Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32022R0868

    Verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening) (Voor de EER relevante tekst)

    PE/85/2021/REV/1

    PB L 152 van 03/06/2022, p. 1–44 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/reg/2022/868/oj

    3.6.2022   

    NL

    Publicatieblad van de Europese Unie

    L 152/1


    VERORDENING (EU) 2022/868 VAN HET EUROPEES PARLEMENT EN DE RAAD

    van 30 mei 2022

    betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening)

    (Voor de EER relevante tekst)

    HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

    Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,

    Gezien het voorstel van de Europese Commissie,

    Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

    Gezien het advies van het Europees Economisch en Sociaal Comité (1),

    Na raadpleging van het Comité van de Regio's,

    Handelend volgens de gewone wetgevingsprocedure (2),

    Overwegende hetgeen volgt:

    (1)

    Het Verdrag betreffende de werking van de Europese Unie (VWEU) voorziet in de totstandbrenging van een interne markt en de invoering van een systeem waardoor wordt verzekerd dat de mededinging binnen de interne markt niet wordt vervalst. De vaststelling van gemeenschappelijke regels en praktijken in de lidstaten met betrekking tot de ontwikkeling van een kader inzake datagovernance draagt bij tot het bereiken van die doelstellingen, met volledige inachtneming van de grondrechten. Het moet ook de versterking van de open strategische autonomie van de Unie waarborgen, en tegelijk het internationale vrije verkeer van gegevens bevorderen.

    (2)

    De afgelopen tien jaar hebben digitale technologieën de economie en de samenleving ingrijpend veranderd en een impact gehad op alle economische sectoren en ons dagelijks leven. Gegevens zijn de hoeksteen van die transformatie: datagestuurde innovatie zal zowel de burgers van de Unie als de economie enorme voordelen brengen, bijvoorbeeld door te zorgen voor betere geneeskunde en medische behandelingen op maat, door nieuwe mobiliteit aan te bieden en door bij te dragen aan de mededeling van de Commissie van 11 december 2019 over de Europese Green Deal. Om de datagestuurde economie inclusief te maken voor alle burgers van de Unie, moet bijzondere aandacht worden besteed aan het verkleinen van de digitale kloof, het stimuleren van de participatie van vrouwen in de data-economie en het bevorderen van geavanceerde Europese expertise in de technologiesector. De data-economie moet zo worden opgezet dat ondernemingen, met name kleine, middelgrote en micro-ondernemingen (kmo's, ook wel midden- en kleinbedrijf (mkb) genoemd) zoals gedefinieerd in de bijlage bij Aanbeveling 2003/361/EG van de Commissie (3), alsook start-ups, kunnen floreren, waarbij de neutraliteit van de toegang tot en de overdraagbaarheid en interoperabiliteit van gegevens moeten worden gewaarborgd en lock-in-effecten moeten worden vermeden. In haar mededeling van 19 februari 2020 over een Europese datastrategie (de “Europese datastrategie”) schetste de Commissie haar visie op een gemeenschappelijke Europese gegevensruimte, te weten een interne gegevensmarkt waarin gegevens kunnen worden gebruikt ongeacht de plaats in de Unie waar ze zijn opgeslagen in overeenstemming met het toepasselijke recht, hetgeen onder meer van cruciaal belang zou kunnen zijn voor de snelle ontwikkeling van technologieën op het gebied van artificiële intelligentie.

    De Commissie pleit tevens voor een vrije en veilige stroom van gegevens van en naar derde landen, met inachtneming van de uitzonderingen en beperkingen voor de openbare veiligheid, de openbare orde en andere legitieme beleidsdoelstellingen van de Unie, in lijn met alle internationale verplichtingen, ook wat betreft de grondrechten. Om die visie in de praktijk te brengen, heeft de Commissie voorgesteld domeinspecifieke gemeenschappelijke Europese gegevensruimten voor het delen en bundelen van gegevens op te zetten. Zoals voorgesteld in de Europese datastrategie kunnen dergelijke gemeenschappelijke Europese gegevensruimten domeinen zoals gezondheid, mobiliteit, industrie, financiële diensten, energie of landbouw bestrijken, of een combinatie van die domeinen, bijvoorbeeld energie en klimaat, alsook thematische domeinen zoals de Europese Green Deal of Europese gegevensruimten voor overheidsdiensten of vaardigheden. De gemeenschappelijke Europese gegevensruimten moeten ervoor zorgen dat gegevens vindbaar, toegankelijk, interoperabel en herbruikbaar zijn (de “FAIR-gegevensbeginselen”), en tegelijk een hoog niveau van cyberbeveiliging waarborgen. Indien sprake is van een gelijk speelveld in de data-economie, concurreren ondernemingen op kwaliteit van diensten en niet op de hoeveelheid gegevens onder hun beheer. Voor het ontwerp, de totstandkoming en de handhaving van het gelijke speelveld in de data-economie is goede governance nodig waaraan alle belanghebbenden van een gemeenschappelijke Europese gegevensruimte moeten deelnemen en waarin zij vertegenwoordigd moeten zijn.

    (3)

    De voorwaarden voor het delen van gegevens op de interne markt moeten worden verbeterd door een geharmoniseerd kader voor gegevensuitwisseling tot stand te brengen en bepaalde basisvereisten voor datagovernance vast te stellen, met bijzondere aandacht voor het faciliteren van de samenwerking tussen de lidstaten. Deze verordening moet gericht zijn op de verdere ontwikkeling van de digitale interne markt zonder grenzen en een betrouwbare en veilige datasamenleving en -economie waarin mensen centraal staan. In het kader van sectorspecifiek Unierecht, zoals het geplande Unierecht inzake de Europese ruimte voor gezondheidsgegevens en inzake de toegang tot voertuiggegevens, kunnen in het licht van de specifieke kenmerken van de sector nieuwe en aanvullende elementen worden ontwikkeld, aangepast en voorgesteld. Daarnaast worden bepaalde economische sectoren reeds gereguleerd door sectorspecifiek Unierecht, dat regels bevat inzake de grensoverschrijdende of Uniebrede deling van of toegang tot gegevens, bijvoorbeeld Richtlijn 2011/24/EU van het Europees Parlement en de Raad (4) in de context van de Europese ruimte voor gezondheidsgegevens, en relevante wetgevingshandelingen op het gebied van vervoer zoals de Verordeningen (EU) 2019/1239 (5) en (EU) 2020/1056 (6) en Richtlijn 2010/40/EU (7) van het Europees Parlement en de Raad in de context van de Europese ruimte voor mobiliteitsgegevens.

    Deze verordening mag daarom geen afbreuk doen aan de Verordeningen (EG) nr. 223/2009 (8), (EU) 2018/858 (9) en (EU) 2018/1807 (10), noch aan de Richtlijnen 2000/31/EG (11), 2001/29/EG (12), 2004/48/EG (13), 2007/2/EG (14), 2010/40/EU, (EU) 2015/849 (15), (EU) 2016/943 (16), (EU) 2017/1132 (17), (EU) 2019/790 (18) en (EU) 2019/1024 (19) van het Europees Parlement en de Raad en al het andere sectorspecifieke Unierecht dat de toegang tot en het hergebruik van gegevens regelt. Deze verordening mag geen afbreuk doen aan het Unierecht en het nationale recht inzake de toegang tot en het gebruik van gegevens met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, noch aan de internationale samenwerking in die context.

    Deze verordening mag geen afbreuk doen aan de bevoegdheden van de lidstaten met betrekking tot hun activiteiten in verband met openbare veiligheid, defensie en nationale veiligheid. Het hergebruik van om dergelijke redenen beschermde gegevens die in het bezit zijn van openbare lichamen, met inbegrip van gegevens van aanbestedingsprocedures die binnen het toepassingsgebied van Richtlijn 2009/81/EG van het Europees Parlement en de Raad (20) vallen, mag niet onder deze verordening vallen. Er moet een horizontale regeling worden vastgesteld voor het hergebruik van bepaalde categorieën beschermde gegevens die in het bezit zijn van openbare lichamen, voor het aanbieden van databemiddelingsdiensten en voor op data-altruïsme gebaseerde diensten in de Unie. Vanwege de specifieke kenmerken van verschillende sectoren kan het nodig zijn systemen te ontwikkelen op basis van sectorale gegevens, voortbouwend op de eisen van deze verordening. Aanbieders van databemiddelingsdiensten die voldoen aan de vereisten van deze verordening, moeten het label “in de Unie erkende aanbieder van databemiddelingsdiensten” kunnen gebruiken. Rechtspersonen die doeleinden van algemeen belang wensen te ondersteunen door op basis van data-altruïsme op een bepaalde schaal relevante gegevens beschikbaar te stellen en die aan de in deze verordening neergelegde vereisten voldoen, moeten zich kunnen registreren als “in de Unie erkende organisatie voor data-altruïsme” en moeten dat label kunnen gebruiken. Indien sectorspecifiek Unierecht of nationaal recht vereist dat openbare lichamen, zulke aanbieders van databemiddelingsdiensten of zulke rechtspersonen (erkende organisaties voor data-altruïsme) voldoen aan specifieke aanvullende technische, administratieve of organisatorische vereisten, onder meer via een vergunnings- of certificeringsregeling, moeten die bepalingen van dat sectorspecifieke Unierecht of nationaal recht ook van toepassing zijn.

    (4)

    Deze verordening mag geen afbreuk doen aan de Verordeningen (EU) 2016/679 (21) en (EU) 2018/1725 (22) van het Europees Parlement en de Raad, noch aan de Richtlijnen 2002/58/EG (23) en (EU) 2016/680 (24) van het Europees Parlement en de Raad en de overeenkomstige bepalingen van het nationale recht, ook indien persoonsgegevens en niet-persoonsgebonden gegevens in een gegevensverzameling onlosmakelijk met elkaar verbonden zijn. Van deze verordening mag met name niet gedacht worden dat ze een nieuwe rechtsgrondslag creëert voor de verwerking van persoonsgegevens in het kader van de gereguleerde activiteiten, of dat ze de informatievereisten van Verordening (EU) 2016/679 wijzigt. De uitvoering van deze verordening mag grensoverschrijdende doorgiften van gegevens als bedoeld in hoofdstuk V van Verordening (EU) 2016/679 niet in de weg staan. In geval van een strijdigheid tussen deze verordening en het Unierecht inzake de bescherming van persoonsgegevens of het overeenkomstig dat Unierecht vastgestelde nationale recht, moet het toepasselijke Unierecht of nationale recht inzake de bescherming van persoonsgegevens prevaleren. Gegevensbeschermingsautoriteiten moeten als bevoegde autoriteiten uit hoofde van deze verordening beschouwd kunnen worden. Indien andere autoriteiten functioneren als bevoegde autoriteiten uit hoofde van deze verordening, mogen zij daarbij geen afbreuk doen aan de toezichthoudende bevoegdheden van de gegevensbeschermingsautoriteiten uit hoofde van Verordening (EU) 2016/679.

    (5)

    Maatregelen op Unieniveau zijn noodzakelijk om het vertrouwen in het delen van gegevens te vergroten door passende mechanismen in te stellen die het voor datasubjecten en gegevenshouders mogelijk maken gegevens die op hen betrekking hebben te controleren, en om andere belemmeringen voor een goed werkende en concurrerende datagestuurde economie weg te nemen. Die maatregelen mogen geen afbreuk doen aan de verplichtingen en verbintenissen in door de Unie gesloten internationale handelsovereenkomsten. Een Uniebreed governancekader moet als doel hebben vertrouwen te scheppen bij personen en ondernemingen wat betreft de toegang tot, de controle over, alsook het delen, het gebruik en het hergebruik van gegevens, met name door passende mechanismen in te stellen die het voor datasubjecten mogelijk maken om hun rechten te kennen en op zinvolle wijze uit te oefenen, alsook inzake het hergebruik van bepaalde soorten gegevens die in het bezit zijn van openbare lichamen, het verlenen van diensten door aanbieders van databemiddelingsdiensten aan datasubjecten, gegevenshouders en gegevensgebruikers, alsmede het verzamelen en verwerken van gegevens die door natuurlijke en rechtspersonen voor altruïstische doeleinden beschikbaar worden gesteld. Een grotere transparantie ten aanzien van het doel van het gebruik en de wijze van opslag van gegevens door ondernemingen kan met name helpen om het vertrouwen te versterken.

    (6)

    In het Uniebeleid is reeds lang het beginsel opgenomen dat gegevens die door openbare lichamen of andere entiteiten met overheidsmiddelen zijn gegenereerd of verzameld de samenleving ten goede moeten komen. Richtlijn (EU) 2019/1024 en sectorspecifiek Unierecht zorgen ervoor dat de openbare lichamen meer gegevens die zij zelf genereren gemakkelijk voor gebruik en hergebruik beschikbaar stellen. Bepaalde in openbare databanken opgeslagen categorieën gegevens, zoals commercieel vertrouwelijke gegevens, gegevens die onder de statistische geheimhoudingsplicht vallen en door intellectuele-eigendomsrechten van derden beschermde gegevens, met inbegrip van bedrijfsgeheimen en persoonsgegevens, worden echter doorgaans niet beschikbaar gesteld, zelfs niet voor onderzoek of innoverende activiteiten in het algemeen belang, hoewel dat mogelijk is overeenkomstig het toepasselijke Unierecht, met name Verordening (EU) 2016/679 en de Richtlijnen 2002/58/EG en (EU) 2016/680. Gezien de gevoeligheid van dergelijke gegevens mogen ze pas beschikbaar worden gesteld nadat een aantal technische en wettelijke procedurele vereisten vervuld zijn, niet het minst om ervoor te zorgen dat de rechten van anderen op dergelijke gegevens niet worden geschonden, of om de negatieve gevolgen voor de grondrechten, voor het beginsel van non-discriminatie en voor de gegevensbescherming te beperken. Het vergt doorgaans veel tijd en kennis om aan die vereisten te voldoen. Daardoor blijven dergelijke gegevens onderbenut. Sommige lidstaten creëren structuren, processen en wetgeving om dat soort hergebruik te faciliteren, maar dat gebeurt niet overal in de Unie. Om het gebruik van gegevens voor Europees onderzoek en Europese innovatie door particuliere en publieke entiteiten te faciliteren, moeten in de hele Unie duidelijke voorwaarden voor de toegang tot en het gebruik van dergelijke gegevens worden vastgesteld.

    (7)

    Er zijn technieken die analyses van databanken met persoonsgegevens mogelijk maken, zoals anonimisering, differentiële privacy, generalisering, onderdrukking en randomisering, het gebruik van synthetische gegevens of soortgelijke methoden, en andere geavanceerde methoden om de privacy te beschermen, die kunnen bijdragen tot een privacyvriendelijkere gegevensverwerking. De lidstaten moeten steun verlenen aan openbare lichamen om optimaal gebruik te maken van dergelijke technieken en aldus zo veel mogelijk gegevens beschikbaar te stellen voor gegevensdeling. De toepassing van dergelijke technieken, in combinatie met omvattende effectbeoordelingen op het gebied van gegevensbescherming en andere beschermingsmaatregelen, kan bijdragen tot meer veiligheid bij het gebruik en hergebruik van persoonsgegevens en moet het veilige hergebruik van commercieel vertrouwelijke bedrijfsgegevens voor onderzoeks-, innovatie- en statistische doeleinden waarborgen. In veel gevallen betekent de toepassing van dergelijke technieken, effectbeoordelingen en andere beschermingsmaatregelen dat gegevens alleen mogen worden gebruikt en hergebruikt binnen een beveiligde verwerkingsomgeving die ter beschikking gesteld wordt of gecontroleerd wordt door het openbaar lichaam. Op Unieniveau is ervaring opgedaan met dergelijke veilige verwerkingsomgevingen die op basis van Verordening (EU) nr. 557/2013 van de Commissie (25) worden gebruikt voor onderzoek naar statistische microgegevens. In het algemeen moet voor de verwerking van persoonsgegevens voldaan zijn aan een of meer van de in de artikelen 6 en 9 van Verordening (EU) 2016/679 bepaalde rechtsgrondslagen voor verwerking.

    (8)

    Overeenkomstig Verordening (EU) 2016/679 mogen de gegevensbeschermingsbeginselen niet van toepassing zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon, of op persoonsgegevens die zodanig anoniem zijn gemaakt dat het datasubject niet of niet meer identificeerbaar is. De heridentificatie van datasubjecten uit geanonimiseerde gegevensverzamelingen moet worden verboden. Dat mag geen afbreuk doen aan de mogelijkheid om, overeenkomstig Verordening (EU) 2016/679, onderzoek te verrichten naar anonimiseringstechnieken, met name om de beveiliging van informatie te waarborgen, bestaande anonimiseringstechnieken te verbeteren en de anonimisering algeheel te versterken.

    (9)

    Om de bescherming van persoonsgegevens en vertrouwelijke gegevens te faciliteren en om dergelijke gegevens sneller beschikbaar te stellen voor hergebruik uit hoofde van deze verordening, moeten de lidstaten openbare lichamen aansporen om gegevens te genereren en beschikbaar te stellen overeenkomstig het beginsel “open door ontwerp en door standaardinstellingen” (“open by design and by default”), als bedoeld in artikel 5, lid 2, van Richtlijn (EU) 2019/1024, en om te bevorderen dat gegevens worden gegenereerd en verworven in formaten en structuren die anonimisering in die context faciliteren.

    (10)

    De categorieën gegevens die in het bezit zijn van openbare lichamen en die uit hoofde van deze verordening hergebruikt moeten kunnen worden, vallen buiten het toepassingsgebied van Richtlijn (EU) 2019/1024, die niet van toepassing is op gegevens die niet toegankelijk zijn wegens het statistisch of handelsgeheim, noch op gegevens die vervat zijn in werken of andere materialen waarvan de intellectuele-eigendomsrechten bij derden berusten. Commercieel vertrouwelijke gegevens zijn gegevens die beschermd zijn door bedrijfsgeheimen, beschermde knowhow en alle andere informatie waarvan de ongeoorloofde openbaarmaking gevolgen zou hebben voor de marktpositie of de financiële gezondheid van de onderneming. Deze verordening moet van toepassing zijn op persoonsgegevens die buiten het toepassingsgebied van Richtlijn (EU) 2019/1024 vallen indien de toegang tot die gegevens door toegangsregelingen is uitgesloten of beperkt met het oog op de bescherming van gegevens, de persoonlijke levenssfeer en de integriteit van het individu, met name in overeenstemming met de regels inzake gegevensbescherming. Het hergebruik van gegevens die bedrijfsgeheimen kunnen bevatten, moet gebeuren onverminderd Richtlijn (EU) 2016/943, die het kader vaststelt voor het rechtmatig verkrijgen, gebruiken of openbaar maken van bedrijfsgeheimen.

    (11)

    Deze verordening mag geen verplichting scheppen om het hergebruik toe te staan van gegevens die in het bezit zijn van openbare lichamen. Met name moet elke lidstaat daarom kunnen beslissen of gegevens toegankelijk worden gemaakt voor hergebruik, en over het doel en de reikwijdte van die toegang. Deze verordening moet een aanvulling vormen op, en mag geen afbreuk doen aan, meer specifieke verplichtingen voor openbare lichamen in sectorspecifiek Unie- of nationaal recht om hergebruik van gegevens toe te staan. De toegang van het publiek tot officiële documenten kan als een algemeen belang worden beschouwd. Aangezien toegang van het publiek tot officiële documenten en transparantie belangrijk zijn in een democratische samenleving, mag deze verordening evenmin afbreuk doen aan het Unie- of nationale recht inzake het verlenen van toegang tot en het openbaar maken van officiële documenten. Toegang tot officiële documenten kan met name overeenkomstig het nationale recht worden verleend zonder specifieke voorwaarden op te leggen of door specifieke voorwaarden op te leggen waarin deze verordening niet voorziet.

    (12)

    De regeling voor hergebruik waarin deze verordening voorziet, moet van toepassing zijn op gegevens waarvan de verstrekking uit hoofde van het recht of van andere bindende regels van de lidstaten onder de openbare taken van de betrokken openbare lichamen valt. Indien dergelijke regels ontbreken, moeten de openbare taken worden gedefinieerd overeenkomstig de gangbare bestuurspraktijk in de lidstaten, mits de afbakening van de openbare taken transparant is en aan toetsing is onderworpen. De openbare taken kunnen hetzij in algemene termen, hetzij afzonderlijk voor elk openbaar lichaam worden gedefinieerd. Aangezien overheidsondernemingen niet onder de definitie van openbaar lichaam vallen, mogen de gegevens die in het bezit van overheidsondernemingen zijn, niet onder deze verordening vallen. Gegevens die in het bezit zijn van culturele instellingen, zoals bibliotheken, archieven, musea, orkesten, operahuizen, balletgezelschappen en theaters, en van onderwijsinstellingen mogen niet onder deze verordening vallen aangezien de werken en andere documenten in hun bezit voornamelijk onderworpen zijn aan intellectuele-eigendomsrechten van derden. Onderzoeksinstellingen en organisaties die onderzoek financieren, kunnen ook als openbare lichamen of publiekrechtelijke instellingen worden georganiseerd.

    Deze verordening mag op dergelijke hybride organisaties enkel van toepassing zijn met betrekking tot hun hoedanigheid van onderzoeksinstelling. Ook gegevens die een onderzoeksinstelling in bezit heeft in het kader van een specifieke publiek-private associatie met organisaties uit de particuliere sector of andere openbare lichamen, publiekrechtelijke instellingen of hybride onderzoeksinstellingen, d.w.z. georganiseerd als openbaar lichaam of als overheidsonderneming, die als hoofddoel onderzoek verrichten, mogen niet onder deze verordening vallen. Waar relevant moeten de lidstaten deze verordening kunnen toepassen op overheidsondernemingen of particuliere ondernemingen die openbare taken vervullen of diensten van algemeen belang verrichten. De bepalingen van deze verordening betreffende het hergebruik van bepaalde categorieën beschermde gegevens die in het bezit zijn van openbare lichamen, mogen niet worden toegepast op de uitwisseling van gegevens, louter in de uitoefening van hun openbare taken, tussen openbare lichamen in de Unie onderling of tussen openbare lichamen in de Unie en openbare lichamen in derde landen of internationale organisaties, en evenmin op de uitwisseling van gegevens tussen onderzoekers voor niet-commerciële wetenschappelijke onderzoeksdoeleinden.

    (13)

    Openbare lichamen moeten het mededingingsrecht naleven bij het vaststellen van de beginselen voor het hergebruik van gegevens waarover zij beschikken en vermijden overeenkomsten te sluiten die tot doel of tot gevolg kunnen hebben dat exclusieve rechten voor het hergebruik van bepaalde gegevens worden gecreëerd. Dergelijke overeenkomsten mogen alleen worden toegestaan indien ze gerechtvaardigd en noodzakelijk zijn voor de verlening van een dienst of de levering van een product in het algemeen belang. Dat kan het geval zijn indien het exclusief gebruik van de gegevens de enige manier is om de maatschappelijke voordelen van de betrokken gegevens optimaal te benutten, bijvoorbeeld als er slechts één entiteit (die gespecialiseerd is in de verwerking van een specifieke gegevensverzameling) is die de dienst kan verlenen die of het product kan leveren dat het openbaar lichaam in staat stelt in het algemeen belang een dienst te verlenen of een product te leveren. Dergelijke regelingen moeten echter worden gesloten overeenkomstig het toepasselijke Unierecht of nationale recht, en regelmatig worden herzien op basis van een marktanalyse om na te gaan of de exclusiviteit nog steeds noodzakelijk is. Bovendien moeten dergelijke regelingen waar passend in overeenstemming zijn met de toepasselijke staatssteunregels en moet hun duurtijd beperkt worden tot maximaal twaalf maanden. Met het oog op transparantie moeten dergelijke exclusieve overeenkomsten online worden gepubliceerd in een vorm die in overeenstemming is met het toepasselijke Unierecht inzake overheidsopdrachten. Een exclusief recht op hergebruik van gegevens dat niet aan deze verordening voldoet, moet ongeldig zijn.

    (14)

    Vóór de datum van inwerkingtreding van deze verordening geldende of gesloten verboden exclusieve overeenkomsten en andere praktijken of regelingen betreffende het hergebruik van gegevens die in het bezit zijn van openbare lichamen die niet uitdrukkelijk exclusieve rechten verlenen, maar waarvan redelijkerwijs kan worden aangenomen dat zij de beschikbaarheid van gegevens voor hergebruik beperken, mogen na het verstrijken van hun looptijd niet worden verlengd. Overeenkomsten voor onbepaalde of langere termijn moeten binnen 30 maanden na de datum van inwerkingtreding van deze verordening worden beëindigd.

    (15)

    In deze verordening moeten voorwaarden voor het hergebruik van beschermde gegevens worden vastgesteld die van toepassing zijn op openbare lichamen die uit hoofde van het nationale recht als bevoegd zijn aangewezen om de toegang voor hergebruik toe te staan of te weigeren, en die de rechten of verplichtingen met betrekking tot de toegang tot dergelijke gegevens onverlet laten. Die voorwaarden moeten niet-discriminerend, transparant, evenredig en objectief gerechtvaardigd zijn en mogen de mededinging niet beperken, waarbij met name de toegang tot dergelijke gegevens voor kmo's en start-ups moet worden bevorderd. De voorwaarden voor hergebruik moeten zodanig worden ontworpen dat zij wetenschappelijk onderzoek bevorderen, zodat bijvoorbeeld het bevoorrechten van wetenschappelijk onderzoek in principe als niet-discriminerend beschouwd moet worden. Openbare lichamen die hergebruik toestaan, moeten over de nodige technische middelen beschikken om de bescherming van de rechten en belangen van derde partijen te waarborgen en moeten de bevoegdheid krijgen om de nodige informatie op te vragen bij de hergebruiker. De voorwaarden voor het hergebruik van gegevens moeten beperkt blijven tot hetgeen noodzakelijk is om de rechten en belangen van derden met betrekking tot de gegevens en de integriteit van de informatietechnologie en communicatiesystemen van de openbare lichamen te beschermen. Openbare lichamen moeten voorwaarden hanteren die de belangen van de hergebruiker het best dienen, zonder dat dat leidt tot buitensporige lasten voor de openbare lichamen. De voorwaarden die aan het hergebruik van gegevens verbonden worden, moeten zodanig worden ontworpen dat zij doeltreffende waarborgen bieden met betrekking tot de bescherming van persoonsgegevens. Persoonsgegevens moeten vóór de doorgifte geanonimiseerd worden, zodat het onmogelijk is de datasubjecten te identificeren, en gegevens die commercieel vertrouwelijke informatie bevatten moeten zodanig worden gewijzigd dat er geen vertrouwelijke informatie wordt vrijgegeven. Indien de verstrekking van geanonimiseerde of gewijzigde gegevens niet aan de behoeften van de hergebruiker beantwoordt, indien is voldaan aan de artikelen 35 en 36 van Verordening (EU) 2016/679, op grond waarvan respectievelijk een gegevensbeschermingseffectbeoordeling moet worden verricht en de toezichthoudende autoriteit moet worden geraadpleegd, en indien de risico's voor de rechten en belangen van datasubjecten minimaal zijn bevonden, kan hergebruik ter plaatse of op afstand binnen een beveiligde verwerkingsomgeving worden toegestaan.

    Dat kan een geschikte regeling zijn voor het hergebruik van gepseudonimiseerde gegevens. Om de rechten en belangen van derden te beschermen, moeten gegevensanalyses in dergelijke beveiligde verwerkingsomgevingen onder toezicht staan van het openbaar lichaam. Persoonsgegevens mogen met name slechts aan een derde partij worden doorgegeven voor hergebruik indien een rechtsgrondslag uit hoofde van het gegevensbeschermingsrecht dat toestaat. Niet-persoonsgebonden gegevens mogen alleen worden doorgegeven als er geen reden is om aan te nemen dat de combinatie van niet-persoonsgebonden gegevensverzamelingen zou leiden tot de identificatie van datasubjecten. Dat moet ook gelden voor gepseudonimiseerde gegevens die hun status van persoonsgegevens behouden. In geval van de heridentificatie van datasubjecten moet een verplichting gelden om een dergelijke inbreuk in verband met persoonsgegevens aan het openbaar lichaam te melden, naast een verplichting om een dergelijke inbreuk overeenkomstig Verordening (EU) 2016/679 aan een toezichthoudende autoriteit en het datasubject te melden. Op basis van de toestemming van datasubjecten of de toelating van gegevenshouders voor het hergebruik van hun gegevens moeten openbare lichamen, indien relevant, het hergebruik van gegevens met behulp van passende technische middelen faciliteren. In dat verband moet het openbaar lichaam alles in het werk stellen om potentiële hergebruikers te ondersteunen bij het verkrijgen van dergelijke toestemming of toelating door technische mechanismen op te zetten waarmee verzoeken om toestemming of toelating van hergebruikers kunnen worden doorgegeven, voor zover dat praktisch haalbaar is. Er mag geen contactinformatie worden verstrekt die hergebruikers in staat stelt rechtstreeks contact op te nemen met datasubjecten of gegevenshouders. Indien het openbaar lichaam een verzoek om toestemming of toelating doorgeeft, moet het ervoor zorgen dat het datasubject of de gegevenshouder duidelijk wordt geïnformeerd over de mogelijkheid om de toestemming of toelating te weigeren.

    (16)

    Om het gebruik voor wetenschappelijk onderzoek van gegevens die in het bezit zijn van openbare lichamen te faciliteren en aan te moedigen, worden openbare lichamen aangespoord een geharmoniseerde aanpak en geharmoniseerde processen uit te werken om die gegevens gemakkelijk toegankelijk te maken voor wetenschappelijk onderzoek dat het algemeen belang dient. Dat zou onder meer kunnen betekenen dat wordt voorzien in gestroomlijnde administratieve procedures, gestandaardiseerde gegevensformattering, informatieve metagegevens over de methodische en gegevensverzamelingskeuzes en gestandaardiseerde gegevensvelden die het mogelijk maken gegevensverzamelingen uit verschillende bronnen van overheidsgegevens gemakkelijk te koppelen wanneer dat relevant is voor analysedoeleinden. Die praktijken moeten gericht zijn op de bevordering van door de overheid gefinancierde en geproduceerde gegevens ten behoeve van wetenschappelijk onderzoek overeenkomstig het beginsel “zo open als mogelijk, zo gesloten als nodig”.

    (17)

    Deze verordening mag geen afbreuk doen aan de intellectuele-eigendomsrechten van derde partijen. Zij mag evenmin gevolgen hebben voor het bestaan of bezit van intellectuele-eigendomsrechten van openbare lichamen en mag geen enkele beperking inhouden voor de uitoefening van die rechten. De overeenkomstig deze verordening opgelegde verplichtingen zijn alleen van toepassing indien zij verenigbaar zijn met de internationale overeenkomsten inzake de bescherming van intellectuele-eigendomsrechten, in het bijzonder de Berner Conventie voor de bescherming van werken van letterkunde en kunst (Berner conventie), de Overeenkomst inzake de handelsaspecten van de intellectuele eigendom (TRIPS-overeenkomst) en het Verdrag van de Wereldorganisatie voor de intellectuele eigendom inzake auteursrecht (World Intellectual Property Organization Copyright Treaty — WCT), en met het Unierecht of het nationale recht inzake intellectuele eigendom. Openbare lichamen dienen evenwel hun auteursrechten op dusdanige wijze uit te oefenen dat hergebruik wordt gefaciliteerd.

    (18)

    Gegevens die onderworpen zijn aan intellectuele-eigendomsrechten of die bedrijfsgeheimen bevatten, mogen alleen aan een derde partij worden doorgegeven indien dat is toegestaan krachtens het Unierecht of het nationale recht of mits de rechthebbende daarmee instemt. Openbare lichamen die over het recht van de fabrikant van een databank beschikken als bedoeld in artikel 7, lid 1, van Richtlijn 96/9/EG van het Europees Parlement en de Raad (26), mogen dat recht niet uitoefenen om hergebruik van gegevens te voorkomen of meer te beperken dan bepaald in deze verordening.

    (19)

    Ondernemingen en datasubjecten moeten erop kunnen vertrouwen dat hun rechten en belangen worden geëerbiedigd bij het hergebruik van bepaalde categorieën beschermde gegevens die in het bezit zijn van de openbare lichamen. Daarom moet worden voorzien in aanvullende waarborgen voor situaties waarin die overheidsgegevens worden hergebruikt op basis van een verwerking van de gegevens buiten de overheidssector, zoals een vereiste dat openbare lichamen er in alle gevallen, ook indien die gegevens aan derde landen worden doorgegeven, voor zorgen dat de rechten en belangen van natuurlijke en rechtspersonen volledig worden beschermd, met name wat betreft persoonsgegevens, commercieel gevoelige gegevens en intellectuele-eigendomsrechten. Openbare lichamen mogen niet toestaan dat verzekeringsmaatschappijen of andere aanbieders van diensten met het oog op discriminerende prijsstelling informatie hergebruiken die in e-gezondheidstoepassingen is opgeslagen, aangezien dat in strijd zou zijn met het fundamentele recht op toegang tot gezondheidszorg.

    (20)

    Voorts is het, met het oog op de instandhouding van eerlijke mededinging en de open markteconomie, van het allergrootste belang dat beschermde niet-persoonsgebonden gegevens, met name bedrijfsgeheimen, maar ook niet-persoonsgebonden gegevens die door intellectuele-eigendomsrechten beschermde inhoud vertegenwoordigen, worden gevrijwaard tegen onrechtmatige toegang die tot diefstal van intellectuele eigendom of industriële spionage zou kunnen leiden. Om de bescherming van de rechten of de belangen van de gegevenshouders te waarborgen, moeten niet-persoonsgebonden gegevens die overeenkomstig het Unierecht of het nationale recht beschermd moeten worden tegen onrechtmatige of ongeoorloofde toegang en die in het bezit zijn van openbare lichamen, aan derde landen kunnen worden doorgegeven, maar enkel indien passende waarborgen voor het gebruik van gegevens worden geboden. Dergelijke passende waarborgen moeten een vereiste omvatten dat het openbaar lichaam uitsluitend beschermde gegevens doorgeeft aan een hergebruiker indien die contractuele verbintenissen aangaat in het belang van de bescherming van de gegevens. Een hergebruiker die voornemens is de beschermde gegevens aan een derde land door te geven, moet de in deze verordening neergelegde verplichtingen nakomen, ook na de doorgifte. Om de naleving van die verplichtingen te handhaven, moet de hergebruiker voor de gerechtelijke beslechting van geschillen ook de jurisdictie aanvaarden van de lidstaat van het openbaar lichaam dat het hergebruik heeft toegestaan.

    (21)

    De invoering van passende waarborgen moet eveneens worden overwogen indien er in het derde land waaraan niet-persoonsgebonden gegevens worden doorgegeven, gelijkwaardige maatregelen bestaan die ervoor zorgen dat gegevens een beschermingsniveau genieten dat vergelijkbaar is met dat van het Unierecht, met name wat betreft de bescherming van bedrijfsgeheimen en intellectuele-eigendomsrechten. Daartoe moet de Commissie, indien gerechtvaardigd door een aanzienlijk aantal verzoeken in de Unie met betrekking tot het hergebruik van niet-persoonsgebonden gegevens in specifieke derde landen, door middel van uitvoeringshandelingen kunnen verklaren dat een derde land een beschermingsniveau biedt dat in wezen gelijkwaardig is aan de door het Unierecht geboden bescherming. De Commissie moet de noodzaak van dergelijke uitvoeringshandelingen beoordelen op basis van de informatie die de lidstaten via het Europees Comité voor gegevensinnovatie hebben verstrekt. Dergelijke uitvoeringshandelingen zouden openbare lichamen de zekerheid bieden dat hergebruik van gegevens die in het bezit zijn van openbare lichamen, in het betrokken derde land het beschermde karakter ervan niet in gevaar zou brengen. Bij de beoordeling van het in het betrokken derde land geboden beschermingsniveau moet met name rekening worden gehouden met de toepasselijke algemene en sectorale wetgeving, onder meer op het gebied van openbare veiligheid, defensie, nationale veiligheid en het strafrecht, betreffende de toegang tot en de bescherming van niet-persoonsgebonden gegevens, alsook met eventuele toegang van de openbare lichamen van dat derde land tot de doorgegeven gegevens, met het bestaan en het effectief functioneren van een of meer onafhankelijke toezichthoudende autoriteiten in het derde land welke belast zijn met het waarborgen en handhaven van de wettelijke regeling inzake de toegang tot dergelijke gegevens, met de internationale toezeggingen van het derde land met betrekking tot de bescherming van gegevens, of andere verplichtingen die voortvloeien uit juridisch bindende overeenkomsten of instrumenten, alsmede uit de deelname van dat derde land of die internationale organisatie aan multilaterale of regionale regelingen.

    Het bestaan van doeltreffende rechtsmiddelen voor gegevenshouders, openbare lichamen of databemiddelingsdiensten in het betrokken derde land is van bijzonder belang in de context van de doorgifte van niet-persoonsgebonden gegevens aan dat derde land. Dergelijke waarborgen moeten daarom ook de beschikbaarheid van afdwingbare rechten en doeltreffende rechtsmiddelen omvatten. Dergelijke uitvoeringshandelingen mogen geen afbreuk doen aan wettelijke verplichtingen of contractuele regelingen die een hergebruiker reeds is aangegaan in het belang van de bescherming van niet-persoonsgebonden gegevens, met name industriële gegevens, noch aan het recht van openbare lichamen om hergebruikers te verplichten te voldoen aan de voorwaarden voor hergebruik, overeenkomstig deze verordening.

    (22)

    Sommige derde landen stellen wetten, verordeningen en andere rechtshandelingen vast die gericht zijn op de rechtstreekse doorgifte van of het verlenen van toegang van de overheid tot niet-persoonsgebonden gegevens in de Unie onder toezicht van natuurlijke en rechtspersonen die onder de jurisdictie van de lidstaten vallen. Rechterlijke beslissingen en uitspraken in derde landen of besluiten van administratieve autoriteiten in derde landen op grond waarvan doorgifte van of toegang tot niet-persoonsgebonden persoonsgegevens wordt geëist, moeten afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijds rechtshulp, tussen het verzoekende derde land en de Unie of een lidstaat. In sommige gevallen kan een situatie ontstaan waarin de uit het recht van een derde land voortvloeiende verplichting tot doorgifte van of toegang tot niet-persoonsgebonden gegevens in strijd is met een concurrerende verplichting om die gegevens te beschermen uit hoofde van het Unierecht of het nationale recht, met name wat betreft de bescherming van de grondrechten van het individu of van de fundamentele belangen van een lidstaat in verband met de nationale veiligheid of defensie, alsook de bescherming van commercieel gevoelige gegevens en de bescherming van intellectuele-eigendomsrechten, met inbegrip van contractuele verplichtingen inzake vertrouwelijkheid overeenkomstig dat recht. Bij ontstentenis van internationale overeenkomsten die dergelijke kwesties regelen, mag doorgifte van of toegang tot niet-persoonsgebonden gegevens slechts worden toegestaan indien met name is nagegaan of het rechtsstelsel van het derde land voorschrijft dat de redenen voor en de evenredigheid van de beslissing, de uitspraak of het besluit worden toegelicht, of de beslissing, de uitspraak of het besluit een specifiek karakter heeft, en of het met redenen omklede bezwaar van de geadresseerde wordt getoetst door een bevoegde rechterlijke instantie in het derde land die gemachtigd is om rekening te houden met de relevante juridische belangen van de gegevensverstrekker.

    Bovendien moeten openbare lichamen, natuurlijke personen of rechtspersonen waaraan het recht op hergebruik van gegevens is verleend, aanbieders van databemiddelingsdiensten en erkende organisaties voor data-altruïsme er bij de ondertekening van contractuele overeenkomsten met andere particuliere partijen voor zorgen dat in de Unie bewaarde niet-persoonsgebonden gegevens in derde landen alleen kunnen worden geraadpleegd of aan derde landen alleen kunnen worden doorgegeven overeenkomstig het Unierecht of het nationale recht van de betrokken lidstaat.

    (23)

    Om het vertrouwen in de data-economie van de Unie verder te versterken, is het van essentieel belang dat de burgers van de Unie, de overheidssector en de ondernemingen wordt gewaarborgd dat hun strategische en gevoelige gegevens worden gecontroleerd en dat het recht, de waarden en de normen van de Unie worden gehandhaafd op het gebied van, maar niet beperkt tot, veiligheid, gegevensbescherming en consumentenbescherming. Om onrechtmatige toegang tot niet-persoonsgebonden gegevens te voorkomen, moeten openbare lichamen, natuurlijke personen of rechtspersonen waaraan het recht op hergebruik van gegevens is verleend, aanbieders van databemiddelingsdiensten en erkende organisaties voor data-altruïsme alle redelijke maatregelen nemen om de toegang tot de systemen waar niet-persoonsgebonden gegevens zijn opgeslagen, te voorkomen, met inbegrip van versleuteling van gegevens of bedrijfsgebonden beleidsmaatregelen. Daartoe moet ervoor worden gezorgd dat openbare lichamen, natuurlijke personen of rechtspersonen waaraan het recht op hergebruik van gegevens is verleend, aanbieders van databemiddelingsdiensten en erkende organisaties voor data-altruïsme zich houden aan alle desbetreffende technische normen, gedragscodes en certificeringen op het niveau van de Unie.

    (24)

    Om vertrouwen in hergebruikmechanismen op te bouwen, kan het nodig zijn strengere voorwaarden te hanteren voor bepaalde soorten niet-persoonsgebonden gegevens die in toekomstige specifieke wetgevingshandelingen van de Unie als zeer gevoelig kunnen worden aangemerkt wat betreft de doorgifte aan derde landen, indien de doelstellingen van het overheidsbeleid van de Unie, in overeenstemming met internationale verbintenissen, door de doorgifte in het gedrang zouden komen. Op het gebied van gezondheid kunnen bijvoorbeeld bepaalde gegevensverzamelingen die in het bezit zijn van actoren in de openbare gezondheidszorg, zoals openbare ziekenhuizen, worden aangemerkt als zeer gevoelige gezondheidsgegevens. Andere betrokken sectoren zijn onder meer vervoer, energie, milieu en financiën. Om geharmoniseerde praktijken in de hele Unie te waarborgen, moeten dergelijke soorten zeer gevoelige niet-persoonsgebonden openbare gegevens in het Unierecht worden gedefinieerd, bijvoorbeeld in het kader van de Europese ruimte voor gezondheidsgegevens of andere sectorale wetgeving. Die voorwaarden voor de doorgifte van dergelijke gegevens aan derde landen moeten in gedelegeerde handelingen worden vastgelegd. De voorwaarden moeten evenredig, niet-discriminerend en noodzakelijk zijn om de vastgestelde legitieme doelstellingen van het overheidsbeleid van de Unie te beschermen, zoals bescherming van de volksgezondheid, de veiligheid, het milieu en de openbare zedelijkheid, alsook consumentenbescherming en bescherming van de persoonlijke levenssfeer en persoonsgegevens. De voorwaarden moeten overeenkomen met de vastgestelde risico's in verband met de gevoeligheid van die gegevens, met inbegrip van het risico van heridentificatie van personen. Het kan gaan om voorwaarden voor de doorgifte of technische regelingen, zoals de verplichting om een beveiligde verwerkingsomgeving te gebruiken, beperkingen met betrekking tot het hergebruik van gegevens in derde landen of met betrekking tot categorieën van personen die dergelijke gegevens mogen doorgeven aan derde landen of die in dat derde land toegang kunnen krijgen tot de gegevens. In uitzonderlijke gevallen kunnen dergelijke voorwaarden ook beperkingen op de doorgifte van gegevens aan derde landen omvatten om het algemeen belang te beschermen.

    (25)

    Openbare lichamen moeten vergoedingen kunnen aanrekenen voor het hergebruik van gegevens, maar moeten, in overeenstemming met de staatssteunregels, ook hergebruik tegen een gereduceerde vergoeding of kosteloos hergebruik kunnen toestaan, bijvoorbeeld voor bepaalde categorieën hergebruik, zoals niet-commercieel hergebruik voor wetenschappelijke onderzoeksdoeleinden, of hergebruik door kmo's en start-ups, maatschappelijke organisaties en onderwijsinstellingen, om dergelijk hergebruik ten behoeve van onderzoek en innovatie te stimuleren en ondernemingen te ondersteunen die een belangrijke bron van innovatie vormen en het doorgaans moeilijker vinden om zelf relevante gegevens te verzamelen. In die specifieke context moet onder wetenschappelijke onderzoeksdoeleinden worden verstaan elk onderzoeksgerelateerd doel, ongeacht de organisatorische of financiële structuur van de betrokken onderzoeksinstelling, met uitzondering van onderzoek dat wordt uitgevoerd door een onderneming en gericht is op de ontwikkeling, verbetering of optimalisering van producten of diensten. Dergelijke vergoedingen moeten transparant en niet-discriminerend zijn en beperkt tot de gemaakte noodzakelijke kosten, en zij mogen de mededinging niet beperken. Er moet een lijst worden gepubliceerd met de categorieën hergebruikers waarvoor gereduceerde of geen vergoedingen gelden, en met de criteria die zijn gebruikt om die lijst op te stellen.

    (26)

    Om het hergebruik van specifieke categorieën van gegevens die in het bezit zijn van openbare lichamen te stimuleren, moeten de lidstaten een centraal informatiepunt oprichten dat fungeert als een aanspreekpunt voor hergebruikers die die gegevens willen hergebruiken. Het centraal informatiepunt moet een sectoroverschrijdend mandaat hebben en zo nodig een aanvulling vormen op de regelingen op sectoraal niveau. Het moet bij het doorgeven van verzoeken om informatie of hergebruik gebruik kunnen maken van geautomatiseerde middelen. Er moet worden gezorgd voor voldoende menselijk toezicht in de doorgifteprocedure. Daartoe zouden bestaande praktische regelingen zoals opendataportalen kunnen worden gebruikt. Het centraal informatiepunt moet beschikken over een inventaris met een overzicht van alle beschikbare gegevensbronnen, met inbegrip van, waar relevant, de gegevensbronnen die beschikbaar zijn op sectorale, regionale of lokale informatiepunten, met relevante informatie ter beschrijving van de beschikbare gegevens. Daarnaast dienen de lidstaten bevoegde organen aan te wijzen, op te richten of de oprichting daarvan te faciliteren om ondersteuning te bieden voor de activiteiten van openbare lichamen die het hergebruik van bepaalde categorieën beschermde gegevens toestaan. Indien het sectorale Unie- of nationale recht daarin voorziet, kan het ook tot hun taken behoren om toegang tot gegevens te verlenen. Die bevoegde organen moeten openbare lichamen bijstaan met geavanceerde technieken, onder meer wat betreft de beste manier om gegevens te structureren en op te slaan teneinde ervoor te zorgen dat zij gemakkelijk toegankelijk worden, met name via applicatieprogramma-interfaces, alsook wat betreft het interoperabel, overdraagbaar en doorzoekbaar maken van gegevens, rekening houdend met de beste praktijken voor gegevensverwerking, alsmede met bestaande regulerings- en technische normen en beveiligde verwerkingsomgevingen, die het mogelijk maken gegevens te analyseren zonder het vertrouwelijke karakter van de informatie te schenden.

    De bevoegde organen moeten daarbij handelen in overeenstemming met de instructies van het openbaar lichaam. Een dergelijke bijstandsstructuur kan de datasubjecten en gegevenshouders bijstaan bij het beheer van de toestemming of toelating tot hergebruik, met inbegrip van toestemming en toelating voor bepaalde gebieden van wetenschappelijk onderzoek overeenkomstig erkende ethische normen voor wetenschappelijk onderzoek. De bevoegde organen mogen geen toezichtfunctie hebben; die is uit hoofde van Verordening (EU) 2016/679 voorbehouden aan toezichthoudende autoriteiten. Onverminderd de toezichthoudende bevoegdheden van de gegevensbeschermingsautoriteiten moet de gegevensverwerking plaatsvinden onder de verantwoordelijkheid van het openbaar lichaam dat verantwoordelijk is voor het register dat de gegevens bevat en dat, wat de persoonsgegevens betreft, de verwerkingsverantwoordelijke blijft in de zin van Verordening (EU) 2016/679. De lidstaten moeten een of meer bevoegde organen kunnen hebben, die in verschillende sectoren kunnen optreden. De interne diensten van openbare lichamen kunnen ook optreden als bevoegde organen. Een bevoegd orgaan kan een openbaar lichaam zijn dat andere openbare lichamen bijstaat bij het toestaan van hergebruik van gegevens, indien van toepassing, of een openbaar lichaam dat zelf hergebruik toestaat. Het bijstaan van andere openbare lichamen moet inhouden dat zij op verzoek worden geïnformeerd over beste praktijken betreffende de wijze waarop aan de in deze verordening neergelegde vereisten kan worden voldaan, zoals de technische middelen om een beveiligde verwerkingsomgeving beschikbaar te stellen of de technische middelen om privacy en vertrouwelijkheid te waarborgen indien toegang tot het hergebruik van gegevens die binnen het toepassingsgebied van deze verordening vallen, werd verleend.

    (27)

    Van databemiddelingsdiensten wordt verwacht dat zij een sleutelrol spelen in de data-economie, met name bij het ondersteunen en bevorderen van vrijwillige praktijken voor het delen van gegevens tussen ondernemingen of bij het faciliteren van gegevensdeling in het kader van verplichtingen op basis van het Unierecht of het nationale recht. Zij kunnen een facilitator worden van de uitwisseling van aanzienlijke hoeveelheden relevante gegevens. Aanbieders van databemiddelingsdiensten, waartoe ook openbare organen kunnen behoren, die diensten aanbieden die verschillende actoren met elkaar verbinden, kunnen bijdragen tot een efficiënte bundeling van gegevens en tot het faciliteren van bilaterale gegevensdeling. Gespecialiseerde databemiddelingsdiensten die onafhankelijk zijn van datasubjecten, gegevenshouders en gegevensgebruikers, kunnen de opkomst faciliteren van nieuwe datagestuurde ecosystemen die onafhankelijk zijn van alle spelers met een aanzienlijke marktmacht en kunnen daarbij ondernemingen van elke omvang, met name kmo’s en start-ups met beperkte financiële, juridische en administratieve middelen, niet-discriminerende toegang bieden tot de data-economie. Dat zal met name van belang zijn bij de totstandbrenging van “gemeenschappelijke Europese gegevensruimten”, namelijk doel- of sectorspecifieke of sectoroverschrijdende interoperabele kaders van gemeenschappelijke normen en praktijken op het gebied van gegevensdeling of gezamenlijke gegevensverwerking met het oog op onder meer de ontwikkeling van nieuwe producten en diensten, wetenschappelijk onderzoek of initiatieven van maatschappelijke organisaties. Databemiddelingsdiensten bilaterale of multilaterale gegevensdeling omvatten, alsook de oprichting van platforms of databanken die de uitwisseling of het gezamenlijk gebruik van gegevens mogelijk maken, en de oprichting van specifieke infrastructuur voor de interconnectie van datasubjecten en gegevenshouders met gegevensgebruikers.

    (28)

    Deze verordening moet van toepassing zijn op diensten die gericht zijn op het tot stand brengen van commerciële relaties met het oog op het delen van gegevens tussen een onbepaald aantal datasubjecten en gegevenshouders enerzijds en gegevensgebruikers anderzijds, via technische, juridische of andere middelen, onder meer voor de uitoefening van de rechten van datasubjecten met betrekking tot persoonsgegevens. Indien ondernemingen of andere entiteiten meerdere gegevensgerelateerde diensten aanbieden, mogen alleen de activiteiten die rechtstreeks verband houden met de levering van databemiddelingsdiensten onder deze verordening vallen. De levering van cloudopslag, analyse, gegevensdelingssoftware, webbrowsers, browserplug-ins of e-maildiensten mag niet beschouwd worden als een databemiddelingsdienst in de zin van deze verordening, op voorwaarde dat die diensten alleen technische instrumenten bieden voor datasubjecten of gegevenshouders om gegevens met anderen te delen, maar de levering van die instrumenten noch wordt gebruikt om een commerciële relatie tot stand te brengen tussen gegevenshouders en gegevensgebruikers, noch de aanbieder van databemiddelingsdiensten in staat stelt informatie te verwerven over het aangaan van commerciële relaties met het oog op gegevensdeling. Voorbeelden van databemiddelingsdiensten zijn onder meer datamarkten waarop ondernemingen gegevens beschikbaar kunnen stellen aan anderen, orkestratoren van ecosystemen voor het delen van gegevens die toegankelijk zijn voor alle belanghebbenden, bijvoorbeeld in het kader van gemeenschappelijke Europese dataruimten, alsook datapools die gezamenlijk door verschillende rechtspersonen of natuurlijke personen zijn opgericht met de bedoeling het gebruik van dergelijke datapools aan alle belanghebbende partijen in licentie te geven op zodanige wijze dat alle deelnemers die aan de datapools bijdragen, daarvoor een beloning ontvangen.

    Daardoor zijn datadiensten die gegevens van gegevenshouders verkrijgen en de gegevens aggregeren, verrijken of transformeren met het oog op het toevoegen van substantiële waarde en het gebruik van de resulterende gegevens in licentie geven aan gegevensgebruikers, zonder dat er een commerciële relatie tussen gegevenshouders en gegevensgebruikers tot stand wordt gebracht, uitgesloten. Daardoor zijn ook diensten die uitsluitend door één gegevenshouder worden gebruikt om het gebruik mogelijk te maken van de gegevens waarover die gegevenshouder beschikt, of die worden gebruikt door meerdere rechtspersonen in een gesloten groep, met inbegrip van leveranciers- of klantenrelaties of contractueel vastgelegde samenwerkingsverbanden, met name die welke als hoofddoel hebben de functionaliteiten van met het internet van de dingen verbonden voorwerpen en apparaten te waarborgen, uitgesloten.

    (29)

    Diensten die zich richten op de bemiddeling van auteursrechtelijk beschermde inhoud, zoals aanbieders van onlinediensten voor het delen van inhoud als gedefinieerd in artikel 2, punt 6), van Richtlijn (EU) 2019/790, mogen niet onder deze verordening vallen. “Verstrekkers van een consolidated tape” als gedefinieerd in artikel 2, lid 1, punt 35), van Richtlijn (EU) nr. 600/2014 van het Europees Parlement en de Raad (27) en “rekeninginformatiedienstaanbieders” als gedefinieerd in artikel 4, punt 19), van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad (28) mogen voor de toepassing van deze verordening niet als aanbieders van databemiddelingsdiensten beschouwd worden. Deze verordening mag niet van toepassing zijn op diensten die door openbare lichamen worden aangeboden om het hergebruik van beschermde gegevens die in het bezit zijn van openbare lichamen overeenkomstig deze verordening of het gebruik van andere gegevens te faciliteren, voor zover die diensten niet tot doel hebben commerciële relaties tot stand te brengen. Organisaties voor data-altruïsme die onder deze verordening vallen, mogen niet worden beschouwd als aanbieders van databemiddelingsdiensten, op voorwaarde dat die diensten geen commerciële relatie tot stand brengen tussen potentiële gegevensgebruikers enerzijds en datasubjecten en gegevenshouders die om altruïstische redenen gegevens beschikbaar stellen anderzijds. Andere diensten die niet tot doel hebben commerciële relaties tot stand te brengen, zoals databanken die het hergebruik van wetenschappelijke onderzoeksgegevens overeenkomstig de beginselen van open toegang tot doel hebben, mogen niet als databemiddelingsdiensten in de zin van deze verordening beschouwd worden.

    (30)

    Een specifieke categorie van databemiddelingsdiensten zijn aanbieders van diensten die hun diensten aanbieden aan datasubjecten. Dergelijke aanbieders van databemiddelingsdiensten streven ernaar datasubjecten meer zeggenschap te geven, en met name meer controle over de gegevens die op hen betrekking hebben. Dergelijke aanbieders zouden personen helpen hun rechten uit hoofde van Verordening (EU) 2016/679 uit te oefenen, met name het geven en intrekken van hun toestemming voor de gegevensverwerking, het recht op toegang tot hun eigen gegevens, het recht op rectificatie van onjuiste persoonsgegevens, het recht op het wissen van gegevens of om “te worden vergeten”, het recht om de verwerking te beperken en het recht op gegevensoverdraagbaarheid, waardoor datasubjecten hun persoonsgegevens naar een andere gegevensverwerkingsverantwoordelijke kunnen overbrengen. In dat verband is het belangrijk dat het bedrijfsmodel van dergelijke aanbieders waarborgt dat er geen ongewenste prikkels gegenereerd worden die personen ertoe aansporen dergelijke diensten te gebruiken om meer gegevens beschikbaar te stellen voor verwerking dan in hun eigen belang is. Dat kan onder meer betekenen dat personen advies krijgen over de mogelijke manieren waarop hun gegevens worden gebruikt en dat zorgvuldigheidscontroles op gegevensgebruikers worden uitgevoerd voordat zij contact mogen opnemen met datasubjecten, teneinde frauduleuze praktijken te voorkomen. In bepaalde situaties kan het wenselijk zijn om feitelijke gegevens te verzamelen in een persoonsgegevensruimte, zodat de verwerking binnen die ruimte kan gebeuren zonder dat persoonsgegevens aan derden worden doorgegeven, teneinde de persoonsgegevens en de persoonlijke levenssfeer maximaal te beschermen. Dergelijke persoonsgegevensruimten kunnen statische persoonsgegevens zoals naam, adres of geboortedatum bevatten, alsook dynamische gegevens die een persoon genereert, bijvoorbeeld door gebruik te maken van een onlinedienst of een met het internet van de dingen verbonden voorwerp. Zij kunnen ook worden gebruikt voor het opslaan van gecontroleerde identiteitsgegevens, zoals paspoortnummers of socialezekerheidsinformatie, en van persoonlijke gegevens, zoals rijbewijzen, diploma’s of bankrekeninginformatie.

    (31)

    Gegevenscoöperaties streven de verwezenlijking van een aantal doelstellingen na, en met name helpen zij individuele personen geïnformeerde keuzes te maken alvorens toestemming te verlenen voor het gebruik van gegevens, door de voorwaarden van organisaties van gegevensgebruikers die verbonden zijn aan het gebruik van gegevens zodanig te beïnvloeden dat de individuele leden van de groep betere keuzes kunnen maken of dat mogelijk oplossingen worden gevonden voor tegenstrijdige standpunten van individuele leden van een groep over de wijze waarop gegevens kunnen worden gebruikt indien die gegevens betrekking hebben op meerdere datasubjecten van de groep. In dat verband is het belangrijk te erkennen dat de rechten uit hoofde van Verordening (EU) 2016/679 persoonlijke rechten van het datasubject zijn en dat datasubjecten geen afstand kunnen doen van die rechten. Gegevenscoöperaties kunnen ook een nuttig middel zijn voor eenpersoonsondernemingen en kmo’s die qua kennis over het delen van gegevens vaak vergelijkbaar zijn met individuele personen.

    (32)

    Om het vertrouwen in databemiddelingsdiensten te vergroten, met name in verband met het gebruik van gegevens en de naleving van de door de datasubjecten en de gegevenshouders opgelegde voorwaarden, is er op Unieniveau behoefte aan een regelgevingskader dat sterk geharmoniseerde eisen stelt met betrekking tot de betrouwbare verlening van databemiddelingsdiensten, en dat door de bevoegde autoriteiten wordt geïmplementeerd. Dat kader zal er mee voor zorgen dat zowel datasubjecten en gegevenshouders als gegevensgebruikers een betere controle hebben over de toegang tot en het gebruik van hun gegevens, overeenkomstig het Unierecht. De Commissie kan ook de ontwikkeling van gedragscodes op Unieniveau, met name op het gebied van interoperabiliteit, aanmoedigen en faciliteren, en daarbij belanghebbenden betrekken. Zowel voor het delen van gegevens in een bedrijf-tot-bedrijf-context als in een bedrijf-tot-consument-context, moeten aanbieders van databemiddelingsdiensten een nieuwe “Europese” manier van datagovernance aanbieden door in de data-economie een onderscheid te bieden tussen gegevensverstrekking, -bemiddeling en -gebruik. Aanbieders van databemiddelingsdiensten kunnen ook specifieke technische infrastructuur beschikbaar stellen voor de interconnectie van datasubjecten en gegevenshouders met gegevensgebruikers. In dat verband is het bijzonder belangrijk die infrastructuur zodanig vorm te geven dat kmo’s en start-ups geen technische of andere belemmeringen ondervinden voor hun deelname aan de data-economie.

    Aanbieders van databemiddelingsdiensten moeten aanvullende specifieke instrumenten en diensten aan gegevenshouders en datasubjecten kunnen aanbieden met het specifieke doel de gegevensuitwisseling te faciliteren, zoals tijdelijke opslag, curatie, conversie, anonimisering en pseudonimisering. Die instrumenten en diensten mogen alleen worden gebruikt op uitdrukkelijk verzoek of met de uitdrukkelijke goedkeuring van de gegevenshouder of het datasubject, en de in dat verband aangeboden instrumenten van derden gebruiken gegevens niet voor andere doeleinden. Tegelijkertijd moeten aanbieders van databemiddelingsdiensten de mogelijkheid krijgen om de uitgewisselde gegevens aan te passen, bijvoorbeeld door ze om te zetten in een specifiek format, teneinde de bruikbaarheid van de gegevens voor de gegevensgebruiker te verbeteren wanneer de gegevensgebruiker dat wenst, of teneinde de interoperabiliteit te verbeteren.

    (33)

    Het is belangrijk om voor een concurrerend klimaat voor gegevensdeling te zorgen. Een belangrijk element om het vertrouwen en de controle van gegevenshouders, datasubjecten en gegevensgebruikers met betrekking tot databemiddelingsdiensten te versterken, is de neutraliteit van de aanbieders van databemiddelingsdiensten met betrekking tot de tussen gegevenshouders of datasubjecten en gegevensgebruikers uitgewisselde gegevens. Daarom is het noodzakelijk dat aanbieders van databemiddelingsdiensten uitsluitend optreden als tussenpersoon bij de transacties en de uitgewisselde gegevens niet voor andere doeleinden gebruiken. De commerciële voorwaarden voor het verlenen van databemiddelingsdiensten, met inbegrip van het prijsbeleid, mogen niet afhangen van de vraag of en zo ja in welke mate een potentiële gegevenshouder of -gebruiker gebruikmaakt van andere, door dezelfde aanbieder van databemiddelingsdiensten of door een aanverwante entiteit aangeboden diensten, zoals opslag, analyse, artificiële intelligentie of andere op gegevens gebaseerde toepassingen. Dat zal ook een structurele scheiding vergen tussen de databemiddelingsdienst en alle andere verleende diensten, om belangenconflicten te voorkomen. Dat betekent dat de databemiddelingsdienst moet worden verleend via een rechtspersoon die geen band heeft met de andere activiteiten van de aanbieder van databemiddelingsdiensten. Aanbieders van databemiddelingsdiensten moeten evenwel de door de gegevenshouder verstrekte gegevens kunnen gebruiken om hun databemiddelingsdiensten te verbeteren.

    Aanbieders van databemiddelingsdiensten moeten hun eigen instrumenten of instrumenten van derden ter beschikking kunnen stellen van gegevenshouders, datasubjecten en gegevensgebruikers om de uitwisseling van gegevens te faciliteren, bijvoorbeeld instrumenten waarmee gegevens uitsluitend op uitdrukkelijk verzoek of met de uitdrukkelijke goedkeuring van het datasubject of de gegevenshouder worden geconverteerd of gecureerd. De in dat verband aangeboden instrumenten van derden mogen de gegevens uitsluitend gebruiken voor de doeleinden die verband houden met de databemiddelingsdiensten. Aan aanbieders van databemiddelingsdiensten die optreden als tussenpersoon voor de uitwisseling van gegevens tussen natuurlijke personen als datasubjecten en rechtspersonen als gegevensgebruikers, moeten bovendien fiduciaire verplichtingen worden opgelegd jegens de natuurlijke personen om ervoor te zorgen dat zij handelen in het belang van de datasubjecten. Kwesties in verband met de aansprakelijkheid voor alle materiële en immateriële schade en schade als gevolg van een gedraging van de aanbieder van databemiddelingsdiensten kunnen in het desbetreffende contract worden geregeld, op basis van de nationale aansprakelijkheidsregelingen.

    (34)

    Aanbieders van databemiddelingsdiensten moeten redelijke maatregelen nemen om interoperabiliteit binnen een sector en tussen verschillende sectoren te waarborgen, teneinde de goede werking van de interne markt te waarborgen. Redelijke maatregelen kunnen onder meer bestaan in het volgen van de bestaande, algemeen gebruikte normen in de sector waarin de aanbieders van databemiddelingsdiensten actief zijn. Het Europees Comité voor gegevensinnovatie moet indien nodig de totstandkoming van aanvullende industrienormen faciliteren. Aanbieders van databemiddelingsdiensten moeten te gelegener tijd de door het Europees Comité voor gegevensinnovatie vastgestelde maatregelen voor interoperabiliteit tussen de databemiddelingsdiensten ten uitvoer leggen.

    (35)

    Deze verordening mag geen afbreuk doen aan de verplichting van aanbieders van databemiddelingsdiensten om Verordening (EU) 2016/679 na te leven, noch aan de verantwoordelijkheid van de toezichthoudende autoriteiten om de naleving van die verordening te waarborgen. Waar het gaat om de verwerking van persoonsgegevens door de aanbieders van databemiddelingsdiensten, moet deze verordening de bescherming van persoonsgegevens onverlet laten. Aanbieders van databemiddelingsdiensten die verwerkingsverantwoordelijken of verwerkers zijn als gedefinieerd in Verordening (EU) 2016/679 moeten de regels van die verordening naleven.

    (36)

    Aanbieders van databemiddelingsdiensten worden geacht over procedures en maatregelen te beschikken om sancties op te leggen voor frauduleuze of onrechtmatige praktijken met betrekking tot partijen die via hun databemiddelingsdiensten toegang wensen te krijgen, waaronder maatregelen zoals de uitsluiting van gegevensgebruikers die de dienstverleningsvoorwaarden niet naleven of het geldende recht schenden.

    (37)

    Aanbieders van databemiddelingsdiensten moeten ook maatregelen nemen om de naleving van het mededingingsrecht te waarborgen en daartoe over procedures beschikken. Dat is met name het geval wanneer informatie wordt gedeeld die ondernemingen inzicht kan verschaffen in de marktstrategieën van hun huidige of potentiële concurrenten. Concurrentiegevoelige informatie omvat doorgaans informatie over klantgegevens, toekomstige prijzen, productiekosten, hoeveelheden, omzet, verkoop of capaciteit.

    (38)

    Er moet een aanmeldingsprocedure voor databemiddelingsdiensten worden vastgesteld om ervoor te zorgen dat datagovernance binnen de Unie op basis van betrouwbare gegevensuitwisseling gebeurt. De voordelen van een betrouwbare omgeving kunnen het best worden bereikt door voor het aanbieden van databemiddelingsdiensten een aantal voorwaarden op te leggen, maar zonder daarvoor een uitdrukkelijk besluit of administratieve handeling van de voor databemiddelingsdiensten bevoegde autoriteit te verlangen. De aanmeldingsprocedure mag geen onnodige obstakels opwerpen voor kmo’s, start-ups en maatschappelijke organisaties en moet het non-discriminatiebeginsel in acht nemen.

    (39)

    Om effectieve grensoverschrijdende dienstverlening te ondersteunen, moet de aanbieder van databemiddelingsdiensten alleen worden verplicht een aanmelding te sturen naar de voor databemiddelingsdiensten bevoegde autoriteit van de lidstaat waar zijn hoofdvestiging zich bevindt of waar zijn wettelijke vertegenwoordiger is gevestigd. Een dergelijke aanmelding moet beperkt blijven tot een verklaring van het voornemen om dergelijke diensten te verlenen en mag alleen worden aangevuld met de verstrekking van de in deze verordening bepaalde informatie. Na de betrokken aanmelding moet de aanbieder van databemiddelingsdiensten zonder verdere aanmeldingsverplichtingen in om het even welke lidstaat actief kunnen worden.

    (40)

    De in deze verordening neergelegde aanmeldingsprocedure mag geen afbreuk doen aan specifieke aanvullende regels voor het aanbieden van databemiddelingsdiensten die middels sectorspecifiek recht worden opgelegd.

    (41)

    De hoofdvestiging van een aanbieder van databemiddelingsdiensten in de Unie moet de plaats zijn waar zijn centrale administratie in de Unie is gelegen. De hoofdvestiging van een aanbieder van databemiddelingsdiensten in de Unie moet worden bepaald aan de hand van objectieve criteria en in die hoofdvestiging moeten daadwerkelijk managementactiviteiten worden verricht. De activiteiten van een aanbieder van databemiddelingsdiensten moeten in overeenstemming zijn met het nationale recht van de lidstaat waar hij zijn hoofdvestiging heeft.

    (42)

    Om te waarborgen dat aanbieders van databemiddelingsdiensten deze verordening naleven, moeten zij hun hoofdvestiging in de Unie hebben. Indien een aanbieder van databemiddelingsdiensten niet in de Unie is gevestigd maar zijn diensten wel in de Unie aanbiedt, moet hij een wettelijke vertegenwoordiger aanwijzen. De aanwijzing van een wettelijke vertegenwoordiger is in dergelijke gevallen noodzakelijk aangezien aanbieders van databemiddelingsdiensten zowel persoonsgegevens als commercieel vertrouwelijke gegevens verwerken, waardoor er nauwlettend op moet worden toegezien dat zij deze verordening naleven. Om te bepalen of een aanbieder van databemiddelingsdiensten diensten aanbiedt in de Unie, moet worden nagegaan of hij kennelijk voornemens is diensten aan te bieden aan personen in één of meer lidstaten. Uit de loutere toegankelijkheid in de Unie van de website of van een e-mailadres en andere contactgegevens van de aanbieder van databemiddelingsdiensten, of het gebruik van een taal die algemeen wordt gebruikt in het derde land waar de aanbieder van databemiddelingsdiensten is gevestigd, kan niet worden afgeleid dat dat voornemen aanwezig is. Uit factoren zoals het gebruik van een taal of een valuta die in één of meer lidstaten algemeen wordt gebruikt, met de mogelijkheid om in die taal diensten te bestellen, of de vermelding van gebruikers die zich in de Unie bevinden, kan evenwel blijken dat de aanbieder van databemiddelingsdiensten voornemens is diensten aan te bieden in de Unie.

    Een aangewezen wettelijke vertegenwoordiger moet namens de aanbieder van databemiddelingsdiensten handelen en de voor databemiddelingsdiensten bevoegde autoriteiten moeten zich in plaats van tot een aanbieder van de databemiddelingsdienst tot de wettelijke vertegenwoordiger kunnen wenden, of tot beiden, onder meer in het geval van inbreuken, om een handhavingsprocedure te starten tegen een niet in de Unie gevestigde aanbieder van databemiddelingsdiensten die de voorschriften niet naleeft. De wettelijke vertegenwoordiger moet via een schriftelijk mandaat van de aanbieder van databemiddelingsdiensten worden aangewezen om namens laatstgenoemde op te treden met betrekking tot diens verplichtingen uit hoofde van deze verordening.

    (43)

    Om datasubjecten en gegevenshouders te helpen om in de Unie erkende aanbieders van databemiddelingsdiensten eenvoudig te identificeren en aldus hun vertrouwen in die aanbieders te vergroten, moet er, boven op het label “in de Unie erkende aanbieder van databemiddelingsdiensten”, een gemeenschappelijk logo worden ingevoerd dat in de hele Unie herkenbaar is.

    (44)

    De voor databemiddelingsdiensten bevoegde autoriteiten die aangewezen zijn om toezicht te houden op de naleving van de verplichtingen van deze verordening door aanbieders van databemiddelingsdiensten, moeten worden gekozen op basis van hun capaciteit en deskundigheid op het gebied van horizontale of sectorale gegevensuitwisseling. Zij moeten zowel onafhankelijk van enige aanbieder van databemiddelingsdiensten zijn als transparant en onpartijdig bij de uitoefening van hun taken. De lidstaten moeten de Commissie in kennis stellen van de identiteit van die voor databemiddelingsdiensten bevoegde autoriteiten. De bevoegdheden van de voor databemiddelingsdiensten bevoegde autoriteiten mogen geen afbreuk doen aan de bevoegdheden van de gegevensbeschermingsautoriteiten. Met name voor elke kwestie die een beoordeling van de naleving van Verordening (EU) 2016/679 vereist, dient de voor databemiddelingsdiensten bevoegde autoriteit, indien relevant, een advies of besluit te vragen van de op grond van die verordening opgerichte bevoegde toezichthoudende autoriteit.

    (45)

    Er is een groot potentieel voor doeleinden van algemeen belang bij het gebruik van gegevens die vrijwillig door datasubjecten beschikbaar worden gesteld op basis van hun geïnformeerde toestemming of, wanneer het niet-persoonsgebonden gegevens betreft, die door gegevenshouders beschikbaar worden gesteld. Tot dergelijke doeleinden behoren gezondheidszorg, bestrijding van de klimaatverandering, mobiliteitsverbetering, facilitering van de ontwikkeling, productie en verspreiding van officiële statistieken, verbetering van openbare diensten, of openbare besluitvorming. Steun voor wetenschappelijk onderzoek moet ook worden beschouwd als een doeleinde van algemeen belang. Deze verordening moet tot doel hebben bij te dragen tot het ontstaan van op basis van data-altruïsme beschikbaar gestelde datapools die voldoende groot zijn, om gegevensanalyse en machinaal leren mogelijk te maken, ook in de Unie. Om dat doel te bereiken, moeten de lidstaten kunnen voorzien in organisatorische en/of technische regelingen die data-altruïsme faciliteren. Dergelijke regelingen kunnen onder meer betrekking hebben op de beschikbaarheid van gemakkelijk bruikbare instrumenten voor datasubjecten of gegevenshouders voor het verlenen van toestemming of toelating voor het altruïstisch gebruik van hun gegevens, de organisatie van bewustmakingscampagnes of een gestructureerde uitwisseling tussen bevoegde autoriteiten over de voordelen van data-altruïsme voor het overheidsbeleid, zoals verbetering van het verkeer, volksgezondheid en bestrijding van klimaatverandering. Daartoe moeten de lidstaten een nationaal beleid voor data-altruïsme vast kunnen stellen. Datasubjecten moeten enkel compensatie kunnen krijgen voor de kosten die zij maken wanneer zij hun gegevens beschikbaar stellen voor doeleinden van algemeen belang.

    (46)

    De registratie van erkende organisaties voor data-altruïsme en het gebruik van het label “in de Unie erkende organisatie voor data-altruïsme” zal naar verwachting leiden tot het ontstaan van gegevensregisters. Registratie in een lidstaat zou voor de hele Unie gelden en zal naar verwachting het grensoverschrijdend gebruik van gegevens binnen de Unie en het ontstaan van datapools die verschillende lidstaten bestrijken, faciliteren. Gegevenshouders kunnen toelating verlenen voor de verwerking van hun niet-persoonsgebonden gegevens voor een reeks doeleinden die op het moment van het verlenen van de toelating niet zijn vastgelegd. Als erkende organisaties voor data-altruïsme een reeks vereisten als neergelegd in deze verordening naleven, moet dat het vertrouwen wekken dat de voor altruïstische doeleinden beschikbaar gestelde gegevens een doeleinde van algemeen belang dienen. Dat vertrouwen moet met name voortvloeien uit een plaats van vestiging of een wettelijk vertegenwoordiger binnen de Unie, alsook uit de vereiste dat erkende organisaties voor data-altruïsme organisaties zonder winstoogmerk moeten zijn, uit transparantievereisten en uit specifieke waarborgen om de rechten en belangen van datasubjecten en ondernemingen te beschermen.

    Verdere waarborgen zijn onder meer de mogelijkheid om relevante gegevens te verwerken in een beveiligde verwerkingsomgeving die door de erkende organisaties voor data-altruïsme wordt beheerd, toezichtsmechanismen zoals ethische commissies of raden waar vertegenwoordigers van maatschappelijke organisaties deel van uitmaken, om te waarborgen dat de verwerkingsverantwoordelijke strenge normen op het gebied van wetenschappelijke ethiek en bescherming van de grondrechten handhaaft, effectieve en duidelijk bekendgemaakte technische middelen hanteert om de toestemming te allen tijde in te trekken of te wijzigen, op basis van de informatieverplichtingen van de gegevensverwerkers uit hoofde van Verordening (EU) 2016/679, en gebruikmaakt van middelen waarmee datasubjecten op de hoogte kunnen blijven van het gebruik van de door hen beschikbaar gestelde gegevens. Registratie als een erkende organisatie voor data-altruïsme mag geen voorwaarde zijn voor het uitvoeren van activiteiten in verband met data-altruïsme. De Commissie moet in nauwe samenwerking met organisaties voor data-altruïsme en belanghebbenden door middel van gedelegeerde handelingen een rulebook voorbereiden. Naleving van dat rulebook moet een vereiste voor registratie als erkende organisatie voor data-altruïsme zijn.

    (47)

    Om datasubjecten en gegevenshouders te helpen om erkende organisaties voor data-altruïsme eenvoudig te identificeren en aldus hun vertrouwen in die organisaties te vergroten, moet er een gemeenschappelijk logo worden ingevoerd dat in de hele Unie herkenbaar is. Het gemeenschappelijke logo moet vergezeld gaan van een QR-code met een link naar het openbaar Unieregister van erkende organisaties voor data-altruïsme.

    (48)

    Deze verordening mag geen afbreuk doen aan de oprichting, organisatie en werking van entiteiten die op grond van het nationale recht aan data-altruïsme wensen te doen en moet voortbouwen op de nationale wettelijke vereisten om rechtmatig in een lidstaat te werken als een organisatie zonder winstoogmerk.

    (49)

    Deze verordening mag geen afbreuk doen aan de oprichting, organisatie en werking van andere entiteiten dan openbare lichamen die zich bezighouden met het delen van gegevens en inhoud op basis van open licenties en aldus bijdragen tot de totstandbrenging van voor iedereen beschikbare gemeenschappelijke bronnen. Dat moet open samenwerkingsplatformen voor het delen van kennis, wetenschappelijke en academische openaccessdatabanken, platformen voor de ontwikkeling van opensourcesoftware, en openaccessplatformen voor het verzamelen van inhoud omvatten.

    (50)

    Erkende organisaties voor data-altruïsme moeten relevante gegevens rechtstreeks bij natuurlijke en rechtspersonen kunnen verzamelen of door anderen verzamelde gegevens kunnen verwerken. Verzamelde gegevens kunnen door organisaties voor data-altruïsme worden verwerkt voor doeleinden die zij zelf bepalen, of zij kunnen, indien relevant, derden toelating geven om gegevens te verwerken voor die doeleinden. Erkende organisaties voor data-altruïsme die verwerkingsverantwoordelijken of verwerkers als gedefinieerd in Verordening (EU) 2016/679 zijn, moeten die verordening naleven. Data-altruïsme berust doorgaans op de toestemming van datasubjecten in de zin van artikel 6, lid 1, punt a), en artikel 9, lid 2), punt a), van Verordening (EU) 2016/679, waarbij moet worden voldaan aan de vereisten voor rechtmatige toestemming overeenkomstig de artikelen 7 en 8 van die verordening. Overeenkomstig Verordening (EU) 2016/679 kan wetenschappelijk onderzoek worden ondersteund door toestemming voor bepaalde onderzoeksgebieden indien erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen, of alleen door toestemming voor specifieke onderzoeksgebieden of delen van onderzoeksprojecten. In artikel 5, lid 1, punt b), van Verordening (EU) 2016/679 is bepaald dat verdere verwerking met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, van die verordening niet als onverenigbaar met de oorspronkelijke doeleinden wordt beschouwd. Voor niet-persoonsgebonden gegevens moeten de gebruiksbeperkingen worden vermeld bij het verlenen van toelating door de gegevenshouder.

    (51)

    De voor registratie van organisaties voor data-altruïsme bevoegde autoriteiten die zijn aangewezen om toezicht te houden op de naleving van de vereisten van deze verordening door erkende organisaties voor data-altruïsme, moeten worden gekozen op basis van hun capaciteit en deskundigheid. Zij moeten zowel onafhankelijk van enige organisatie voor data-altruïsme zijn als transparant en onpartijdig bij de uitoefening van hun taken. De lidstaten moeten de Commissie in kennis stellen van de identiteit van de voor registratie van organisaties voor data-altruïsme bevoegde autoriteiten. De bevoegdheden van de voor registratie van organisaties voor data-altruïsme bevoegde autoriteiten mogen geen afbreuk doen aan de bevoegdheden van de gegevensbeschermingsautoriteiten. Met name voor elke kwestie die beoordeling van de naleving van Verordening (EU) 2016/679 vereist, dient de voor registratie van organisaties voor data-altruïsme bevoegde autoriteit, indien relevant, een advies of besluit te vragen van de op grond van die verordening opgerichte bevoegde toezichthoudende autoriteit.

    (52)

    Om het vertrouwen te bevorderen en extra rechtszekerheid en gebruikersvriendelijkheid te bieden bij het proces inzake het verlenen en intrekken van toestemming, met name in het kader van wetenschappelijk onderzoek en statistisch gebruik van gegevens die uit altruïsme beschikbaar worden gesteld, moet een Europees toestemmingsformulier voor data-altruïsme worden ontwikkeld en gebruikt in de context van het altruïstisch delen van gegevens. Dat formulier moet datasubjecten meer transparantie verschaffen over het feit dat hun gegevens zullen worden geraadpleegd en gebruikt in overeenstemming met hun toestemming en met volledige inachtneming van de regels inzake gegevensbescherming. Het formulier moet ook het verlenen en intrekken van toestemming faciliteren en worden gebruikt om het data-altruïsme van ondernemingen te stroomlijnen en die ondernemingen een mechanisme te bieden om hun toelating tot het gebruik van de gegevens in te trekken. Om rekening te houden met de specifieke kenmerken van individuele sectoren, ook vanuit het oogpunt van gegevensbescherming, moet het Europees toestemmingsformulier voor data-altruïsme gebruikmaken van een modulaire benadering, zodat het specifiek kan worden afgestemd op bepaalde sectoren of op verschillende doeleinden.

    (53)

    Om de invoering van het datagovernancekader te doen slagen, moet een Europees Comité voor gegevensinnovatie worden opgericht, in de vorm van een deskundigengroep. Het Europees Comité voor gegevensinnovatie moet bestaan uit vertegenwoordigers van de voor databemiddelingsdiensten bevoegde autoriteiten en de voor registratie van organisaties voor data-altruïsme bevoegde autoriteiten van alle lidstaten, het Europees Comité voor gegevensbescherming, de Europese Toezichthouder voor gegevensbescherming, het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), de Commissie, de kmo-gezant van de EU of een door het netwerk van kmo-gezanten aangewezen vertegenwoordiger, en andere vertegenwoordigers van relevante organen in specifieke sectoren en organen met specifieke deskundigheid. Het Europees Comité voor gegevensinnovatie moet bestaan uit een aantal subgroepen, met inbegrip van een subgroep voor de betrokkenheid van belanghebbenden die bestaat uit relevante vertegenwoordigers van het bedrijfsleven, zoals gezondheid, milieu, landbouw, vervoer, energie, industriële productie, media, culturele en creatieve sectoren en statistiek, en van de onderzoekswereld, de academische wereld, maatschappelijke organisaties, organisaties voor normalisatie en relevante gemeenschappelijke Europese gegevensruimten, en uit andere relevante belanghebbenden en derden, onder meer instanties met specifieke deskundigheid zoals nationale bureaus voor de statistiek.

    (54)

    Het Europees Comité voor gegevensinnovatie moet de Commissie bijstaan bij de coördinatie van nationale praktijken en beleidsmaatregelen met betrekking tot de onderwerpen die onder deze verordening vallen, en bij de bevordering van sectoroverschrijdend gegevensgebruik door toepassing van de beginselen van het Europees interoperabiliteitskader (EIF) en door gebruik van Europese en internationale normen en specificaties, onder meer via het EU-multistakeholdersplatform inzake ICT-normalisatie, de Core Vocabularies en de CEF-bouwstenen, en moet rekening houden met lopende normalisatiewerkzaamheden in specifieke sectoren of domeinen. De technische normalisatiewerkzaamheden kunnen betrekking hebben op het bepalen van prioriteiten voor de ontwikkeling van normen en op de vaststelling en instandhouding van een reeks technische en wettelijke normen voor de overdracht van gegevens tussen twee verwerkingsomgevingen die het mogelijk maken gegevensruimten te organiseren, met name door te verduidelijken en te bepalen welke normen en praktijken sectoroverschrijdend en welke sectorspecifiek zijn. Het Europees Comité voor gegevensinnovatie moet samenwerken met sectorale organen, netwerken of deskundigengroepen of met andere sectoroverschrijdende organisaties die zich bezighouden met het hergebruik van gegevens. Wat data-altruïsme betreft, moet het Europees Comité voor gegevensinnovatie de Commissie bijstaan bij de ontwikkeling van het toestemmingsformulier voor data-altruïsme, na overleg met het Europees Comité voor gegevensbescherming. Het Europees Comité voor gegevensinnovatie moet, in overeenstemming met de Europese datastrategie, de ontwikkeling van een goed functionerende, op gemeenschappelijke Europese gegevensruimten gebaseerde Europese data-economie ondersteunen door richtsnoeren voor die gegevensruimten voor te stellen.

    (55)

    De lidstaten moeten voorschriften vaststellen inzake de sancties die van toepassing zijn op inbreuken op deze verordening en alle nodige maatregelen nemen om ervoor te zorgen dat zij worden uitgevoerd. Die sancties moeten doeltreffend, evenredig en afschrikkend zijn. Grote verschillen tussen de sanctieregels kunnen leiden tot concurrentieverstoring op de digitale eengemaakte markt. De harmonisatie van dergelijke regels kan in dat opzicht nuttig zijn.

    (56)

    Om ervoor te zorgen dat deze verordening doeltreffend wordt gehandhaafd en aanbieders van databemiddelingsdiensten en entiteiten die zich willen registreren als erkende organisatie voor data-altruïsme de hele aanmeldings- en registratieprocedures online kunnen opzoeken en doorlopen, ongeacht het land waar ze zich bevinden, moeten die procedures worden aangeboden via de digitale toegangspoort die is opgezet op grond van Verordening (EU) 2018/1724 van het Europees Parlement en de Raad (29). Die procedures moeten worden toegevoegd aan de lijst van procedures in bijlage II bij Verordening (EU) 2018/1724.

    (57)

    Verordening (EU) 2018/1724 moet daarom dienovereenkomstig worden gewijzigd.

    (58)

    Teneinde de doeltreffendheid van deze verordening te waarborgen, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen teneinde deze verordening aan te vullen door bijzondere voorwaarden op te leggen voor de doorgifte aan derde landen van bepaalde niet-persoonsgebonden gegevens die in specifieke volgens een wetgevingsprocedure vastgestelde handelingen van de Unie als zeer gevoelig worden beschouwd, en door een reglement op te stellen voor erkende organisaties voor data-altruïsme met daarin informatie, technische en beveiligingsvereisten, en stappenplannen voor communicatie en interoperabiliteitsnormen die die organisaties in acht moeten nemen. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven (30). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van gedelegeerde handelingen.

    (59)

    Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend teneinde openbare lichamen en hergebruikers te helpen aan de in deze verordening vervatte voorwaarden voor hergebruik te voldoen door contractuele modelbepalingen op te stellen voor het doorgeven door hergebruikers van niet-persoonsgebonden gegevens aan een derde land, teneinde de juridische, toezichts- en handhavingsregelingen van een derde land als gelijkwaardig aan de uit hoofde van het Unierecht geboden bescherming te verklaren, teneinde het ontwerp voor het gemeenschappelijke logo voor aanbieders van databemiddelingsdiensten en voor het gemeenschappelijke logo voor erkende organisaties voor data-altruïsme te ontwikkelen, en teneinde het Europees toestemmingsformulier voor data-altruïsme vast te stellen en te ontwikkelen. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (31).

    (60)

    Deze verordening mag geen afbreuk doen aan de toepassing van de regels inzake mededinging, en met name de artikelen 101 en 102 VWEU. De in deze verordening vervatte maatregelen mogen niet worden gebruikt om de mededinging te beperken op een wijze die strijdig is met het VWEU. Dat betreft met name de regels voor de uitwisseling van concurrentiegevoelige informatie tussen bestaande of potentiële concurrenten via databemiddelingsdiensten.

    (61)

    De Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming werden geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725, en hebben op 10 maart 2021 hun advies uitgebracht.

    (62)

    Deze verordening heeft als leidende beginselen de eerbiediging van de grondrechten en de beginselen die met name zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie, met inbegrip van het recht op eerbiediging van het privéleven, de bescherming van persoonsgegevens, de vrijheid van ondernemerschap, het recht op eigendom en de integratie van personen met een handicap. De openbare lichamen en diensten uit hoofde van deze verordening moeten in verband met dat laatstgenoemde recht, waar relevant, de Richtlijnen (EU) 2016/2102 (32) en (EU) 2019/882 (33) van het Europees Parlement en de Raad in acht nemen. Verder moet bij informatie- en communicatietechnologie rekening worden gehouden met universeel ontwerp, hetgeen betekent dat er bewust en systematisch moet worden getracht beginselen, methoden en hulpmiddelen ter bevordering van universeel ontwerp in computergerelateerde technologieën, waaronder internettechnologieën, proactief toe te passen, zodat er geen aanpassingen achteraf of aangepaste ontwerpen nodig zijn.

    (63)

    Daar de doelstellingen van deze verordening, te weten het hergebruik binnen de Unie van bepaalde categorieën gegevens die in het bezit zijn van openbare lichamen en de vaststelling van een aanmeldings- en toezichtskader voor de verstrekking van databemiddelingsdiensten, een kader voor de vrijwillige registratie van entiteiten die voor altruïstische doeleinden gegevens beschikbaar stellen en een kader voor de oprichting van een Europees Comité voor gegevensinnovatie, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang en de gevolgen ervan beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstellingen te verwezenlijken,

    HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

    HOOFDSTUK I

    Algemene bepalingen

    Artikel 1

    Onderwerp en toepassingsgebied

    1.   Deze verordening bevat:

    a)

    voorwaarden voor het hergebruik, in de Unie, van bepaalde gegevenscategorieën die in het bezit zijn van openbare lichamen;

    b)

    een aanmeldings- en toezichtskader voor het aanbieden van databemiddelingsdiensten;

    c)

    een kader voor de vrijwillige registratie van entiteiten die voor altruïstische doeleinden beschikbaar gestelde gegevens verzamelen en verwerken, en

    d)

    een kader voor de oprichting van een Europees Comité voor gegevensinnovatie.

    2.   Deze verordening houdt voor openbare lichamen geen verplichting in om hergebruik van gegevens toe te staan, en het ontheft openbare lichamen niet van hun vertrouwelijkheidsverplichtingen uit hoofde van het Unierecht of het nationale recht.

    Deze verordening doet geen afbreuk aan:

    a)

    specifieke bepalingen in het Unierecht of het nationale recht betreffende de toegang tot of het hergebruik van bepaalde gegevenscategorieën, met name wat betreft het verlenen van toegang tot en het openbaar maken van officiële documenten, en

    b)

    verplichtingen van openbare lichamen uit hoofde van het Unierecht of het nationale recht om hergebruik van gegevens toe te staan, noch aan vereisten met betrekking tot de verwerking van niet-persoonsgebonden gegevens.

    Indien sectorspecifiek Unierecht of nationaal recht vereist dat openbare lichamen, aanbieders van databemiddelingsdiensten of erkende organisaties voor data-altruïsme moeten voldoen aan specifieke aanvullende technische, administratieve of organisatorische vereisten, onder meer via een vergunnings- of certificeringsregeling, zijn die bepalingen van dat sectorspecifieke Unierecht of nationale recht eveneens van toepassing. Dergelijke specifieke aanvullende vereisten zijn niet-discriminerend, evenredig en objectief gerechtvaardigd.

    3.   Het Unierecht en het nationale recht inzake de bescherming van persoonsgegevens zijn van toepassing op alle persoonsgegevens die in verband met deze verordening worden verwerkt. Deze verordening doet met name geen afbreuk aan de Verordeningen (EU) 2016/679 en (EU) 2018/1725 en aan de Richtlijnen 2002/58/EG en (EU) 2016/680, met inbegrip van wat betreft de bevoegdheden van toezichthoudende autoriteiten. Indien deze verordening en het Unierecht inzake de bescherming van persoonsgegevens of het overeenkomstig dat Unierecht vastgestelde nationale recht tegenstrijdig zijn, prevaleert het relevante Unie- of nationale recht inzake de bescherming van persoonsgegevens. Deze verordening schept geen rechtsgrondslag voor de verwerking van persoonsgegevens en laat de rechten en verplichtingen die zijn vastgelegd in de Verordeningen (EU) 2016/679 of (EU) 2018/1725, of de Richtlijnen 2002/58/EG of (EU) 2016/680 onverlet.

    4.   Deze verordening doet geen afbreuk aan de toepassing van het mededingingsrecht.

    5.   Deze verordening doet geen afbreuk aan de bevoegdheden van de lidstaten met betrekking tot hun activiteiten die verband houden met openbare veiligheid, defensie en nationale veiligheid.

    Artikel 2

    Definities

    In deze verordening wordt verstaan onder:

    1)

    “gegevens”: elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluidsopnames of visuele of audiovisuele opnames;

    2)

    “hergebruik”: het gebruik van gegevens die in het bezit zijn van openbare lichamen door natuurlijke of rechtspersonen, voor andere commerciële of niet-commerciële doeleinden dan het oorspronkelijk doel binnen de openbare taak waarvoor de gegevens zijn geproduceerd, met uitzondering van de uitwisseling van gegevens tussen openbare lichamen uitsluitend met het oog op de vervulling van hun openbare taken;

    3)

    “persoonsgegevens”: persoonsgegevens als gedefinieerd in artikel 4, punt 1), van Verordening (EU) 2016/679;

    4)

    “niet-persoonsgebonden gegevens”: andere gegevens dan persoonsgegevens;

    5)

    “toestemming”: toestemming als gedefinieerd in artikel 4, punt 11), van Verordening (EU) 2016/679;

    6)

    “toelating”: gegevensgebruikers het recht geven om niet-persoonsgebonden gegevens te verwerken;

    7)

    “datasubject”: betrokkene als bedoeld in artikel 4, punt 1), van Verordening (EU) 2016/679;

    8)

    “gegevenshouder”: een rechtspersoon, met inbegrip van openbare lichamen en internationale organisaties, of een natuurlijk persoon die geen datasubject is met betrekking tot de specifieke gegevens in kwestie, die overeenkomstig het toepasselijke Unierecht of nationale recht, het recht heeft om toegang te verlenen tot bepaalde persoonsgegevens of niet-persoonsgebonden gegevens of die te delen;

    9)

    “gegevensgebruiker”: een natuurlijk persoon of rechtspersoon die rechtmatige toegang heeft tot bepaalde persoonsgegevens of niet-persoonsgebonden gegevens en die het recht heeft, onder meer uit hoofde van Verordening (EU) 2016/679 in het geval van persoonsgegevens, om die gegevens voor commerciële of niet-commerciële doeleinden te gebruiken;

    10)

    “gegevensdeling”: de verstrekking van gegevens door een datasubject of gegevenshouder aan een gegevensgebruiker, met het oog op het gezamenlijk of individueel gebruik van die gegevens, op basis van vrijwillige overeenkomsten, het Unierecht of het nationale recht, hetzij rechtstreeks, hetzij via een tussenpersoon, bijvoorbeeld open of commerciële licenties, kosteloos of tegen betaling;

    11)

    “databemiddelingsdienst”: een dienst die gericht is op het tot stand brengen van commerciële relaties met het oog op het delen van gegevens tussen een onbepaald aantal datasubjecten en gegevenshouders enerzijds en gegevensgebruikers anderzijds, door middel van technische, juridische of andere middelen, onder meer voor de uitoefening van de rechten van datasubjecten met betrekking tot persoonsgegevens, maar met uitsluiting van ten minste de volgende diensten:

    a)

    diensten die gegevens van gegevenshouders verkrijgen en de gegevens aggregeren, verrijken of transformeren met het oog op het toevoegen van substantiële waarde en het gebruik van de resulterende gegevens in licentie geven aan de gegevensgebruikers, zonder dat er een commerciële relatie tussen gegevenshouders en gegevensgebruikers tot stand wordt gebracht;

    b)

    diensten die gericht zijn op bemiddeling met betrekking tot auteursrechtelijk beschermde inhoud;

    c)

    diensten die uitsluitend door één gegevenshouder worden gebruikt om het gebruik mogelijk te maken van de gegevens waarover die gegevenshouder beschikt of die worden gebruikt door meerdere rechtspersonen in een gesloten groep, met inbegrip van leveranciers- of klantenrelaties of contractueel vastgelegde samenwerkingsverbanden, met name die welke als hoofddoel hebben de functionaliteiten van met het internet der dingen verbonden voorwerpen en apparaten te waarborgen;

    d)

    gegevensdelingsdiensten die door openbare lichamen worden aangeboden en die er niet op gericht zijn commerciële relaties tot stand te brengen;

    12)

    “verwerking”: verwerking als gedefinieerd in artikel 4, punt 2), van Verordening (EU) 2016/679 wat betreft persoonsgegevens, of in artikel 3, punt 2), van Verordening (EU) 2018/1807 wat betreft niet-persoonsgebonden gegevens;

    13)

    “toegang”: gegevensgebruik, overeenkomstig specifieke technische, juridische of organisatorische voorschriften, zonder dat dat noodzakelijkerwijs gepaard gaat met het doorgeven of downloaden van gegevens;

    14)

    “hoofdvestiging” van een rechtspersoon: de plaats waar zijn centrale administratie in de Unie is gelegen;

    15)

    “diensten van gegevenscoöperaties”: databemiddelingsdiensten die worden aangeboden door een organisatie die bestaat uit datasubjecten, eenpersoonsondernemingen of kmo’s die lid zijn van die organisatie, en die als voornaamste doelen heeft haar leden te ondersteunen bij de uitoefening van hun rechten met betrekking tot bepaalde gegevens, onder meer bij het maken van weloverwogen keuzes alvorens zij toestemming geven voor gegevensverwerking, standpunten uit te wisselen over de doeleinden van en de voorwaarden voor gegevensverwerking die het beste de belangen van haar leden ten aanzien van hun gegevens vertegenwoordigen, en namens haar leden te onderhandelen over de voorwaarden voor gegevensverwerking alvorens toelating te geven voor de verwerking van niet-persoonsgebonden gegevens of alvorens leden toestemming geven voor de verwerking van persoonsgegevens;

    16)

    “data-altruïsme”: het vrijwillig delen van gegevens op basis van de toestemming van datasubjecten om persoonsgegevens die op hen betrekking hebben te verwerken, of op basis van de toelating van gegevenshouders om hun niet-persoonsgebonden gegevens te gebruiken zonder een vergoeding te vragen of te ontvangen die verder gaat dan vergoeding van de kosten die zij maken indien zij hun gegevens beschikbaar stellen voor doeleinden van algemeen belang zoals in voorkomend geval bepaald in het nationale recht, zoals gezondheidszorg, de strijd tegen klimaatverandering, verbetering van mobiliteit, facilitering van de ontwikkeling, productie en verspreiding van officiële statistieken, verbetering van openbare diensten, openbare besluitvorming of wetenschappelijk onderzoek in het algemeen belang;

    17)

    “openbaar lichaam”: de staats-, regionale en lokale overheidsinstanties en publiekrechtelijke instellingen of samenwerkingsverbanden bestaande uit één of meer van die overheidsinstanties of één of meer van die publiekrechtelijke instellingen;

    18)

    “publiekrechtelijke instellingen”: instellingen die voldoen aan de volgende kenmerken:

    a)

    zij zijn opgericht voor het specifieke doel te voorzien in behoeften van algemeen belang, en zijn niet van industriële of commerciële aard;

    b)

    zij bezitten rechtspersoonlijkheid;

    c)

    zij worden merendeels door de staats-, regionale of lokale overheidsinstanties of andere publiekrechtelijke instellingen gefinancierd, of hun beheer staat onder toezicht van die instanties of instellingen, of zij hebben een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan de leden voor meer dan de helft door de staats-, regionale of lokale overheidsinstanties of andere publiekrechtelijke instellingen zijn aangewezen;

    19)

    “overheidsonderneming”: elke onderneming waarop openbare lichamen direct of indirect een overheersende invloed kunnen uitoefenen uit hoofde van eigendom, financiële deelneming in die onderneming of de op die onderneming van toepassing zijnde voorschriften; voor de toepassing van deze definitie wordt uitgegaan van een overheersende invloed van de openbare lichamen in elk van de volgende gevallen waarin die openbare lichamen, direct of indirect:

    a)

    de meerderheid van het geplaatste kapitaal van de onderneming bezitten;

    b)

    over de meerderheid van de stemrechten verbonden aan de door de onderneming uitgegeven aandelen beschikken;

    c)

    meer dan de helft van de leden van het bestuurs-, het leidinggevend of het toezichthoudend orgaan van de onderneming kunnen aanwijzen;

    20)

    “beveiligde verwerkingsomgeving”: de fysieke of virtuele omgeving en organisatorische middelen om te zorgen voor de naleving van het Unierecht, zoals Verordening (EU) 2016/679, met name wat betreft de rechten van datasubjecten, intellectuele-eigendomsrechten, en handels- en statistisch geheim, integriteit en toegankelijkheid, alsook van het toepasselijke nationale recht, en om de entiteit die de beveiligde verwerkingsomgeving biedt in staat te stellen alle gegevensverwerkingsactiviteiten te bepalen en er toezicht op te houden, met inbegrip van het tonen, opslaan, downloaden en exporteren van gegevens en het berekenen van afgeleide gegevens door middel van computeralgoritmen;

    21)

    “wettelijke vertegenwoordiger”: een in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om te handelen namens een aanbieder van een databemiddelingsdienst of een entiteit die, voor doeleinden van algemeen belang, gegevens verzamelt die door niet in de Unie gevestigde natuurlijke personen of rechtspersonen ter beschikking zijn gesteld op basis van data-altruïsme, waartoe de voor databemiddelingsdiensten bevoegde autoriteiten en de voor registratie van organisaties voor data-altruïsme bevoegde autoriteiten zich in plaats van tot de aanbieder van de databemiddelingsdienst of entiteit kunnen wenden, of tot beiden, wat betreft de verplichtingen uit hoofde van deze verordening, onder meer om een handhavingsprocedure te starten tegen een niet in de Unie gevestigde aanbieder van databemiddelingsdiensten of entiteit die de voorschriften niet naleeft.

    HOOFDSTUK II

    Hergebruik van bepaalde categorieën beschermde gegevens die in het bezit zijn van openbare lichamen

    Artikel 3

    Gegevenscategorieën

    1.   Dit hoofdstuk is van toepassing op gegevens die in het bezit zijn van openbare lichamen en die beschermd zijn op grond van:

    a)

    het handelsgeheim, waaronder bedrijfs- of beroepsgeheim;

    b)

    statistisch geheim;

    c)

    de bescherming van de intellectuele-eigendomsrechten van derden, of

    d)

    de bescherming van persoonsgegevens, voor zover die buiten het toepassingsgebied van Richtlijn (EU) 2019/1024 vallen.

    2.   Dit hoofdstuk is niet van toepassing op:

    a)

    gegevens van overheidsondernemingen;

    b)

    gegevens in het bezit van openbare omroepen of hun dochterondernemingen en van andere entiteiten of hun dochterondernemingen ten behoeve van de vervulling van een publieke omroeptaak;

    c)

    gegevens in het bezit van culturele instellingen en onderwijsinstellingen;

    d)

    gegevens die in het bezit zijn van openbare lichamen en die beschermd zijn om redenen van openbare veiligheid, defensie of nationale veiligheid, of

    e)

    gegevens waarvan de verstrekking een activiteit is die niet valt onder de openbare taak van de betrokken openbare lichamen, als bepaald bij wet of ander bindend voorschrift van de betrokken lidstaat of, indien een voorschrift ter zake ontbreekt, als bepaald overeenkomstig de gangbare bestuurspraktijk van die lidstaat, mits de afbakening van de openbare taken transparant is en aan toetsing is onderworpen.

    3.   Dit hoofdstuk doet geen afbreuk aan:

    a)

    het Unie- en nationale recht en internationale overeenkomsten waarbij de Unie of lidstaten partij zijn, inzake de bescherming van de in lid 1 bedoelde gegevenscategorieën, en

    b)

    het Unie- en nationale recht inzake toegang tot documenten.

    Artikel 4

    Verbod op exclusieve overeenkomsten

    1.   Overeenkomsten of andere praktijken met betrekking tot het hergebruik van gegevens die in het bezit zijn van openbare lichamen en die in artikel 3, lid 1, vermelde gegevenscategorieën bevatten, waarbij exclusieve rechten worden toegekend of die tot doel of gevolg hebben dergelijke exclusieve rechten toe te kennen of de beschikbaarheid van gegevens voor hergebruik door andere entiteiten dan de partijen bij die overeenkomsten of andere praktijken te beperken, zijn verboden.

    2.   In afwijking van lid 1 mag een exclusief recht op het hergebruik van de in dat lid bedoelde gegevens worden toegekend voor zover dat nodig is voor de verlening van een dienst of de levering van een product in het algemeen belang die anders niet mogelijk zou zijn.

    3.   Een exclusief recht zoals bedoeld in lid 2 wordt verleend bij administratieve handeling of een contractuele regeling in overeenstemming met het toepasselijke Unierecht of nationale recht en met inachtneming van de beginselen van transparantie, gelijke behandeling en non-discriminatie.

    4.   Het exclusieve recht op hergebruik van gegevens wordt voor een periode van hoogstens twaalf maanden toegekend. Wanneer een overeenkomst wordt gesloten, is de duur van die overeenkomst dezelfde als die van de exclusiviteitsperiode.

    5.   De toekenning van een exclusief recht op grond van de leden 2, 3 en 4, met inbegrip van de redenen waarom het noodzakelijk is een dergelijk recht toe te kennen, moet transparant zijn en online openbaar worden gemaakt, in een vorm die in overeenstemming is met het toepasselijke Unierecht inzake openbare aanbestedingen.

    6.   Overeenkomsten of andere praktijken die onder het in lid 1 bedoelde verbod vallen, die niet voldoen aan de voorwaarden van de leden 2 en 3 en die zijn gesloten vóór 23 juni 2022, worden beëindigd aan het einde van de toepasselijke overeenkomst en in elk geval uiterlijk op 24 december 2024.

    Artikel 5

    Voorwaarden voor hergebruik

    1.   Openbare lichamen die uit hoofde van het nationale recht bevoegd zijn om de toegang tot een of meer in artikel 3, lid 1, bedoelde gegevenscategorieën met het oog op hergebruik te verlenen of te weigeren, maken de voorwaarden voor het toestaan van dat hergebruik en de procedure om toestemming voor hergebruik aan te vragen via het in artikel 8 bedoelde centrale informatiepunt, openbaar. Bij het verlenen of weigeren van toegang met het oog op hergebruik kunnen zij worden bijgestaan door de in artikel 7, lid 1, bedoelde bevoegde organen.

    De lidstaten zorgen ervoor dat openbare lichamen over de nodige middelen beschikken om aan dit artikel te voldoen.

    2.   De voorwaarden voor hergebruik moeten niet-discriminerend, transparant, evenredig en objectief gerechtvaardigd zijn wat betreft de gegevenscategorieën, het doel van het hergebruik en de aard van de gegevens waarvoor hergebruik wordt toegestaan. Die voorwaarden mogen niet worden gebruikt om de mededinging te beperken.

    3.   Openbare lichamen zorgen er overeenkomstig het Unierecht en het nationale recht voor dat het beschermde karakter van de gegevens behouden blijft. Zij kunnen de volgende vereisten opleggen:

    a)

    dat slechts toegang wordt verleend om gegevens te hergebruiken als het openbaar lichaam of het bevoegd orgaan er na een verzoek tot hergebruik voor heeft gezorgd dat de gegevens:

    i)

    geanonimiseerd zijn, in het geval van persoonsgegevens, en

    ii)

    gewijzigd of geaggregeerd zijn of dat zij behandeld zijn volgens een andere methode om de openbaarmaking ervan te controleren, in het geval van commercieel vertrouwelijke informatie, met inbegrip van bedrijfsgeheimen of door intellectuele-eigendomsrechten beschermde inhoud;

    b)

    dat voor de toegang tot en het hergebruik van de gegevens op afstand gebruik wordt gemaakt van een beveiligde verwerkingsomgeving die door het openbaar lichaam ter beschikking wordt gesteld of gecontroleerd;

    c)

    dat voor de toegang tot en het hergebruik van de gegevens gebruik wordt gemaakt, met inachtneming van strikte beveiligingsnormen, van de fysieke locatie waar de beveiligde verwerkingsomgeving zich bevindt, op voorwaarde dat toegang op afstand niet kan worden toegestaan zonder de rechten en belangen van derden in gevaar te brengen.

    4.   Bij hergebruik dat werd toegestaan overeenkomstig lid 3, punten b) en c), leggen de openbare lichamen voorwaarden op die de integriteit van de werking van de technische systemen van de beveiligde verwerkingsomgeving in stand houden. De openbare lichamen behouden zich het recht voor het proces, de middelen en alle resultaten van gegevensverwerking door de hergebruiker te verifiëren teneinde de integriteit van de gegevensbescherming te vrijwaren, alsook het recht om het gebruik te verbieden van resultaten die informatie bevatten die de rechten en belangen van derden in gevaar brengt. Het besluit om het gebruik van de resultaten te verbieden moet begrijpelijk en transparant zijn voor de hergebruiker.

    5.   Tenzij het nationale recht in specifieke waarborgen voorziet inzake toepasselijke vertrouwelijkheidsverplichtingen met betrekking tot het hergebruik van gegevens als bedoeld in artikel 3, lid 1,, stelt het openbaar lichaam het hergebruik van de overeenkomstig lid 3 van dit artikel verstrekte gegevens afhankelijk van de naleving door de hergebruiker van een vertrouwelijkheidsverplichting die de openbaarmaking verbiedt van informatie die de rechten en belangen van derden in gevaar brengt en die de hergebruiker ondanks de ingestelde waarborgen heeft verkregen. Hergebruikers mogen geen datasubjecten op wie de gegevens betrekking hebben heridentificeren en nemen technische en operationele maatregelen om heridentificatie te voorkomen en om elke inbreuk in verband met persoonsgegevens die leidt tot heridentificatie van de betrokkenen, aan het openbaar lichaam te melden. In geval van ongeoorloofd hergebruik van niet-persoonsgebonden gegevens, stelt de hergebruiker, waar passend met de hulp van het openbaar lichaam, de rechtspersonen van wie de rechten en belangen in het geding kunnen komen, daar onverwijld van in kennis.

    6.   Indien het hergebruik van gegevens niet kan worden toegestaan overeenkomstig de in de leden 3 en 4 van dit artikel neergelegde verplichtingen en er geen rechtsgrondslag is voor de doorgifte van de gegevens uit hoofde van Verordening (EU) 2016/679, stelt het openbaar lichaam, overeenkomstig het Unierecht en het nationale recht, alles in het werk om potentiële hergebruikers bij te staan bij het vragen van de toestemming van de datasubjecten of de toelating van de gegevenshouders van wie de rechten en belangen door het hergebruik in het geding kunnen komen, indien dat haalbaar is zonder onevenredige lasten voor het openbaar lichaam. Bij het verlenen van dergelijke bijstand kan het openbaar lichaam worden bijgestaan door de in artikel 7, lid 1, bedoelde bevoegde organen.

    7.   Het hergebruik van gegevens is alleen toegestaan als de intellectuele-eigendomsrechten in acht worden genomen. Openbare lichamen oefenen het bij artikel 7, lid 1, van Richtlijn 96/9/EG verleende recht van de fabrikant van een databank niet uit om het hergebruik van gegevens tegen te gaan of buiten de bij deze verordening bepaalde grenzen te beperken.

    8.   Indien de gevraagde gegevens overeenkomstig het Unierecht of nationale recht inzake handels- of statistisch geheim als vertrouwelijk moeten worden beschouwd, zorgen de openbare lichamen ervoor dat de vertrouwelijke gegevens niet openbaar worden gemaakt als gevolg van het toestaan van hergebruik, tenzij dat hergebruik wordt toegestaan overeenkomstig lid 6.

    9.   Indien een hergebruiker voornemens is op grond van artikel 3, lid 1, beschermde niet-persoonsgebonden gegevens door te geven aan een derde land, stelt hij het openbaar lichaam op het moment dat hij om hergebruik van dergelijke gegevens verzoekt op de hoogte van zijn voornemen om dergelijke gegevens door te geven en van het doel van die doorgifte. Bij hergebruik overeenkomstig lid 6 van dit artikel stelt de hergebruiker, waar passend met de hulp van het openbaar lichaam, de rechtspersoon waarvan de rechten en belangen in het geding kunnen komen, in kennis van dat voornemen, dat doel en de passende waarborgen. Het openbaar lichaam staat het hergebruik enkel toe indien de rechtspersoon toelating verleent voor de doorgifte.

    10.   Openbare lichamen geven niet-persoonsgebonden vertrouwelijke of door intellectuele-eigendomsrechten beschermde gegevens alleen door aan een hergebruiker die voornemens is die gegevens door te geven aan een niet overeenkomstig lid 12 aangewezen derde land indien de hergebruiker er zich contractueel toe verbindt:

    a)

    te voldoen aan de overeenkomstig de leden 7 en 8 opgelegde verplichtingen, ook nadat de gegevens zijn doorgegeven aan het derde land, en

    b)

    de bevoegdheid van de rechterlijke instanties van de lidstaat van het openbaar lichaam dat de gegevens doorgeeft te aanvaarden met betrekking tot elk geschil in verband met de naleving van de leden 7 en 8.

    11.   Waar relevant en binnen de grenzen van hun mogelijkheden bieden openbare lichamen hergebruikers advies en bijstand bij de naleving van de in lid 10 van dit artikel bedoelde verplichtingen.

    Om openbare lichamen en hergebruikers bij te staan, kan de Commissie uitvoeringshandelingen vaststellen met modelcontractbepalingen voor de naleving van de in lid 10 van dit artikel, bedoelde verplichtingen. Die uitvoeringshandelingen worden volgens de in artikel 33, lid 3, bedoelde onderzoeksprocedure vastgesteld.

    12.   Indien een aanzienlijk aantal verzoeken in de Unie met betrekking tot het hergebruik van niet-persoonsgebonden gegevens in specifieke derde landen dat rechtvaardigt, kan de Commissie uitvoeringshandelingen vaststellen waarin wordt verklaard dat de juridische, toezichts- en handhavingsregelingen van een derde land:

    a)

    de bescherming van intellectuele eigendom en bedrijfsgeheimen garanderen op een wijze die in wezen gelijkwaardig is aan de uit hoofde van het Unierecht geboden bescherming;

    b)

    effectief worden toegepast en gehandhaafd, en

    c)

    voorzien in effectieve verhaalsmogelijkheden.

    Die uitvoeringshandelingen worden volgens de in artikel 33, lid 3, bedoelde onderzoeksprocedure vastgesteld.

    13.   In specifieke wetgevingshandelingen van de Unie kunnen bepaalde categorieën niet-persoonsgebonden gegevens die in het bezit zijn van openbare lichamen als zeer gevoelig worden beschouwd voor de toepassing van dit artikel, indien de doorgifte daarvan aan derde landen doelstellingen van het overheidsbeleid van de Unie in gevaar kan brengen, zoals veiligheid en volksgezondheid, of het risico met zich mee kan brengen van heridentificatie van geanonimiseerde niet-persoonsgebonden gegevens. Wanneer een dergelijke handeling wordt vastgesteld, stelt de Commissie overeenkomstig artikel 32 gedelegeerde handelingen vast tot aanvulling van deze verordening door de vaststelling van bijzondere voorwaarden voor de doorgifte van dergelijke gegevens aan derde landen.

    Die bijzondere voorwaarden worden gebaseerd op de aard van de in de specifieke wetgevingshandeling van de Unie geïdentificeerde categorieën niet-persoonsgebonden gegevens en op de redenen om die categorieën als zeer gevoelig te beschouwen, rekening houdend met risico van heridentificatie van geanonimiseerde niet-persoonsgebonden gegevens. Die bijzondere voorwaarden zijn niet-discriminerend en beperkt tot wat nodig is om de in die handeling geïdentificeerde doelstellingen van het overheidsbeleid van de Unie te verwezenlijken, overeenkomstig de internationale verplichtingen van de Unie.

    Indien specifieke wetgevingshandelingen van de Unie als bedoeld in de eerste alinea dat vereisen, kunnen die bijzondere voorwaarden betrekking hebben op voorwaarden voor de doorgifte of technische regelingen in dat verband, beperkingen inzake het hergebruik van gegevens in derde landen of inzake categorieën van personen die dergelijke gegevens mogen doorgeven aan derde landen of, in uitzonderlijke gevallen, beperkingen inzake doorgiften aan derde landen.

    14.   De natuurlijke of rechtspersoon aan wie het recht op hergebruik van niet-persoonsgebonden gegevens is verleend, mag de gegevens alleen doorgeven aan derde landen die voldoen aan de vereisten van de leden 10, 12 en 13.

    Artikel 6

    Vergoedingen

    1.   Openbare lichamen die toestemming geven voor het hergebruik van de in artikel 3, lid 1, bedoelde gegevenscategorieën, mogen daar een vergoeding voor vragen.

    2.   Op grond van lid 1 aangerekende vergoedingen moeten transparant, niet-discriminerend, evenredig en objectief gerechtvaardigd zijn en mogen niet concurrentiebeperkend zijn.

    3.   Openbare lichamen zorgen ervoor dat alle vergoedingen ook online kunnen worden betaald met behulp van algemeen beschikbare grensoverschrijdende betaaldiensten, zonder discriminatie op basis van de plaats in de Unie waar de betalingsdienstaanbieder is gevestigd, waar het betaalinstrument is uitgegeven of waar de betaalrekening zich bevindt.

    4.   Indien openbare lichamen vergoedingen aanrekenen, nemen zij maatregelen om het hergebruik van de in artikel 3, lid 1, bedoelde gegevenscategorieën aan te moedigen voor niet-commerciële doeleinden, zoals wetenschappelijk onderzoek, en door kmo’s en start-ups, overeenkomstig de staatssteunregels. In dat verband kunnen openbare lichamen de gegevens ook tegen een gereduceerde vergoeding of kosteloos ter beschikking stellen, met name aan kmo’s en start-ups, maatschappelijke organisaties en onderwijsinstellingen. Openbare lichamen kunnen daartoe een lijst opstellen van categorieën hergebruikers waaraan gegevens voor hergebruik tegen een gereduceerde vergoeding of kosteloos ter beschikking worden gesteld. Die lijst wordt, samen met de criteria die zijn gebruikt voor de opstelling ervan, openbaar gemaakt.

    5.   De vergoedingen worden afgeleid van de kosten voor het voeren van de procedure in verband met verzoeken tot hergebruik van de in artikel 3, lid 1, bedoelde gegevenscategorieën en worden beperkt tot de noodzakelijke kosten in verband met:

    a)

    de reproductie, verstrekking en verspreiding van gegevens;

    b)

    de vereffening van rechten;

    c)

    anonimisering of andere vormen van voorbereiding van persoonsgegevens en commercieel vertrouwelijke gegevens als bepaald in artikel 5, lid 3;

    d)

    het onderhoud van de veilige verwerkingsomgeving;

    e)

    het verkrijgen van het recht om hergebruik overeenkomstig dit hoofdstuk toe te staan door derden buiten de openbare sector, en

    f)

    het bijstaan van hergebruikers bij het verkrijgen van toestemming van datasubjecten en toelating van gegevenshouders, van wie de rechten en belangen door het hergebruik in het geding kunnen komen.

    6.   De criteria en de methode voor de berekening van de vergoedingen worden door de lidstaten vastgesteld en bekendgemaakt. Het openbaar lichaam publiceert een beschrijving van de belangrijkste kostencategorieën en de regels voor de toerekening van de kosten.

    Artikel 7

    Bevoegde organen

    1.   Met het oog op de uitoefening van de in dit artikel bedoelde taken wijst elke lidstaat een of meer bevoegde organen aan, die bevoegd kunnen zijn voor een specifieke sector, om de openbare lichamen die toegang met het oog op hergebruik van de in artikel 3, lid 1, bedoelde gegevenscategorieën verlenen of weigeren, bij te staan. De lidstaten kunnen ofwel een of meer bevoegde organen oprichten, ofwel een beroep doen op bestaande openbare lichamen of op interne diensten van openbare lichamen die aan de voorwaarden van deze verordening voldoen.

    2.   De bevoegde organen kunnen ook de bevoegdheid krijgen toegang met het oog op hergebruik van de in artikel 3, lid 1, bedoelde gegevenscategorieën te verlenen, op grond van het Unierecht of het nationale recht dat voorziet in het verlenen van die toegang. Wanneer bevoegde organen toegang met het oog op hergebruik verlenen of weigeren, zijn de artikelen 4, 5, 6 en 9 op hen van toepassing.

    3.   De bevoegde organen moeten over voldoende juridische, financiële, technische en personele middelen beschikken om de hun opgedragen taken uit te voeren, waaronder de noodzakelijke technische kennis om het toepasselijke Unierecht of nationale recht inzake de regelingen voor toegang tot de in artikel 3, lid 1, bedoelde gegevenscategorieën na te leven.

    4.   De in lid 1 bedoelde bijstand omvat, indien nodig:

    a)

    technische steun, door een beveiligde verwerkingsomgeving ter beschikking te stellen voor het verlenen van toegang tot gegevens met het oog op hergebruik;

    b)

    richtsnoeren over hoe die gegevens het best kunnen worden gestructureerd en opgeslagen zodat ze gemakkelijk toegankelijk zijn, en de daarbij benodigde technische steun;

    c)

    technische steun voor pseudonimisering en de garantie dat de gegevensverwerking plaatsvindt op een wijze die de privacy, vertrouwelijkheid, integriteit en toegankelijkheid van de informatie in de gegevens waarvoor hergebruik wordt toegestaan, effectief beschermt, met inbegrip van technieken voor de anonimisering, veralgemening, schrapping en randomisering van persoonsgegevens of andere geavanceerde methoden voor privacybescherming, en de verwijdering van commercieel vertrouwelijke informatie, met inbegrip van bedrijfsgeheimen of door intellectuele-eigendomsrechten beschermde inhoud;

    d)

    waar relevant, het bijstaan van de openbare lichamen bij het ondersteunen van hergebruikers die datasubjecten verzoeken om toestemming voor hergebruik of gegevenshouders verzoeken om toelating in overeenstemming met hun specifieke besluiten, inclusief wat betreft de jurisdictie waar men de gegevensverwerking wil laten plaatsvinden, en het bijstaan van de openbare lichamen bij het opzetten van technische mechanismen die de doorgifte van verzoeken om toestemming of toelating van hergebruikers mogelijk maken, indien praktisch haalbaar;

    e)

    het bijstaan van de openbare lichamen bij het beoordelen van de toereikendheid van de door een hergebruiker aangegane contractuele verbintenissen, op grond van artikel 5, lid 10.

    5.   Elke lidstaat stelt de Commissie uiterlijk op 24 september 2023 in kennis van de identiteit van de op grond van lid 1 aangewezen bevoegde organen. Elke lidstaat stelt de Commissie tevens in kennis van elke latere wijziging van de identiteit van die bevoegde organen.

    Artikel 8

    Centrale informatiepunten

    1.   De lidstaten zorgen ervoor dat alle relevante informatie in verband met de toepassing van de artikelen 5 en 6 beschikbaar en gemakkelijk toegankelijk is via één centraal informatiepunt. De lidstaten kunnen een nieuw lichaam oprichten, of een bestaand lichaam of een bestaande structuur aanwijzen als het centraal informatiepunt. Het centraal informatiepunt kan gekoppeld zijn aan sectorale, regionale of lokale informatiepunten. De functies van het centraal informatiepunt kunnen worden geautomatiseerd op voorwaarde dat het openbaar lichaam voor adequate ondersteuning zorgt.

    2.   Het centraal informatiepunt is bevoegd verzoeken om informatie of hergebruik met betrekking tot de in artikel 3, lid 1, bedoelde gegevenscategorieën te ontvangen en geeft ze door, indien mogelijk en passend langs geautomatiseerde weg, aan de bevoegde openbare lichamen of, waar relevant, aan de in artikel 7, lid 1, bedoelde bevoegde organen. Het centraal informatiepunt stelt langs elektronische weg een doorzoekbare overzichtslijst beschikbaar met een overzicht van alle beschikbare gegevensbronnen, met inbegrip van, waar relevant, de gegevensbronnen die beschikbaar zijn op sectorale, regionale of lokale informatiepunten, met relevante informatie over de beschikbare gegevens, waaronder ten minste het format en de omvang van de gegevens en de voorwaarden voor het hergebruik ervan.

    3.   Het centraal informatiepunt kan een afzonderlijk, vereenvoudigd en goed gedocumenteerd informatiekanaal instellen voor kmo’s en start-ups, dat inspeelt op hun behoeften en capaciteiten met betrekking tot verzoeken om hergebruik van de in artikel 3, lid 1, bedoelde gegevenscategorieën.

    4.   De Commissie richt een Europees centraal toegangspunt op dat een doorzoekbaar elektronisch register aanbiedt van de gegevens die beschikbaar zijn in de nationale centrale informatiepunten, alsmede nadere informatie over de wijze waarop gegevens kunnen worden opgevraagd via die nationale centrale informatiepunten.

    Artikel 9

    Procedure voor verzoeken om hergebruik

    1.   Tenzij overeenkomstig het nationale recht kortere termijnen zijn vastgesteld, nemen de bevoegde openbare lichamen of de in artikel 7, lid 1, bedoelde bevoegde organen binnen twee maanden na ontvangst van het verzoek een besluit over het verzoek om hergebruik van de in artikel 3, lid 1, bedoelde gegevenscategorieën.

    Bij uitzonderlijk uitgebreide en complexe verzoeken om hergebruik kan die termijn van twee maanden met ten hoogste dertig dagen worden verlengd. In dergelijke gevallen stellen de bevoegde openbare lichamen of de in artikel 7, lid 1, bedoelde bevoegde organen de verzoeker er zo spoedig mogelijk van in kennis dat het voeren van de procedure meer tijd vergt, onder vermelding van de redenen voor de vertraging.

    2.   Elke natuurlijke of rechtspersoon die rechtstreeks wordt geraakt door een in lid 1 bedoeld besluit, heeft een effectief recht op verhaal in de lidstaat waar het betrokken orgaan is gevestigd. Dat recht op verhaal is vastgelegd in het nationale recht en omvat de mogelijkheid tot herziening door een onpartijdige instantie die over de nodige deskundigheid beschikt, zoals de nationale mededingingsautoriteit, de relevante autoriteit inzake toegang tot documenten, de toezichthoudende autoriteit die is opgericht overeenkomstig Verordening (EU) 2016/679 of een nationale rechterlijke instantie, en waarvan de beslissingen bindend zijn voor het betrokken openbaar lichaam of bevoegd orgaan.

    HOOFDSTUK III

    Vereisten voor aanbieders van databemiddelingsdiensten

    Artikel 10

    Databemiddelingsdiensten

    De verstrekking van de volgende databemiddelingsdiensten moet voldoen aan de vereisten van artikel 12 en is onderhevig aan een aanmeldingsprocedure:

    a)

    bemiddelingsdiensten tussen gegevenshouders en potentiële gegevensgebruikers, met inbegrip van het beschikbaar stellen van technische of andere middelen om dergelijke diensten mogelijk te maken; die diensten kunnen bilaterale of multilaterale gegevensuitwisseling omvatten, alsook de oprichting van platforms of databanken die de uitwisseling of het gezamenlijke gebruik van gegevens mogelijk maken, en de oprichting van andere specifieke infrastructuur voor de interconnectie tussen gegevenshouders en gegevensgebruikers;

    b)

    bemiddelingsdiensten tussen datasubjecten die hun persoonsgegevens beschikbaar willen stellen of natuurlijke personen die niet-persoonsgebonden gegevens beschikbaar willen stellen, en potentiële gegevensgebruikers, met inbegrip van het beschikbaar stellen van technische of andere middelen om dergelijke diensten mogelijk te maken, en met name om de uitoefening van de bij Verordening (EU) 2016/679 vastgestelde rechten van datasubjecten mogelijk te maken;

    c)

    diensten van gegevenscoöperaties.

    Artikel 11

    Aanmelding door aanbieders van databemiddelingsdiensten

    1.   Aanbieders van databemiddelingsdiensten die voornemens zijn de in artikel 10 bedoelde databemiddelingsdiensten te verlenen, melden dat aan de voor databemiddelingsdiensten bevoegde autoriteit.

    2.   Voor de toepassing van deze verordening wordt een aanbieder van databemiddelingsdiensten met vestigingen in meer dan een lidstaat geacht te vallen onder de jurisdictie van de lidstaat waar hij zijn hoofdvestiging heeft, onverminderd het Unierecht betreffende grensoverschrijdende schadevorderingen en de daarmee verband houdende procedures.

    3.   Een aanbieder van databemiddelingsdiensten die niet in de Unie is gevestigd, maar de in artikel 10 bedoelde databemiddelingsdiensten aanbiedt in de Unie, wijst een wettelijke vertegenwoordiger aan in een van de lidstaten waarin die diensten worden aangeboden.

    Met het oog op het waarborgen van de naleving van deze verordening wordt de wettelijke vertegenwoordiger door de aanbieder van databemiddelingsdiensten gemachtigd zodat de voor databemiddelingsdiensten bevoegde autoriteiten of de datasubjecten en gegevenshouders zich voor alles wat betreft de verleende databemiddelingsdiensten tot hem in de plaats van tot de aanbieder kunnen wenden, of tot beiden. De wettelijke vertegenwoordiger werkt samen met de voor databemiddelingsdiensten bevoegde autoriteiten en geeft hun op verzoek een uitvoerig overzicht van de maatregelen en voorzieningen die de aanbieder van databemiddelingsdiensten heeft genomen om de naleving van deze verordening te garanderen.

    De aanbieder van databemiddelingsdiensten wordt geacht te vallen onder de jurisdictie van de lidstaat waar zijn wettelijke vertegenwoordiger is gevestigd. De aanwijzing van een wettelijke vertegenwoordiger door de aanbieder van databemiddelingsdiensten doet geen afbreuk aan eventuele rechtsvorderingen die tegen de aanbieder van databemiddelingsdiensten kunnen worden ingesteld.

    4.   Na overeenkomstig lid 1 aanmelding te hebben gedaan mag de aanbieder van databemiddelingsdiensten van start gaan met zijn activiteiten, met inachtneming van de in dit hoofdstuk vastgestelde voorwaarden.

    5.   De in lid 1 bedoelde aanmelding verleent de aanbieder van databemiddelingsdiensten het recht om in alle lidstaten databemiddelingsdiensten te verlenen.

    6.   De in lid 1 bedoelde aanmelding bevat de volgende informatie:

    a)

    de naam van de aanbieder van databemiddelingsdiensten;

    b)

    de juridische status, de vorm, de eigendomsstructuur en de relevante dochterondernemingen van de aanbieder van databemiddelingsdiensten, en indien hij ingeschreven staat in een handelsregister of in een soortgelijk openbaar nationaal register, het registratienummer van de aanbieder van databemiddelingsdiensten;

    c)

    in voorkomend geval, het adres van de hoofdvestiging van de aanbieder van databemiddelingsdiensten in de Unie en, indien van toepassing, van alle filialen in andere lidstaten, of dat van de wettelijke vertegenwoordiger;

    d)

    een openbare website waarop volledige en actuele informatie over de aanbieder van databemiddelingsdiensten en de activiteiten te vinden is, met inbegrip van ten minste de in de punten a), b), c) en f) bedoelde informatie;

    e)

    de contactpersonen en contactgegevens van de aanbieder van databemiddelingsdiensten;

    f)

    een beschrijving van de databemiddelingsdienst die de aanbieder van databemiddelingsdiensten voornemens is te verlenen, en een aanduiding van de categorieën van artikel 10 waaronder een dergelijke databemiddelingsdienst valt;

    g)

    de vermoedelijke begindatum van de activiteit, indien die verschilt van de datum van de aanmelding.

    7.   De voor databemiddelingsdiensten bevoegde autoriteit zorgt ervoor dat de aanmeldingsprocedure niet-discriminerend en niet concurrentieverstorend is.

    8.   Op verzoek van de aanbieder van databemiddelingsdiensten brengt de voor databemiddelingsdiensten bevoegde autoriteit binnen een week nadat een behoorlijke en volledige aanmelding is gedaan, een gestandaardiseerde verklaring uit waarin wordt bevestigd dat de aanbieder van databemiddelingsdiensten de in lid 1 bedoelde aanmelding heeft gedaan en dat de aanmelding de in lid 6 bedoelde informatie bevat.

    9.   De voor databemiddelingsdiensten bevoegde autoriteit bevestigt op verzoek van de aanbieder van databemiddelingsdiensten dat de aanbieder van databemiddelingsdiensten voldoet aan dit artikel en aan artikel 12. Na ontvangst van die bevestiging mag die aanbieder van databemiddelingsdiensten het label “in de Unie erkende aanbieder van databemiddelingsdiensten” gebruiken in zijn schriftelijke en mondelinge communicatie, alsmede gebruikmaken van een gemeenschappelijk logo.

    Om ervoor te zorgen dat in de Unie erkende aanbieders van databemiddelingsdiensten gemakkelijk herkenbaar zijn in de hele Unie, stelt de Commissie door middel van uitvoeringshandelingen een ontwerp voor het gemeenschappelijke logo vast. In de Unie erkende aanbieders van databemiddelingsdiensten brengen het gemeenschappelijke logo duidelijk zichtbaar aan op elke online- en offline-publicatie die verband houdt met hun databemiddelingsactiviteiten.

    Die uitvoeringshandelingen worden volgens de in artikel 33, lid 2, bedoelde raadplegingsprocedure vastgesteld.

    10.   De voor databemiddelingsdiensten bevoegde autoriteit stelt de Commissie onverwijld langs elektronische weg in kennis van elke nieuwe aanmelding. De Commissie houdt een openbaar register bij van alle aanbieders van databemiddelingsdiensten die hun diensten in de Unie verlenen, en werkt dat regelmatig bij. De in lid 6, punten a), b), c), d), f) en g), bedoelde informatie wordt in het openbaar register gepubliceerd.

    11.   De voor databemiddelingsdiensten bevoegde autoriteit kan overeenkomstig het nationale recht kosten aanrekenen voor de aanmelding. Die vergoedingen moeten evenredig en objectief zijn en gebaseerd zijn op de administratieve kosten voor het toezicht op de naleving en andere markttoezichtsactiviteiten van de voor databemiddelingsdiensten bevoegde autoriteiten in verband met aanmeldingen van aanbieders van databemiddelingsdiensten. De voor databemiddelingsdiensten bevoegde autoriteit kan gereduceerde vergoedingen aanrekenen of kosteloze aanmelding toestaan voor kmo's en start-ups.

    12.   Aanbieders van databemiddelingsdiensten delen alle wijzigingen in de op grond van lid 6 verstrekte informatie mee aan de voor databemiddelingsdiensten bevoegde autoriteit binnen 14 dagen vanaf de datum van de wijziging.

    13.   Een aanbieder van databemiddelingsdiensten die zijn activiteiten stopzet, stelt de relevante, op grond van de leden 1, 2 en 3 bepaalde, voor databemiddelingsdiensten bevoegde autoriteit daarvan binnen 15 dagen in kennis.

    14.   De voor databemiddelingsdiensten bevoegde autoriteit stelt de Commissie onverwijld langs elektronische weg in kennis van elke in de leden 12 en 13 bedoelde aanmelding. De Commissie werkt het openbaar register van aanbieders van databemiddelingsdiensten in de Unie dienovereenkomstig bij.

    Artikel 12

    Voorwaarden voor het verlenen van databemiddelingsdiensten

    Voor de in artikel 10 bedoelde verlening van databemiddelingsdiensten gelden de volgende voorwaarden:

    a)

    de aanbieder van databemiddelingsdiensten gebruikt de gegevens waarvoor hij databemiddelingsdiensten verleent niet voor andere doeleinden dan beschikbaarstelling aan gegevensgebruikers, en verleent databemiddelingsdiensten via een afzonderlijke rechtspersoon;

    b)

    de commerciële voorwaarden, met inbegrip van het prijsbeleid, voor het verlenen van databemiddelingsdiensten aan een gegevenshouder of gegevensgebruiker zijn niet afhankelijk van de vraag of en zo ja in welke mate de gegevenshouder of gegevensgebruiker gebruikmaakt van andere diensten die door dezelfde aanbieder van databemiddelingsdiensten of door een verbonden entiteit worden verleend;

    c)

    de gegevens die zijn verzameld met betrekking tot een activiteit van een natuurlijk of rechtspersoon met het oog op de levering van de databemiddelingsdienst, inclusief gegevens over de datum, het tijdstip en de geolocatie, de duur van de activiteit en connecties met andere natuurlijke of rechtspersonen die tot stand zijn gebracht door de persoon die gebruikmaakt van de databemiddelingsdienst, worden alleen gebruikt voor de ontwikkeling van die databemiddelingsdienst, hetgeen het gebruik van de gegevens voor fraudeopsporing of cyberbeveiliging kan omvatten, en worden op verzoek beschikbaar gesteld aan de gegevenshouders;

    d)

    de aanbieder van databemiddelingsdiensten faciliteert de uitwisseling van de gegevens in het format waarin hij de gegevens ontvangt van een datasubject of een gegevenshouder en converteert de gegevens alleen naar specifieke formats om de interoperabiliteit binnen en tussen sectoren te verbeteren, indien de gegevensgebruiker daarom verzoekt, indien het Unierecht hem daartoe verplicht of om de harmonisering met internationale of Europese gegevensnormen te waarborgen, en biedt de datasubjecten of gegevenshouders een uitstapmogelijkheid met betrekking tot die conversies, tenzij de conversie door het Unierecht is voorgeschreven;

    e)

    databemiddelingsdiensten kunnen het aanbieden van aanvullende specifieke instrumenten en diensten aan gegevenshouders of datasubjecten omvatten met het specifieke doel de gegevensuitwisseling te faciliteren, zoals tijdelijke opslag, curatie, conversie, anonimisering en pseudonimisering; die instrumenten mogen alleen worden gebruikt op uitdrukkelijk verzoek of met de uitdrukkelijke goedkeuring van de gegevenshouder of het datasubject, en de in dat verband aangeboden instrumenten van derden gebruiken gegevens niet voor andere doeleinden;

    f)

    de aanbieder van databemiddelingsdiensten zorgt ervoor dat de procedure voor toegang tot zijn dienst billijk, transparant en niet-discriminerend is voor zowel datasubjecten als gegevenshouders, alsook voor gegevensgebruikers, ook wat de prijzen en dienstverleningsvoorwaarden betreft;

    g)

    de aanbieder beschikt over procedures ter voorkoming van frauduleuze of onrechtmatige praktijken met betrekking tot partijen die via zijn databemiddelingsdiensten toegang wensen te krijgen;

    h)

    bij insolventie van de aanbieder van databemiddelingsdiensten zorgt hij voor een redelijke continuïteit bij het leveren van zijn databemiddelingsdiensten, en indien die databemiddelingsdiensten instaan voor de opslag van gegevens, beschikt de aanbieder van databemiddelingsdiensten over mechanismen zodat gegevenshouders en gegevensgebruikers toegang kunnen krijgen tot hun gegevens of hun gegevens kunnen doorgeven of oproepen, en, indien die databemiddelingsdiensten verleend worden tussen datasubjecten en gegevensgebruikers, zodat die datasubjecten hun rechten kunnen uitoefenen;

    i)

    de aanbieder van databemiddelingsdiensten neemt de nodige maatregelen om interoperabiliteit met andere databemiddelingsdiensten te waarborgen, onder meer door middel van algemeen gebruikte open normen in de sector waarin de aanbieder van databemiddelingsdiensten actief is;

    j)

    de aanbieder van databemiddelingsdiensten neemt de nodige technische, juridische en organisatorische maatregelen ter voorkoming van doorgifte van of toegang tot niet-persoonsgebonden gegevens die uit hoofde van het Unierecht of het nationale recht van de betrokken lidstaat onwettig is;

    k)

    de aanbieder van databemiddelingsdiensten brengt de gegevenshouders onverwijld op de hoogte bij ongeoorloofde doorgifte van, toegang tot of ongeoorloofd gebruik van de niet-persoonsgebonden gegevens die hij heeft gedeeld;

    l)

    de aanbieder van databemiddelingsdiensten neemt de nodige maatregelen om een passend niveau van beveiliging te waarborgen voor de opslag, verwerking en doorgifte van niet-persoonsgebonden gegevens, en hij waarborgt voorts het hoogste niveau van beveiliging voor de opslag en doorgifte van commercieel gevoelige informatie;

    m)

    de aanbieder van databemiddelingsdiensten die diensten aan datasubjecten aanbiedt, handelt in het belang van de datasubjecten bij het faciliteren van de uitoefening van hun rechten, met name door hen op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke wijze te informeren en, waar passend, te adviseren over voorgenomen gegevensgebruik door de gegevensgebruikers en standaardvoorwaarden die aan dergelijk gebruik zijn verbonden, voordat de datasubjecten toestemming verlenen;

    n)

    indien een aanbieder van databemiddelingsdiensten instrumenten verstrekt voor het verkrijgen van toestemming van datasubjecten of toelating voor het verwerken van door gegevenshouders beschikbaar gestelde gegevens, specificeert hij, waar relevant, de jurisdictie van het derde land waar het gegevensgebruik zal plaatsvinden, en verstrekt hij wat betreft het verwerken van de gegevens datasubjecten instrumenten om toestemming te verlenen of in te trekken en gegevenshouders instrumenten om toelating te verlenen of in te trekken;

    o)

    de aanbieder van databemiddelingsdiensten houdt een logboek bij van de databemiddelingsactiviteit.

    Artikel 13

    Voor databemiddelingsdiensten bevoegde autoriteiten

    1.   Elke lidstaat wijst een of meer bevoegde autoriteiten aan om de taken in verband met de aanmeldingsprocedure voor databemiddelingsdiensten uit te voeren en stelt de Commissie uiterlijk op 24 september 2023 in kennis van de identiteit van die bevoegde autoriteiten. Elke lidstaat stelt de Commissie ook in kennis van elke latere wijziging van de identiteit van die bevoegde autoriteiten.

    2.   De voor databemiddelingsdiensten bevoegde autoriteiten moeten voldoen aan de in artikel 26 gestelde vereisten.

    3.   De bevoegdheden van de voor databemiddelingsdiensten bevoegde autoriteiten doen geen afbreuk aan de bevoegdheden van de gegevensbeschermingsautoriteiten, de nationale mededingingsautoriteiten, de autoriteiten die bevoegd zijn voor cyberbeveiliging en andere relevante sectorale autoriteiten. Overeenkomstig hun respectieve bevoegdheden uit hoofde van het Unierecht en het nationale recht bouwen die autoriteiten een nauwe samenwerking op en wisselen zij informatie uit, zoals nodig voor de uitoefening van hun taken in verband met aanbieders van databemiddelingsdiensten, en streven zij ernaar dat de bij de toepassing van deze verordening genomen besluiten consistent zijn.

    Artikel 14

    Toezicht op de naleving

    1.   De voor databemiddelingsdiensten bevoegde autoriteiten houden toezicht en oefenen controle uit op de naleving van de vereisten van dit hoofdstuk door de aanbieders van databemiddelingsdiensten. De voor databemiddelingsdiensten bevoegde autoriteiten kunnen ook op basis van een verzoek van een natuurlijke of rechtspersoon toezicht houden en controle uitoefenen op de naleving door aanbieders van databemiddelingsdiensten.

    2.   De voor databemiddelingsdiensten bevoegde autoriteiten hebben de bevoegdheid om van aanbieders van databemiddelingsdiensten of hun wettelijke vertegenwoordigers alle informatie op te vragen die nodig is om na te gaan of aan de vereisten van dit hoofdstuk is voldaan. Een verzoek om informatie dient in verhouding te staan tot de uitvoering van de taak en dient te worden gemotiveerd.

    3.   Indien de voor databemiddelingsdiensten bevoegde autoriteit van oordeel is dat een aanbieder van databemiddelingsdiensten niet voldoet aan een of meer vereisten van dit hoofdstuk, stelt zij die aanbieder van databemiddelingsdiensten in kennis van die bevindingen en geeft zij hem de gelegenheid binnen 30 dagen na ontvangst van die kennisgeving zijn standpunt kenbaar te maken.

    4.   De voor databemiddelingsdiensten bevoegde autoriteit kan eisen dat de in lid 3 bedoelde inbreuk wordt gestopt, hetzij binnen een redelijke termijn, hetzij onmiddellijk bij een ernstige inbreuk, en neemt passende en evenredige maatregelen met het oog op het garanderen van de naleving. In dat opzicht zijn de voor databemiddelingsdiensten bevoegde autoriteiten waar passend bevoegd om:

    a)

    door middel van administratieve procedures, afschrikkende financiële sancties op te leggen, inclusief dwangsommen en sancties met terugwerkende kracht, of gerechtelijke procedures voor het opleggen van boetes in te stellen, of om beide te doen;

    b)

    te eisen dat de aanvang van de verlening van de databemiddelingsdienst wordt uitgesteld dan wel dat de verlening van de databemiddelingsdienst wordt geschorst, totdat de voorwaarden ervan zijn gewijzigd, zoals gevraagd door de voor databemiddelingsdiensten bevoegde autoriteit, of

    c)

    te eisen dat de verlening van de databemiddelingsdienst wordt stopgezet indien ernstige of herhaalde inbreuken ondanks de voorafgaande kennisgeving overeenkomstig lid 3 niet zijn verholpen.

    De voor databemiddelingsdiensten bevoegde autoriteit verzoekt de Commissie de aanbieder van de databemiddelingsdienst uit het register van aanbieders van databemiddelingsdiensten te schrappen zodra zij overeenkomstig de eerste alinea, punt c), de stopzetting van de verlening van de databemiddelingsdienst heeft gelast.

    Indien een aanbieder van databemiddelingsdiensten de inbreuken verhelpt, meldt hij dat opnieuw aan de voor databemiddelingsdiensten bevoegde autoriteit. De voor databemiddelingsdiensten bevoegde autoriteit stelt de Commissie in kennis van elke nieuwe aanmelding.

    5.   Indien een niet in de Unie gevestigde aanbieder van databemiddelingsdiensten verzuimt een wettelijke vertegenwoordiger aan te wijzen of die wettelijke vertegenwoordiger verzuimt de nodige informatie te verstrekken waar de voor databemiddelingsdiensten bevoegde autoriteit om heeft verzocht en waaruit ruimschoots blijkt dat deze verordening wordt nageleefd, kan de voor databemiddelingsdiensten bevoegde autoriteit de aanvang van de verlening van de databemiddelingsdienst uitstellen dan wel de verlening van de databemiddelingsdienst schorsen, totdat de wettelijke vertegenwoordiger is aangewezen of de noodzakelijke informatie is verstrekt.

    6.   De voor databemiddelingsdiensten bevoegde autoriteiten delen de op grond van leden 4 en 5 opgelegde maatregelen en de redenen daarvoor, alsook de noodzakelijke stappen die moeten worden ondernomen om de desbetreffende tekortkomingen weg te werken, onverwijld mee aan de betrokken aanbieder van databemiddelingsdiensten, en stellen een redelijke termijn vast, van ten hoogste dertig dagen, waarbinnen de aanbieder van databemiddelingsdiensten aan die maatregelen moet voldoen.

    7.   Indien een aanbieder van databemiddelingsdiensten zijn hoofdvestiging of zijn wettelijke vertegenwoordiger in een lidstaat heeft maar diensten aanbiedt in andere lidstaten, werken de voor databemiddelingsdiensten bevoegde autoriteit van de lidstaat waar de hoofdvestiging of wettelijke vertegenwoordiger zich bevindt en de voor databemiddelingsdiensten bevoegde autoriteiten van die andere lidstaten samen en verlenen zij elkaar bijstand. Die bijstand en samenwerking kunnen betrekking hebben op de uitwisseling van informatie tussen de betrokken voor databemiddelingsdiensten bevoegde autoriteiten met het oog op hun taken uit hoofde van deze verordening en op gemotiveerde verzoeken om de in dit artikel bedoelde maatregelen te nemen.

    Indien een voor databemiddelingsdiensten bevoegde autoriteit in een lidstaat om bijstand van een voor databemiddelingsdiensten bevoegde autoriteit in een andere lidstaat verzoekt, dient zij een gemotiveerd verzoek in. De voor databemiddelingsdiensten bevoegde autoriteit antwoordt onverwijld en binnen een termijn die in verhouding staat tot de urgentie van het verzoek, op dat verzoek.

    Alle informatie die naar aanleiding van de verzochte bijstand wordt uitgewisseld en wordt verstrekt uit hoofde van dit lid, wordt uitsluitend gebruikt ten behoeve van de aangelegenheid waarvoor zij werd gevraagd.

    Artikel 15

    Uitzonderingen

    Dit hoofdstuk is niet van toepassing op erkende organisaties voor data-altruïsme of andere entiteiten zonder winstoogmerk, voor zover hun activiteiten bestaan in het verzamelen van gegevens voor doeleinden van algemeen belang die door natuurlijke of rechtspersonen beschikbaar worden gesteld op basis van data-altruïsme, tenzij die organisaties en entiteiten tot doel hebben commerciële relaties tot stand te brengen tussen een onbepaald aantal datasubjecten en gegevenshouders enerzijds en gegevensgebruikers anderzijds.

    HOOFDSTUK IV

    Data-altruïsme

    Artikel 16

    Nationale regelingen voor data-altruïsme

    De lidstaten kunnen organisatorische of technische regelingen, of beide, treffen om data-altruïsme te faciliteren. Daartoe kunnen de lidstaten ook nationaal beleid voor data-altruïsme vaststellen. Dat nationale beleid kan met name datasubjecten bijstaan bij het vrijwillig beschikbaar stellen van hun persoonsgegevens die in het bezit zijn van openbare lichamen met het oog op data-altruïsme, en de nodige informatie bevatten die aan datasubjecten moet worden verstrekt met betrekking tot het hergebruik van hun gegevens in het algemeen belang.

    Indien een lidstaat dergelijk nationaal beleid ontwikkelt, stelt hij de Commissie daarvan in kennis.

    Artikel 17

    Openbare registers van erkende organisaties voor data-altruïsme

    1.   Elke voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit houdt een openbaar nationaal register van erkende organisaties voor data-altruïsme bij, en werkt dat regelmatig bij.

    2.   De Commissie houdt voor informatiedoeleinden een openbaar Unieregister van erkende organisaties voor data-altruïsme bij. Mits een entiteit in het openbaar nationaal register van erkende organisaties voor data-altruïsme is opgenomen overeenkomstig artikel 18, mag zij in haar schriftelijke en mondelinge communicatie het label “in de Unie erkende organisatie voor data-altruïsme” en een gemeenschappelijk logo gebruiken.

    Opdat erkende organisaties voor data-altruïsme gemakkelijk herkenbaar zijn in de hele Unie, stelt de Commissie door middel van uitvoeringshandelingen een ontwerp voor het gemeenschappelijke logo vast. Erkende organisaties voor data-altruïsme brengen het gemeenschappelijke logo duidelijk zichtbaar aan op elke online- en offlinepublicatie met betrekking tot hun activiteiten in verband met data-altruïsme. Het gemeenschappelijke logo moet vergezeld gaan van een QR-code met een link naar het openbaar Unieregister van erkende organisaties voor data-altruïsme.

    Die uitvoeringshandelingen worden volgens de in artikel 33, lid 2, bedoelde raadplegingsprocedure vastgesteld.

    Artikel 18

    Algemene registratievereisten

    Om in aanmerking te komen voor registratie in een openbaar nationaal register van erkende organisaties voor data-altruïsme, moet een entiteit:

    a)

    activiteiten in verband met data-altruïsme uitvoeren;

    b)

    een rechtspersoon zijn die op grond van het nationale recht is opgericht om doeleinden van algemeen belang zoals bepaald in het nationale recht te verwezenlijken, waar toepasselijk;

    c)

    werken zonder winstoogmerk en juridisch onafhankelijk zijn van enige entiteit met winstoogmerk;

    d)

    de activiteiten in verband met data-altruïsme uitvoeren via een structuur die functioneel gescheiden is van haar andere activiteiten;

    e)

    voldoen aan het in artikel 22, lid 1, bedoelde rulebook, uiterlijk 18 maanden na de datum van inwerkingtreding van de in dat lid bedoelde gedelegeerde handelingen.

    Artikel 19

    Registratie van erkende organisaties voor data-altruïsme

    1.   Een entiteit die aan de vereisten van artikel 18 voldoet, kan een aanvraag indienen om opgenomen te worden in het openbaar nationaal register van erkende organisaties voor data-altruïsme in de lidstaat waar zij is gevestigd.

    2.   Een entiteit die aan de vereisten van artikel 18 voldoet en vestigingen heeft in meer dan één lidstaat, kan een aanvraag indienen om opgenomen te worden in het openbaar nationaal register van erkende organisaties voor data-altruïsme in de lidstaat waar zij haar hoofdvestiging heeft.

    3.   Een entiteit die aan de vereisten van artikel 18 voldoet maar niet in de Unie is gevestigd, wijst een wettelijke vertegenwoordiger aan in een van de lidstaten waar de diensten in verband met data-altruïsme worden aangeboden.

    Met het oog op het waarborgen van de naleving van deze verordening wordt de wettelijke vertegenwoordiger door de entiteit gemachtigd zodat de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten of datasubjecten en gegevenshouders zich tot hem in de plaats van tot de entiteit, of tot beiden, kunnen wenden voor alle aangelegenheden die verband houden met die entiteit. De wettelijke vertegenwoordiger werkt samen met de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten en geeft hun op verzoek een uitvoerig overzicht van de maatregelen en voorzieningen die de entiteit heeft genomen om de naleving van deze verordening te garanderen.

    De entiteit wordt geacht te vallen onder de jurisdictie van de lidstaat waar haar wettelijke vertegenwoordiger is gevestigd. Een dergelijke entiteit kan een aanvraag indienen om in het openbaar nationaal register van erkende organisaties voor data-altruïsme in die lidstaat opgenomen te worden. De aanwijzing van een wettelijke vertegenwoordiger door de entiteit doet geen afbreuk aan eventuele rechtsvorderingen die tegen de entiteit kunnen worden ingesteld.

    4.   De in de leden 1, 2 en 3 bedoelde registratieaanvragen moeten de volgende gegevens bevatten:

    a)

    de naam van de entiteit;

    b)

    de juridische status en de vorm van de entiteit, en indien de entiteit in een openbaar nationaal register is ingeschreven, het registratienummer van de entiteit;

    c)

    de statuten van de entiteit, waar passend;

    d)

    de inkomstenbronnen van de entiteit;

    e)

    in voorkomend geval, het adres van de hoofdvestiging van de entiteit in de Unie en, indien van toepassing, van alle filialen in andere lidstaten, of dat van de wettelijke vertegenwoordiger;

    f)

    een openbare website waarop volledige en actuele informatie over de entiteit en haar activiteiten te vinden is, met inbegrip van ten minste de in de punten a), b), d), e) en h) bedoelde informatie;

    g)

    de contactpersonen en contactgegevens van de entiteit;

    h)

    de doelstellingen van algemeen belang die zij wil bevorderen bij het verzamelen van de gegevens;

    i)

    de aard van de gegevens die de entiteit voornemens is te controleren of te verwerken, en, in het geval van persoonsgegevens, een aanduiding van de categorieën persoonsgegevens;

    j)

    alle andere documenten waaruit blijkt dat voldaan is aan de vereisten van artikel 18.

    5.   Indien de entiteit alle nodige informatie op grond van lid 4 heeft ingediend en nadat de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit de registratieaanvraag heeft beoordeeld en heeft vastgesteld dat de entiteit voldoet aan de vereisten van artikel 18, registreert de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit de entiteit binnen twaalf weken na de datum van ontvangst van de registratieaanvraag in het openbaar nationaal register van erkende organisaties voor data-altruïsme. De registratie is geldig in alle lidstaten.

    De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit deelt elke registratie mee aan de Commissie. De Commissie neemt die registratie op in het openbaar Unieregister van erkende organisaties voor data-altruïsme.

    6.   De in lid 4, punten a), b), f), g) en h), bedoelde informatie wordt bekendgemaakt in het relevante openbaar nationaal register van erkende organisaties voor data-altruïsme.

    7.   Een erkende organisatie voor data-altruïsme stelt de relevante voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit in kennis van elke wijziging van de op grond van lid 4 verstrekte informatie binnen 14 dagen na de dag waarop de wijziging heeft plaatsgevonden.

    De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit stelt de Commissie onverwijld langs elektronische weg in kennis van elke dergelijke kennisgeving. Op basis van die kennisgevingen werkt de Commissie onverwijld het openbaar Unieregister van erkende organisaties voor data-altruïsme bij.

    Artikel 20

    Transparantievereisten

    1.   Een erkende organisatie voor data-altruïsme houdt volledige en nauwkeurige gegevens bij over:

    a)

    alle natuurlijke of rechtspersonen die de mogelijkheid hebben gekregen om gegevens die in het bezit zijn van die erkende organisatie voor data-altruïsme te verwerken, en hun contactgegevens;

    b)

    de datum of duur van de verwerking van persoonsgegevens of het gebruik van niet-persoonsgebonden gegevens;

    c)

    het doel van de verwerking, zoals aangegeven door de natuurlijke of rechtspersoon die de mogelijkheid tot verwerking heeft gekregen;

    d)

    eventuele vergoedingen die zijn betaald door de natuurlijke of rechtspersonen die de gegevens hebben verwerkt.

    2.   Een erkende organisatie voor data-altruïsme stelt een jaarlijks activiteitenverslag op en stuurt dat door naar de relevante voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit; dat verslag bevat ten minste het volgende:

    a)

    informatie over de activiteiten van de erkende organisatie voor data-altruïsme;

    b)

    een beschrijving van de wijze waarop de doeleinden van algemeen belang waarvoor gegevens zijn verzameld, tijdens het desbetreffende begrotingsjaar zijn bevorderd;

    c)

    een lijst van alle natuurlijke en rechtspersonen die toestemming hebben gekregen om de gegevens die in het bezit zijn van de entiteit te verwerken, met inbegrip van een beknopte beschrijving van de doeleinden van algemeen belang die door de verwerking van die gegevens werden nagestreefd en een beschrijving van de daarvoor gebruikte technische middelen, onder meer van de technieken om privacy en gegevensbescherming te waarborgen;

    d)

    een samenvatting van de resultaten van de door de erkende organisatie voor data-altruïsme toegestane gegevensverwerking, indien van toepassing;

    e)

    informatie over de inkomstenbronnen van de erkende organisatie voor data-altruïsme, met name alle inkomsten uit het verlenen van toegang tot de gegevens, en over de uitgaven.

    Artikel 21

    Specifieke vereisten ter bescherming van de rechten en belangen van datasubjecten en gegevenshouders wat hun gegevens betreft

    1.   Een erkende organisatie voor data-altruïsme stelt de datasubjecten of gegevenshouders vóór de verwerking van hun gegevens op een duidelijke en gemakkelijk te begrijpen wijze in kennis van:

    a)

    de doeleinden van algemeen belang en, indien van toepassing, het gespecificeerde, expliciete en legitieme doel waarvoor persoonsgegevens zullen worden verwerkt, en waarvoor zij de verwerking van hun gegevens door een gegevensgebruiker toestaat;

    b)

    de locatie van elke verwerking in een derde land en de doeleinden van algemeen belang waarvoor zij die verwerking toestaan, indien de verwerking wordt uitgevoerd door de erkende organisatie voor data-altruïsme.

    2.   De erkende organisatie voor data-altruïsme gebruikt de gegevens niet voor andere doeleinden dan die van algemeen belang waarvoor het datasubject of de gegevenshouder de verwerking toestaat. De erkende organisatie voor data-altruïsme maakt geen gebruik van misleidende marketingpraktijken om mensen te vragen gegevens te verstrekken.

    3.   De erkende organisatie voor data-altruïsme voorziet in instrumenten voor het verkrijgen van de toestemming van datasubjecten of van de toelating voor het verwerken van gegevens die door gegevenshouders beschikbaar worden gesteld. De erkende organisatie voor data-altruïsme voorziet ook in instrumenten om die toestemming of toelating gemakkelijk in te trekken.

    4.   De erkende organisatie voor data-altruïsme neemt maatregelen om een passend niveau van beveiliging te waarborgen voor de opslag en verwerking van de niet-persoonsgebonden gegevens die zij heeft verzameld op basis van data-altruïsme.

    5.   De erkende organisatie voor data-altruïsme brengt de gegevenshouders onverwijld op de hoogte van elke ongeoorloofde doorgifte van, elke ongeoorloofde toegang tot of elk ongeoorloofd gebruik van de niet-persoonsgebonden gegevens die zij heeft gedeeld.

    6.   Indien de erkende organisatie voor data-altruïsme de verwerking van gegevens door derden faciliteert, onder meer door in instrumenten te voorzien voor het verkrijgen van de toestemming van datasubjecten of de toelating voor de verwerking van door gegevenshouders beschikbaar gestelde gegevens, specificeert zij waar relevant de jurisdictie van een derde land waarin het gebruik van de gegevens zal plaatsvinden.

    Artikel 22

    Rulebook

    1.   De Commissie stelt overeenkomstig artikel 32 gedelegeerde handelingen vast tot aanvulling van deze verordening door het opstellen van een rulebook met daarin:

    a)

    passende informatievereisten om ervoor te zorgen dat datasubjecten en gegevenshouders, voordat toestemming of toelating voor data-altruïsme wordt verleend, voldoende gedetailleerde, duidelijke en transparante informatie krijgen over het gebruik van de gegevens, de instrumenten voor het verlenen en intrekken van toestemming of toelating, en de maatregelen die zijn genomen om misbruik van de met de organisatie voor data-altruïsme gedeelde gegevens te voorkomen;

    b)

    passende technische en beveiligingsvereisten om een passend niveau van beveiliging te waarborgen voor de opslag en verwerking van gegevens en voor de instrumenten voor het verlenen en intrekken van toestemming of toelating;

    c)

    stappenplannen voor communicatie, waarbij een multidisciplinaire aanpak wordt gevolgd om het bewustzijn inzake data-altruïsme, inzake de aanwijzing als een “in de Unie erkende organisatie voor data-altruïsme” en inzake het rulebook te vergroten bij belanghebbenden, in het bijzonder gegevenshouders en datasubjecten die hun gegevens zouden kunnen delen;

    d)

    aanbevelingen inzake relevante interoperabiliteitsnormen.

    2.   Het in lid 1 bedoelde rulebook wordt opgesteld in nauwe samenwerking met organisaties voor data-altruïsme en relevante belanghebbenden.

    Artikel 23

    Voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten

    1.   Elke lidstaat wijst een of meer bevoegde autoriteiten aan die verantwoordelijk zijn voor zijn openbaar nationaal register van erkende organisaties voor data-altruïsme.

    De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten moeten voldoen aan de vereisten van artikel 26.

    2.   Elke lidstaat stelt de Commissie uiterlijk op 24 september 2023 in kennis van de identiteit van hun voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten. Elke lidstaat stelt de Commissie tevens in kennis van elke latere wijziging van de identiteit van die bevoegde autoriteiten.

    3.   De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit van een lidstaat voert zijn taken uit in samenwerking met de relevante gegevensbeschermingsautoriteit indien die taken verband houden met de verwerking van persoonsgegevens, en met de relevante sectorale autoriteiten van die lidstaat.

    Artikel 24

    Toezicht op de naleving

    1.   De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten zien erop toe en controleren dat erkende organisaties voor data-altruïsme de in dit hoofdstuk neergelegde vereisten naleven. De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit kan ook op basis van een verzoek van een natuurlijke of rechtspersoon toezicht houden en controle uitoefenen op de naleving door die erkende organisaties voor data-altruïsme.

    2.   De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten hebben de bevoegdheid om van erkende organisaties voor data-altruïsme informatie te vragen die nodig is om de naleving van de vereisten van dit hoofdstuk te controleren. Een verzoek om informatie dient in verhouding te staan tot de uitvoering van de taak en dient te worden gemotiveerd.

    3.   Indien de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit van oordeel is dat een erkende organisatie voor data-altruïsme niet voldoet aan een of meer vereisten van dit hoofdstuk, stelt zij die erkende organisatie voor data-altruïsme in kennis van die bevindingen en geeft zij haar de gelegenheid om binnen dertig dagen na ontvangst van die kennisgeving haar standpunt kenbaar te maken.

    4.   De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit kan eisen dat de in lid 3 bedoelde inbreuk wordt gestopt, hetzij onmiddellijk, hetzij binnen een redelijke termijn, en neemt passende en evenredige maatregelen met het oog op het garanderen van de naleving.

    5.   Indien een erkende organisatie voor data-altruïsme zelfs na overeenkomstig lid 3 door de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit in kennis te zijn gesteld, niet voldoet aan een of meer vereisten van dit hoofdstuk:

    a)

    verliest die erkende organisatie voor data-altruïsme het recht om in schriftelijke en mondelinge communicatie het label “in de Unie erkende organisatie voor data-altruïsme” te gebruiken;

    b)

    wordt die erkende organisatie voor data-altruïsme verwijderd uit het relevante openbaar nationaal register van erkende organisaties voor data-altruïsme en uit het openbaar Unieregister van erkende organisaties voor data-altruïsme.

    Elk besluit houdende intrekking van het recht om het label “in de Unie erkende organisatie voor data-altruïsme” te gebruiken op grond van punt a) van de eerste alinea, wordt openbaar gemaakt door de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit.

    6.   Als een erkende organisatie voor data-altruïsme opgenomen entiteit haar hoofdvestiging of wettelijke vertegenwoordiger in een lidstaat heeft maar actief is in andere lidstaten, werken de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit van de lidstaat waar de hoofdvestiging of wettelijke vertegenwoordiger zich bevindt en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten van die andere lidstaten samen en verlenen zij elkaar bijstand. Die bijstand en samenwerking kunnen betrekking hebben op de uitwisseling van informatie tussen de betrokken voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten met het oog op hun taken uit hoofde van deze verordening, en op gemotiveerde verzoeken om de in dit artikel bedoelde maatregelen te nemen.

    Indien een voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit in één lidstaat om bijstand van een voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit in een andere lidstaat verzoekt, dient zij een gemotiveerd verzoek in. De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit antwoordt onverwijld en binnen een termijn die in verhouding staat tot de urgentie van het verzoek, op een dergelijk verzoek.

    Alle informatie die naar aanleiding van de verzochte bijstand wordt uitgewisseld en wordt verstrekt uit hoofde van dit lid, wordt uitsluitend gebruikt ten behoeve van de aangelegenheid waarvoor zij werd gevraagd.

    Artikel 25

    Europees toestemmingsformulier voor data-altruïsme

    1.   Om het verzamelen van gegevens op basis van data-altruïsme te faciliteren, stelt de Commissie, na raadpleging van het Europees Comité voor gegevensbescherming, rekening houdend met het advies van het Europees Comité voor gegevensinnovatie en met de nodige betrokkenheid van de relevante belanghebbenden, uitvoeringshandelingen vast tot vaststelling en ontwikkeling van een Europees toestemmingsformulier voor data-altruïsme. Dat formulier maakt het mogelijk de toestemming of toelating in alle lidstaten in een uniform formaat te verkrijgen. Die uitvoeringshandelingen worden volgens de in artikel 33, lid 2, bedoelde raadplegingsprocedure vastgesteld.

    2.   Het Europees toestemmingsformulier voor data-altruïsme maakt gebruik van een modulaire benadering, zodat het kan worden afgestemd op specifieke sectoren en voor uiteenlopende doeleinden.

    3.   Wanneer persoonsgegevens worden verstrekt, zorgt het Europees toestemmingsformulier voor data-altruïsme ervoor dat datasubjecten hun toestemming voor een specifieke gegevensverwerkingsactiviteit overeenkomstig de vereisten van Verordening (EU) 2016/679 kunnen geven en intrekken.

    4.   Het formulier moet beschikbaar zijn op een wijze die op papier kan worden gedrukt en gemakkelijk te begrijpen is, alsook in een elektronisch, machinaal leesbaar formaat.

    HOOFDSTUK V

    Bevoegde autoriteiten en procedurele bepalingen

    Artikel 26

    Vereisten in verband met bevoegde autoriteiten

    1.   De voor databemiddelingsdiensten bevoegde autoriteiten en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten moeten juridisch gescheiden en functioneel onafhankelijk zijn van alle aanbieders van databemiddelingsdiensten of erkende organisaties voor data-altruïsme. De functies van de voor databemiddelingsdiensten bevoegde autoriteiten en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten kunnen door dezelfde autoriteit worden vervuld. De lidstaten kunnen met het oog daarop ofwel een of meer autoriteiten oprichten ofwel een beroep doen op bestaande autoriteiten.

    2.   De voor databemiddelingsdiensten bevoegde autoriteiten en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten oefenen hun taken op onpartijdige, transparante, consequente, betrouwbare en tijdige wijze uit. Bij de uitoefening van hun taken waarborgen zij eerlijke mededinging en non-discriminatie.

    3.   De hoogste leidinggevenden en het personeel, verantwoordelijk voor de uitvoering van de relevante taken van de voor databemiddelingsdiensten bevoegde autoriteiten en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten, mogen niet de ontwerper, fabrikant, leverancier, installateur, koper, eigenaar, gebruiker of onderhouder zijn van de diensten die zij evalueren, noch de gemachtigde vertegenwoordiger van die partijen zijn. Dat vormt geen beletsel voor het gebruik van geëvalueerde diensten die nodig zijn voor de activiteiten van de voor databemiddelingsdiensten bevoegde autoriteit en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit of voor het gebruik van dergelijke diensten voor persoonlijke doeleinden.

    4.   De hoogste leidinggevenden en het personeel van de voor databemiddelingsdiensten bevoegde autoriteiten en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten verrichten geen activiteiten die hun onafhankelijk oordeel of hun integriteit met betrekking tot de hun toegewezen evaluatieactiviteiten in het gedrang kunnen brengen.

    5.   De voor databemiddelingsdiensten bevoegde autoriteiten en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten beschikken over passende financiële en personele middelen om de hun toegewezen taken uit te voeren, met inbegrip van de nodige technische kennis en middelen.

    6.   De voor databemiddelingsdiensten bevoegde autoriteiten en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten van een lidstaat verstrekken de Commissie en de voor databemiddelingsdiensten bevoegde autoriteiten en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten van andere lidstaten, op gemotiveerd verzoek en onverwijld, de informatie die zij nodig hebben om hun taken uit hoofde van deze verordening uit te voeren. Indien een voor databemiddelingsdiensten bevoegde autoriteit of een voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit van oordeel is dat de gevraagde informatie overeenkomstig het Unierecht en het nationale recht inzake commerciële en professionele vertrouwelijkheid vertrouwelijk is, garanderen de Commissie en alle andere betrokken voor databemiddelingsdiensten bevoegde autoriteiten en voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten die vertrouwelijkheid.

    Artikel 27

    Recht om een klacht in te dienen

    1.   Natuurlijke en rechtspersonen hebben het recht om met betrekking tot aangelegenheden die binnen het toepassingsgebied van deze verordening vallen individueel of, indien relevant, collectief een klacht in te dienen bij de relevante voor databemiddelingsdiensten bevoegde autoriteit tegen een aanbieder van databemiddelingsdiensten of bij de relevante voor de registratie van organisaties voor data-altruïsme bevoegde nationale autoriteit tegen een erkende organisatie voor data-altruïsme.

    2.   De voor databemiddelingsdiensten bevoegde autoriteit of de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit waarbij de klacht is ingediend, stelt de klager in kennis:

    a)

    van de voortgang van de procedure en van het genomen besluit, en

    b)

    van de rechtsmiddelen als bedoeld in artikel 28.

    Artikel 28

    Recht op een doeltreffende voorziening in rechte

    1.   Niettegenstaande bestuurlijke of andere buitengerechtelijke rechtsmiddelen hebben alle getroffen natuurlijke en rechtspersonen recht op een doeltreffende voorziening in rechte met betrekking tot de in artikel 14 bedoelde juridisch bindende besluiten van de voor databemiddelingsdiensten bevoegde autoriteiten die zijn genomen in het kader van het beheer, de controle en de handhaving van de aanmeldingsregeling voor aanbieders van databemiddelingsdiensten en met betrekking tot de in de artikelen 19 en 24 bedoelde juridisch bindende besluiten van de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten die zijn genomen in het kader van de monitoring van erkende organisaties voor data-altruïsme.

    2.   Procedures op grond van dit artikel worden ingesteld bij de rechterlijke instanties van de lidstaat van de voor databemiddelingsdiensten bevoegde autoriteit of van de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit waartegen het rechtsmiddel wordt ingesteld, hetzij individueel, hetzij, indien relevant, collectief door de vertegenwoordigers van een of meer natuurlijke of rechtspersonen.

    3.   Indien een voor databemiddelingsdiensten bevoegde autoriteit of een voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit nalaat gevolg te geven aan een klacht, hebben alle betrokken natuurlijke en rechtspersonen, overeenkomstig het nationale recht, ofwel recht op een doeltreffende voorziening in rechte ofwel recht op toetsing door een onpartijdige instantie met de nodige deskundigheid.

    HOOFDSTUK VI

    Europees Comité voor gegevensinnovatie

    Artikel 29

    Europees Comité voor gegevensinnovatie

    1.   De Commissie richt een Europees Comité voor gegevensinnovatie op in de vorm van een deskundigengroep, bestaande uit vertegenwoordigers van de voor databemiddelingsdiensten bevoegde autoriteiten en van de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten van alle lidstaten, het Europees Comité voor gegevensbescherming, de Europese Toezichthouder voor gegevensbescherming, Enisa, de Commissie, de kmo-gezant van de EU of een door het netwerk van kmo-gezanten aangewezen vertegenwoordiger, en andere vertegenwoordigers van relevante organen in specifieke sectoren en van organen met specifieke deskundigheid. Bij de benoeming van individuele deskundigen streeft de Commissie naar een gender- en geografisch evenwicht bij de leden van de deskundigengroep.

    2.   Het Europees Comité voor gegevensinnovatie bestaat uit ten minste de volgende drie subgroepen:

    a)

    een subgroep bestaande uit de voor databemiddelingsdiensten bevoegde autoriteiten en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten, met het oog op de uitvoering van de taken op grond van artikel 30, punten a), c), j) en k);

    b)

    een subgroep voor technische besprekingen over normalisatie, portabiliteit en interoperabiliteit op grond van artikel 30, punten f) en g);

    c)

    een subgroep voor de betrokkenheid van belanghebbenden, bestaande uit relevante vertegenwoordigers van het bedrijfsleven, de onderzoekswereld, de academische wereld, maatschappelijke organisaties, normalisatieorganisaties en relevante gemeenschappelijke Europese gegevensruimten en uit andere relevante belanghebbenden en derden die het Europees Comité voor gegevensinnovatie adviseren over taken op grond van artikel 30, punten d), e), f), g) en h).

    3.   De Commissie zit de vergaderingen van het Europees Comité voor gegevensinnovatie voor.

    4.   Het Europees Comité voor gegevensinnovatie wordt bijgestaan door een secretariaat dat door de Commissie wordt verzorgd.

    Artikel 30

    Taken van het Europees Comité voor gegevensinnovatie

    Het Europees Comité voor gegevensinnovatie heeft de volgende taken:

    a)

    de Commissie advies verstrekken en bijstaan wat betreft de ontwikkeling van een consistente praktijk van openbare lichamen en de in artikel 7, lid 1, bedoelde bevoegde organen met betrekking tot het behandelen van verzoeken tot hergebruik van de in artikel 3, lid 1, bedoelde gegevenscategorieën;

    b)

    de Commissie advies verstrekken en bijstaan wat betreft de ontwikkeling van een consistente praktijk voor data-altruïsme in de hele Unie;

    c)

    de Commissie advies verstrekken en bijstaan wat betreft de ontwikkeling van een consistente praktijk van de voor databemiddelingsdiensten bevoegde autoriteiten en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten met betrekking tot de toepassing van de vereisten die toepasselijk zijn op aanbieders van databemiddelingsdiensten en op erkende organisaties voor data-altruïsme;

    d)

    de Commissie advies verstrekken en bijstaan wat betreft de ontwikkeling van consistente richtsnoeren waarin wordt aangegeven hoe commercieel gevoelige niet-persoonsgebonden gegevens, met name bedrijfsgeheimen, maar ook niet-persoonsgebonden gegevens die door intellectuele-eigendomsrechten beschermde inhoud vertegenwoordigen, in het kader van deze verordening het best beschermd kunnen worden tegen onrechtmatige toegang die tot diefstal van intellectuele eigendom of industriële spionage zou kunnen leiden;

    e)

    de Commissie advies verstrekken en bijstaan wat betreft de ontwikkeling van consistente richtsnoeren inzake cyberbeveiligingsvereisten voor de uitwisseling en opslag van gegevens;

    f)

    de Commissie advies verstrekken, met name rekening houdend met de inbreng van normalisatieorganisaties, over de prioritering van sectoroverschrijdende normen die moeten worden gebruikt en ontwikkeld voor gegevensgebruik en sectoroverschrijdende gegevensdeling tussen de nieuwe gemeenschappelijke Europese gegevensruimten, sectoroverschrijdende vergelijking en uitwisseling van beste praktijken met betrekking tot sectorale vereisten voor beveiliging en toegangsprocedures, rekening houdend met sectorspecifieke normalisatieactiviteiten, met name door te verduidelijken en te bepalen welke normen en praktijken sectoroverschrijdend en welke sectorspecifiek zijn;

    g)

    de Commissie bijstaan, met name rekening houdend met de inbreng van normalisatieorganisaties, bij het aanpakken van de versnippering van de interne markt en de data-economie in de interne markt door grensoverschrijdende en sectoroverschrijdende interoperabiliteit van gegevens te verbeteren, en ook gegevensdelingsdiensten tussen verschillende sectoren en domeinen te verbeteren, voortbouwend op bestaande Europese, internationale of nationale normen, onder meer om de totstandbrenging van gemeenschappelijke Europese gegevensruimten aan te moedigen;

    h)

    richtsnoeren voorstellen voor gemeenschappelijke Europese gegevensruimten, namelijk doel- of sectorspecifieke of sectoroverschrijdende interoperabele kaders van gemeenschappelijke normen en praktijken op het gebied van gegevensdeling of gezamenlijke gegevensverwerking met het oog op onder meer de ontwikkeling van nieuwe producten en diensten, wetenschappelijk onderzoek of initiatieven van maatschappelijke organisaties, waarbij die gemeenschappelijke normen en praktijken rekening houden met bestaande normen, voldoen aan de mededingingsregels en een niet-discriminerende toegang voor alle deelnemers waarborgen, met het oog op de facilitering van gegevensdeling in de Unie en op de benutting van het potentieel van bestaande en toekomstige dataruimten; in die richtsnoeren wordt onder meer aandacht besteed aan:

    i)

    sectoroverschrijdende normen die moeten worden gebruikt en ontwikkeld voor gegevensgebruik en sectoroverschrijdende gegevensdeling, sectoroverschrijdende vergelijking en uitwisseling van beste praktijken met betrekking tot sectorale vereisten voor beveiliging en toegangsprocedures, rekening houdend met sectorspecifieke normalisatieactiviteiten, met name door te verduidelijken en te bepalen welke normen en praktijken sectoroverschrijdend en welke sectorspecifiek zijn;

    ii)

    vereisten om belemmeringen voor markttoegang tegen te gaan en lock-in-effecten te vermijden, met het oog op het waarborgen van eerlijke mededinging en interoperabiliteit;

    iii)

    adequate bescherming van de wettige doorgifte van gegevens aan derde landen, met inbegrip van waarborgen tegen doorgifte die door het Unierecht wordt verboden;

    iv)

    adequate en niet-discriminerende vertegenwoordiging van de relevante belanghebbenden bij de governance van gemeenschappelijke Europese gegevensruimten;

    v)

    naleving van de cyberbeveiligingsvereisten overeenkomstig het Unierecht;

    i)

    de samenwerking tussen de lidstaten faciliteren bij het vaststellen van geharmoniseerde voorwaarden voor het hergebruik van in artikel 3, lid 1, bedoelde categorieën van gegevens die in het bezit zijn van openbare lichamen in de hele interne markt;

    j)

    de samenwerking tussen de voor databemiddelingsdiensten bevoegde autoriteiten en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten faciliteren door capaciteitsopbouw en informatie-uitwisseling, met name door methoden vast te stellen voor de efficiënte uitwisseling van informatie met betrekking tot de aanmeldingsprocedure voor aanbieders van databemiddelingsdiensten en de registratie en monitoring van erkende organisaties voor data-altruïsme, met inbegrip van coördinatie met betrekking tot de vaststelling van vergoedingen of sancties, alsook de samenwerking tussen de voor databemiddelingsdiensten bevoegde autoriteiten en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten faciliteren met betrekking tot de internationale toegang en doorgifte van gegevens;

    k)

    de Commissie advies verstrekken en bijstaan wat betreft het beoordelen of de in artikel 5, leden 11 en 12, bedoelde uitvoeringshandelingen moeten worden vastgesteld;

    l)

    de Commissie advies verstrekken en bijstaan wat betreft het opstellen van het Europees toestemmingsformulier voor data-altruïsme overeenkomstig artikel 25, lid 1;

    m)

    de Commissie advies verstrekken over de verbetering van het internationale regelgevingskader voor niet-persoonsgebonden gegevens, met inbegrip van normalisatie.

    HOOFDSTUK VII

    Internationale toegang en doorgifte

    Artikel 31

    Internationale toegang en doorgifte

    1.   Het openbaar lichaam, de natuurlijke of rechtspersoon aan wie het recht om gegevens te hergebruiken is toegekend uit hoofde van hoofdstuk II, de aanbieder van databemiddelingsdiensten of de erkende organisatie voor data-altruïsme treft alle redelijke technische, wettelijke en organisatorische maatregelen, waaronder contractuele regelingen, ter voorkoming van de internationale doorgifte van of toegang van de overheid tot in de Unie bijgehouden niet-persoonsgebonden gegevens, indien die doorgifte of toegang in strijd zou zijn met het Unierecht of het nationale recht van de betrokken lidstaat, een en ander onverminderd lid 2 of lid 3.

    2.   Alle rechterlijke beslissingen en uitspraken in een derde land en alle besluiten van een administratieve autoriteit van een derde land op grond waarvan een openbaar lichaam, een natuurlijke of rechtspersoon aan wie het recht op hergebruik van gegevens is toegekend uit hoofde van hoofdstuk II, een aanbieder van databemiddelingsdiensten of een erkende organisatie voor data-altruïsme, binnen het toepassingsgebied van deze verordening vallende niet-persoonsgebonden gegevens die in de Unie worden bijgehouden, moet doorgeven of er toegang toe moet verlenen, worden alleen op enigerlei wijze erkend of zijn alleen op enigerlei wijze afdwingbaar indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, die van kracht is tussen het verzoekende derde land en de Unie of tussen het verzoekende derde land en een lidstaat.

    3.   Indien er geen sprake is van een in lid 2 van dit artikel bedoelde internationale overeenkomst en indien een openbaar lichaam, een natuurlijke of rechtspersoon aan wie het recht op hergebruik van gegevens is toegekend uit hoofde van hoofdstuk II, een aanbieder van databemiddelingsdiensten of een erkende organisatie voor data-altruïsme de geadresseerde is van een rechterlijke beslissing of uitspraak in een derde land of van een besluit van een administratieve autoriteit van een derde land om binnen het toepassingsgebied van deze verordening vallende niet-persoonsgebonden gegevens die in de Unie worden bijgehouden door te geven of er toegang toe te verlenen, en de naleving ervan de geadresseerde een overtreding van het Unierecht of van het nationale recht van de betrokken lidstaat kan doen begaan, mag de doorgifte van of toegang tot die gegevens door die autoriteit van dat derde land alleen plaatsvinden indien:

    a)

    het systeem van het derde land voorschrijft dat de redenen voor en de evenredigheid van een dergelijke rechterlijke beslissing of uitspraak of een dergelijk besluit worden toegelicht, en dat die rechterlijke beslissing of uitspraak of dat besluit een specifiek karakter heeft, bijvoorbeeld door een voldoende verband te leggen met bepaalde verdachten of inbreuken;

    b)

    het gemotiveerde bezwaar van de geadresseerde getoetst wordt door een bevoegde rechterlijke instantie in het derde land, en

    c)

    de bevoegde rechterlijke instantie in het derde land die de rechterlijke beslissing neemt of de rechterlijke uitspraak doet of het besluit van een administratieve autoriteit toetst, uit hoofde van het recht van dat derde land gemachtigd is terdege rekening te houden met de relevante juridische belangen van de verstrekker van de gegevens die uit hoofde van het Unierecht of het nationale recht van de betrokken lidstaat worden beschermd.

    4.   Als aan de voorwaarden van lid 2 of lid 3 is voldaan, moet het openbaar lichaam, de natuurlijke of rechtspersoon aan wie het recht op hergebruik van gegevens is toegekend uit hoofde van hoofdstuk II, de aanbieder van databemiddelingsdiensten of de erkende organisatie voor data-altruïsme de hoeveelheid gegevens verstrekken die minimaal is toegestaan in antwoord op een verzoek, op basis van een redelijke interpretatie van het verzoek.

    5.   Het openbaar lichaam, de natuurlijke rechtspersoon aan wie het recht op hergebruik van gegevens is toegekend uit hoofde van hoofdstuk II, de aanbieder van databemiddelingsdiensten en de erkende organisatie voor data-altruïsme stellen de gegevenshouder in kennis van het bestaan van een verzoek van een administratieve autoriteit in een derde land om toegang te krijgen tot zijn gegevens voordat aan dat verzoek wordt tegemoetgekomen, behalve indien het verzoek rechtshandhavingsdoeleinden heeft en dat voor zolang nodig is om de effectiviteit van de rechtshandhavingsactiviteit in stand te houden.

    HOOFDSTUK VIII

    Delegatie en comitéprocedure

    Artikel 32

    Uitoefening van de bevoegdheidsdelegatie

    1.   De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

    2.   De in artikel 5, lid 13, en artikel 22, lid 1, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van 23 juni 2022.

    3.   Het Europees Parlement of de Raad kan de in artikel 5, lid 13, en artikel 22, lid 1, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

    4.   Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

    5.   Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

    6.   Een op grond van artikel 5, lid 13, of artikel 22, lid 1, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van drie maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad vóór het verstrijken van die termijn de Commissie heeft meegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met drie maanden verlengd.

    Artikel 33

    Comitéprocedure

    1.   De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

    2.   Wanneer naar dit lid wordt verwezen, is artikel 4 van Verordening (EU) nr. 182/2011 van toepassing.

    3.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

    HOOFDSTUK IX

    Slot- en overgangsbepalingen

    Artikel 34

    Sancties

    1.   De lidstaten stellen de regels vast betreffende de sancties die van toepassing zijn op inbreuken tegen de verplichtingen inzake doorgifte van niet-persoonsgebonden gegevens aan derde landen op grond van artikel 5, lid 14, en artikel 31, de meldingsplicht voor aanbieders van databemiddelingsdiensten op grond van artikel 11, de voorwaarden voor het verlenen van databemiddelingsdiensten op grond van artikel 12 en de voorwaarden voor de registratie als een erkende organisatie voor data-altruïsme op grond van de artikelen 18, 20, 21 en 22, en nemen alle nodige maatregelen om ervoor te zorgen dat die sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. In hun sanctieregels houden de lidstaten rekening met de aanbevelingen van het Europees Comité voor gegevensinnovatie. De lidstaten stellen de Commissie uiterlijk op 24 september 2023 in kennis van die regels en maatregelen en delen haar onverwijld alle latere wijzigingen daarvan mee.

    2.   De lidstaten houden voor het opleggen van sancties aan aanbieders van databemiddelingsdiensten en aan erkende organisaties voor data-altruïsme voor inbreuken op deze verordening waar passend rekening met de volgende niet-limitatieve en indicatieve criteria:

    a)

    de aard, de ernst, de omvang en de duur van de inbreuk;

    b)

    door de aanbieder van databemiddelingsdiensten of de erkende organisatie voor data-altruïsme genomen maatregelen om de door de inbreuk veroorzaakte schade te beperken of te verhelpen;

    c)

    eerdere inbreuken door de aanbieder van databemiddelingsdiensten of de erkende organisatie voor data-altruïsme;

    d)

    de door de aanbieder van databemiddelingsdiensten of door de erkende organisatie voor data-altruïsme als gevolg van de inbreuk behaalde financiële voordelen of vermeden verliezen, voor zover die voordelen of verliezen op betrouwbare wijze kunnen worden vastgesteld;

    e)

    andere verzwarende of verzachtende factoren die van toepassing zijn op de omstandigheden van de zaak.

    Artikel 35

    Evaluatie en toetsing

    Uiterlijk op 24 september 2025 voert de Commissie een evaluatie van deze verordening uit en brengt zij over de belangrijkste bevindingen verslag uit aan het Europees Parlement, de Raad en het Europees Economisch en Sociaal Comité. Het verslag gaat indien nodig vergezeld van wetgevingsvoorstellen.

    In het verslag wordt met name het volgende beoordeeld:

    a)

    de toepassing en de werking van de regels inzake sancties die door de lidstaten op grond van artikel 34 zijn vastgesteld;

    b)

    de mate waarin de wettelijke vertegenwoordigers van niet in de Unie gevestigde aanbieders van databemiddelingsdiensten en erkende organisaties voor data-altruïsme deze verordening naleven en de mate waarin de sancties die zijn opgelegd aan die aanbieders en organisaties, afdwingbaar zijn;

    c)

    het soort organisaties voor data-altruïsme die zijn geregistreerd uit hoofde van hoofdstuk IV en een overzicht van de doeleinden van algemeen belang waarvoor gegevens worden gedeeld teneinde in dat opzicht duidelijke criteria vast te stellen.

    De lidstaten verstrekken de Commissie de nodige informatie voor het opstellen van dat verslag.

    Artikel 36

    Wijziging van Verordening (EU) 2018/1724

    In de tabel in bijlage II bij Verordening (EU) 2018/1724 wordt de vermelding “Starten, exploiteren en sluiten van een bedrijf” vervangen door:

    Gebeurtenis

    Procedures

    Verwacht resultaat, behoudens beoordeling van de aanvraag door de bevoegde instantie overeenkomstig de nationale wetgeving, indien van toepassing

    Starten, exploiteren en sluiten van een bedrijf

    Kennisgeving van bedrijfsactiviteit, vergunningen voor de uitoefening van een bedrijfsactiviteit, wijzigingen van bedrijfsactiviteit en beëindiging van een bedrijfsactiviteit zonder insolventie- of liquidatieprocedures, met uitzondering van de initiële inschrijving van een bedrijfsactiviteit in het bedrijfsregister en met uitzondering van procedures voor de oprichting van vennootschappen in de zin van artikel 54, tweede alinea, VWEU of bestanden die die vennootschappen later indienen

    Bevestiging van ontvangst van de kennisgeving of wijziging, of van de aanvraag van een vergunning voor bedrijfsactiviteit

     

    Aanmelding van een werkgever (een natuurlijke persoon) bij verplichte pensioen- en verzekeringsregelingen

    Bevestiging van aanmelding of registratienummer sociale zekerheid

    Aanmelding van werknemers bij verplichte pensioen- en verzekeringsregelingen

    Bevestiging van aanmelding of registratienummer sociale zekerheid

    Indiening van een aangifte voor de vennootschapsbelasting

    Bevestiging van ontvangst van de aangifte

    Kennisgeving van beëindiging van een arbeidsovereenkomst met een werknemer aan socialezekerheidsregelingen, met uitzondering van procedures voor de collectieve beëindiging van arbeidsovereenkomsten

    Bevestiging van ontvangst van de kennisgeving

    Betaling van sociale bijdragen voor werknemers

    Kwitantie of andere betalingsbevestiging voor sociale bijdragen voor werknemers

    Aanmelding van een aanbieder van databemiddelingsdiensten

    Bevestiging van ontvangst van de aanmelding

    Registratie als een in de Unie erkende organisatie voor data-altruïsme

    Bevestiging van de registratie

    Artikel 37

    Overgangsregelingen

    Entiteiten die de in artikel 10 bedoelde databemiddelingsdiensten verlenen op 23 juni 2022, moeten uiterlijk op 24 september 2025 aan de verplichtingen van hoofdstuk III voldoen.

    Artikel 38

    Inwerkingtreding en toepassing

    Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

    Zij is van toepassing met ingang van 24 september 2023.

    Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

    Gedaan te Brussel, 30 mei 2022.

    Voor het Europees Parlement

    De voorzitter

    R. METSOLA

    Voor de Raad

    De voorzitter

    B. LE MAIRE


    (1)   PB C 286 van 16.7.2021, blz. 38.

    (2)  Standpunt van het Europees Parlement van 6 april 2022 (nog niet bekendgemaakt in het publicatieblad) en besluit van de Raad van 16 mei 2022.

    (3)  Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PB L 124 van 20.5.2003, blz. 36).

    (4)  Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).

    (5)  Verordening (EU) 2019/1239 van het Europees Parlement en de Raad van 20 juni 2019 tot instelling van een Europees maritiem éénloketsysteem en tot intrekking van Richtlijn 2010/65/EU (PB L 198 van 25.7.2019, blz. 64).

    (6)  Verordening (EU) 2020/1056 van het Europees Parlement en de Raad van 15 juli 2020 inzake elektronische informatie over goederenvervoer (PB L 249 van 31.7.2020, blz. 33).

    (7)  Richtlijn 2010/40/EU van het Europees Parlement en de Raad van 7 juli 2010 betreffende het kader voor het invoeren van intelligente vervoerssystemen op het gebied van wegvervoer en voor interfaces met andere vervoerswijzen (PB L 207 van 6.8.2010, blz. 1).

    (8)  Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad van 11 maart 2009 betreffende de Europese statistiek en tot intrekking van Verordening (EG, Euratom) nr. 1101/2008 betreffende de toezending van onder de statistische geheimhoudingsplicht vallende gegevens aan het Bureau voor de Statistiek van de Europese Gemeenschappen, Verordening (EG) nr. 322/97 van de Raad betreffende de communautaire statistiek en Besluit 89/382/EEG, Euratom van de Raad tot oprichting van een Comité statistisch programma van de Europese Gemeenschappen (PB L 87 van 31.3.2009, blz. 164).

    (9)  Verordening (EU) 2018/858 van het Europees Parlement en de Raad van 30 mei 2018 betreffende de goedkeuring van en het markttoezicht op motorvoertuigen en aanhangwagens, en systemen, onderdelen en technische eenheden die voor dergelijke voertuigen zijn bestemd, tot wijziging van Verordeningen (EG) nr. 715/2007 en (EG) nr. 595/2009 en tot intrekking van Richtlijn 2007/46/EG (PB L 151 van 14.6.2018, blz. 1).

    (10)  Verordening (EU) 2018/1807 van het Europees Parlement en de Raad van 14 november 2018 inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie (PB L 303 van 28.11.2018, blz. 59).

    (11)  Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt (“Richtlijn inzake elektronische handel”) (PB L 178 van 17.7.2000, blz. 1).

    (12)  Richtlijn 2001/29/EG van het Europees Parlement en de Raad van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappij (PB L 167 van 22.6.2001, blz. 10).

    (13)  Richtlijn 2004/48/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende de handhaving van intellectuele-eigendomsrechten (PB L 157 van 30.4.2004, blz. 45).

    (14)  Richtlijn 2007/2/EG van het Europees Parlement en de Raad van 14 maart 2007 tot oprichting van een infrastructuur voor ruimtelijke informatie in de Gemeenschap (Inspire) (PB L 108 van 25.4.2007, blz. 1).

    (15)  Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad van 20 mei 2015 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, tot wijziging van Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad en tot intrekking van Richtlijn 2005/60/EG van het Europees Parlement en de Raad en Richtlijn 2006/70/EG van de Commissie (PB L 141 van 5.6.2015, blz. 73).

    (16)  Richtlijn (EU) 2016/943 van het Europees Parlement en de Raad van 8 juni 2016 betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan (PB L 157, 15.6.2016, blz. 1).

    (17)  Richtlijn (EU) 2017/1132 van het Europees Parlement en de Raad van 14 juni 2017 aangaande bepaalde aspecten van het vennootschapsrecht (PB L 169 van 30.6.2017, blz. 46).

    (18)  Richtlijn (EU) 2019/790 van het Europees Parlement en de Raad van 17 april 2019 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van Richtlijnen 96/9/EG en 2001/29/EG (PB L 130 van 17.5.2019, blz. 92).

    (19)  Richtlijn (EU) 2019/1024 van het Europees Parlement en de Raad van 20 juni 2019 inzake open data en het hergebruik van overheidsinformatie (PB L 172 van 26.6.2019, blz. 56).

    (20)  Richtlijn 2009/81/EG van het Europees Parlement en de Raad van 13 juli 2009 betreffende de coördinatie van de procedures voor het plaatsen door aanbestedende diensten van bepaalde opdrachten voor werken, leveringen en diensten op defensie- en veiligheidsgebied, en tot wijziging van Richtlijnen 2004/17/EG en 2004/18/EG (PB L 216 van 20.8.2009, blz. 76).

    (21)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

    (22)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

    (23)  Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).

    (24)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

    (25)  Verordening (EU) nr. 557/2013 van de Commissie van 17 juni 2013 tot uitvoering van Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad betreffende de Europese statistiek, wat de toegang tot vertrouwelijke gegevens voor wetenschappelijke doeleinden betreft, en tot intrekking van Verordening (EG) nr. 831/2002 (PB L 164 van 18.6.2013, blz. 16).

    (26)  Richtlijn 96/9/EG van het Europees Parlement en de Raad van 11 maart 1996 betreffende de rechtsbescherming van databanken (PB L 77 van 27.3.1996, blz. 20).

    (27)  Verordening (EU) nr. 600/2014 van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten in financiële instrumenten en tot wijziging van Verordening (EU) nr. 648/2012 (PB L 173 van 12.6.2014, blz. 84).

    (28)  Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PB L 337 van 23.12.2015, blz. 35).

    (29)  Verordening (EU) 2018/1724 van het Europees Parlement en de Raad van 2 oktober 2018 tot oprichting van één digitale toegangspoort voor informatie, procedures en diensten voor ondersteuning en probleemoplossing en houdende wijziging van Verordening (EU) nr. 1024/2012 (PB L 295 van 21.11.2018, blz. 1).

    (30)   PB L 123 van 12.5.2016, blz. 1.

    (31)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

    (32)  Richtlijn (EU) 2016/2102 van het Europees Parlement en de Raad van 26 oktober 2016 inzake de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties (PB L 327 van 2.12.2016, blz. 1).

    (33)  Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad van 17 april 2019 betreffende de toegankelijkheidsvoorschriften voor producten en diensten (PB L 151 van 7.6.2019, blz. 70).


    Top