 van 30.9.2022, blz. 112.

(4)  Standpunt van het Europees Parlement van 9 november 2023 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 27 november 2023.

(5)  Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PB L 124 van 20.5.2003, blz. 36).

(6)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(7)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(8)  Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).

(9)  Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PB L 95 van 21.4.1993, blz. 29).

(10)  Richtlijn 2005/29/EG van het Europees Parlement en de Raad van 11 mei 2005 betreffende oneerlijke handelspraktijken van ondernemingen jegens consumenten op de interne markt en tot wijziging van Richtlijn 84/450/EEG van de Raad, Richtlijnen 97/7/EG, 98/27/EG en 2002/65/EG van het Europees Parlement en de Raad en van Verordening (EG) nr. 2006/2004 van het Europees Parlement en de Raad (“Richtlijn oneerlijke handelspraktijken”) (PB L 149 van 11.6.2005, blz. 22).

(11)  Richtlijn 2011/83/EU van het Europees Parlement en de Raad van 25 oktober 2011 betreffende consumentenrechten, tot wijziging van Richtlijn 93/13/EEG van de Raad en van Richtlijn 1999/44/EG van het Europees Parlement en de Raad en tot intrekking van Richtlijn 85/577/EEG en van Richtlijn 97/7/EG van het Europees Parlement en de Raad (PB L 304 van 22.11.2011, blz. 64).

(12)  Verordening (EU) 2021/784 van het Europees Parlement en de Raad van 29 april 2021 inzake het tegengaan van de verspreiding van terroristische online-inhoud (PB L 172 van 17.5.2021, blz. 79).

(13)  Verordening (EU) 2022/2065 van het Europees Parlement en de Raad van 19 oktober 2022 betreffende een eengemaakte markt voor digitale diensten en tot wijziging van Richtlijn 2000/31/EG (digitaledienstenverordening) (PB L 277 van 27.10.2022, blz. 1).

(14)  Verordening (EU) 2023/1543 van het Europees Parlement en de Raad van 12 juli 2023 betreffende het Europees verstrekkingsbevel en het Europees bewaringsbevel voor elektronisch bewijsmateriaal in strafzaken en de tenuitvoerlegging van vrijheidsstraffen als gevolg van een strafprocedure (PB L 191 van 28.7.2023 blz. 118).

(15)  Richtlijn (EU) 2023/1544 van het Europees Parlement en de Raad van 12 juli 2023 tot vaststelling van geharmoniseerde regels inzake de aanwijzing van aangewezen vestigingen en de aanstelling van wettelijke vertegenwoordigers ten behoeve van de vergaring van elektronisch bewijsmateriaal in strafprocedures (PB L 191 van 28.7.2023, blz. 181).

(16)  Verordening (EU) 2015/847 van het Europees Parlement en de Raad van 20 mei 2015 betreffende bij geldovermakingen te voegen informatie en tot intrekking van Verordening (EG) nr. 1781/2006 (PB L 141 van 5.6.2015, blz. 1).

(17)  Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad van 20 mei 2015 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, tot wijziging van Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad en tot intrekking van Richtlijn 2005/60/EG van het Europees Parlement en de Raad en Richtlijn 2006/70/EG van de Commissie (PB L 141 van 5.6.2015, blz. 73).

(18)  Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad van 17 april 2019 betreffende de toegankelijkheidsvoorschriften voor producten en diensten (PB L 151 van 7.6.2019, blz. 70).

(19)  Richtlijn 2001/29/EG van het Europees Parlement en de Raad van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappij (PB L 167 van 22.6.2001, blz. 10).

(20)  Richtlijn 2004/48/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende de handhaving van intellectuele-eigendomsrechten (PB L 157 van 30.4.2004, blz. 45).

(21)  Richtlijn (EU) 2019/790 van het Europees Parlement en de Raad van 17 april 2019 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van Richtlijnen 96/9/EG en 2001/29/EG (PB L 130 van 17.5.2019, blz. 92).

(22)  Verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (datagovernanceverordening) (PB L 152 van 3.6.2022, blz. 1).

(23)  Richtlijn (EU) 2016/943 van het Europees Parlement en de Raad van 8 juni 2016 betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan (PB L 157 van 15.6.2016, blz. 1).

(24)  Richtlijn 98/6/EG van het Europees Parlement en de Raad van 16 februari 1998 betreffende de bescherming van de consument inzake de prijsaanduiding van aan de consument aangeboden producten (PB L 80 van 18.3.1998, blz. 27).

(25)  Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt (“Richtlijn inzake elektronische handel”) (PB L 178 van 17.7.2000, blz. 1).

(26)  Verordening (EU) 2022/1925 van het Europees Parlement en de Raad van 14 september 2022 over betwistbare en eerlijke markten in de digitale sector, en tot wijziging van Richtlijnen (EU) 2019/1937 en (EU) 2020/1828 (digitalemarktenverordening) (PB L 265 van 12.10.2022, blz. 1).

(27)  Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad van 11 maart 2009 betreffende de Europese statistiek en tot intrekking van Verordening (EG, Euratom) nr. 1101/2008 betreffende de toezending van onder de statistische geheimhoudingsplicht vallende data aan het Bureau voor de Statistiek van de Europese Gemeenschappen, Verordening (EG) nr. 322/97 van de Raad betreffende de communautaire statistiek en Besluit 89/382/EEG, Euratom van de Raad tot oprichting van een Comité statistisch programma van de Europese Gemeenschappen (PB L 87 van 31.3.2009, blz. 164).

(28)  Richtlijn (EU) 2019/1024 van het Europees Parlement en de Raad van 20 juni 2019 inzake open data en het hergebruik van overheidsinformatie (PB L 172 van 26.6.2019, blz. 56).

(29)  Richtlijn 96/9/EG van het Europees Parlement en de Raad van 11 maart 1996 betreffende de rechtsbescherming van databanken (PB L 77 van 27.3.1996, blz. 20).

(30)  Verordening (EU) 2018/1807 van het Europees Parlement en de Raad van 14 november 2018 inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie (PB L 303 van 28.11.2018, blz. 59).

(31)  Richtlijn (EU) 2019/770 van het Europees Parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten (PB L 136 van 22.5.2019, blz. 1).

(32)  Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PB L 333 van 27.12.2022, blz. 1).

(33)  Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PB L 316 van 14.11.2012, blz. 12).

(34)  Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30).

(35)  Besluit 768/2008/EG van het Europees Parlement en de Raad van 9 juli 2008 betreffende een gemeenschappelijk kader voor het verhandelen van producten en tot intrekking van Besluit 93/465/EEG van de Raad (PB L 218 van 13.8.2008, blz. 82).

(36)  Verordening (EU) 2017/2394 van het Europees Parlement en de Raad van 12 december 2017 betreffende samenwerking tussen de nationale autoriteiten die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming en tot intrekking van Verordening (EG) nr. 2006/2004 (PB L 345 van 27.12.2017, blz. 1).

(37)  Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PB L 409 van 4.12.2020, blz. 1).

(38)   PB L 123 van 12.5.2016, blz. 1.

(39)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).


ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0758 (electronic edition)