De Europese Data Act (2/3): B2G-data delen

Gepubliceerd op 16/01/24 door Bert Spreuwers

De Europese data-economie krijgt meer spelregels, nu de EU instellingen de zogeheten “Data Act” hebben afgewerkt. In dit tweede artikel van onze reeks over de Data Act en de gevolgen voor uw ondernemingen gaan we in op het delen van B2G-gegevens (“business-to-government”).

Lees ook het eerste deel van deze artikelreeks: De Europese Data Act (1/3): B2B- en B2C-data delen

De Data Act werd gepubliceerd op 22 december 2023 en treedt in werking op 11 januari 2024, waarna een overgangstermijn begint om zich in regel te stellen (voor de meeste bepalingen tegen 12 september 2025).

De Data Act is bedoeld om de eerlijkheid in de Europese data-economie te verbeteren. Het opzet is betere toegang tot data, om een betere balans te vinden. Ook bepaalde overheden krijgen meer rechten om data op te vragen bij ondernemingen, meer bepaald bij een “uitzonderlijke nood”.

Over welke overheden gaat het?

Dit wordt ruim opgevat. Het gaat om alle nationale (vb. federale overheidsdiensten), regionale (vb. Vlaamse overheidsdiensten) en lokale (bv. steden en gemeenten) autoriteiten van de EU lidstaten, alsook publiekrechtelijke instellingen of samenwerkingsverbanden van deze autoriteiten (bv. intercommunales). Ook de Europese Commissie, de Europese Centrale Bank en andere EU-organen genieten van deze regeling.

Deze regels zijn echter niet van toepassing op de activiteiten van overheden met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafrechtelijke of administratieve inbreuken of de tenuitvoerlegging van straffen, noch op de douane- of belastingadministratie.

Wanneer mogen die overheden gegevens opvragen? Bij wie?

Dit kan enkel bij een “uitzonderlijke noodzaak” om de opgevraagde gegevens te gebruiken in het kader van hun overheidstaken en voor het algemeen belang. Die nood moet beperkt zijn in de tijd en qua toepassingsgebied, en geldt enkel in de volgende gevallen:

De gegevens zijn noodzakelijk om te reageren op een algemene noodsituatie. Dit zijn uitzonderlijke en tijdelijke situaties, bijvoorbeeld op het vlak van volksgezondheid, omwille van natuurrampen of grote rampen veroorzaakt door de mens, met negatieve gevolgen voor de bevolking in de EU, met een risico op ernstige en blijvende gevolgen voor de financiële of economische stabiliteit. Die noodsituatie moet afgekondigd zijn volgens een nationale of EU procedure.
In deze situaties kan men zowel persoonsgegevens als niet-persoonsgegevens opvragen, wel enkel bij rechtspersonen (niet bij andere overheidsinstanties noch bij natuurlijke personen).
Andere omstandigheden, waarbij de specifieke gegevens nodig zijn om een wettelijk voorziene overheidstaak te vervullen en de overheid in kwestie alles heeft geprobeerd om die gegevens te verkrijgen op basis van reeds bestaande wetgeving of volgens de gebruikelijke markttarieven (die laatste vereiste geldt niet indien de gegevens nodig zijn voor overheidsstatistieken).
In die situaties kan een overheidsinstantie enkel niet-persoonsgegevens opvragen. De vraag kan hier wederom enkel gericht worden aan rechtspersonen, in dit geval echter niet aan kleine ondernemingen of micro-ondernemingen.

Hoe zal dit verlopen?

De overheid in kwestie moet een “naar behoren gemotiveerd verzoek” richten tot de gegevenshouders. Dit verzoek moet behoorlijk wat informatie bevatten. Zo moet de overheid in kwestie onder meer toelichten welke gegevens worden opgevraagd, waarom er sprake is van een uitzonderlijke noodzaak (zie voorwaarden hierboven), het doel van het verzoek bepalen, uitleggen waarom die gegevenshouder werd aangeschreven, verduidelijken hoe (indien relevant) de GDPR wordt nageleefd, bepalen wanneer de gegevens (vermoedelijk) worden gewist, en een termijn vaststellen voor de vrijgave van de gegevens of voor een andere reactie op het verzoek (zie hieronder).

Het verzoek moet schriftelijk zijn, opgesteld zijn in duidelijke en eenvoudige taal, en moet specifiek en proportioneel zijn. Ook moet de aangeschreven gegevenshouder informatie krijgen over eventuele sancties indien het verzoek niet wordt nageleefd.

De Europese Commissie zal een model uitwerken voor dit soort verzoeken.

Wat moet ik doen wanneer mijn bedrijf een verzoek ontvangt?

Antwoorden is de boodschap en best zo snel mogelijk. Enerzijds kan uw bedrijf de gevraagde gegevens bezorgen binnen de vooropgestelde termijn. Anderzijds kunt u het verzoek afwijzen of vragen om het te wijzigen. Dit moet dan gebeuren binnen 5 werkdagen na de ontvangst van het verzoek bij een algemene noodsituatie of 30 werkdagen in de andere gevallen van uitzonderlijke noodzaak, en op basis van één van de volgende redenen:

De gegevenshouder heeft geen controle over de gevraagde gegevens;
Een andere overheidsinstantie heeft reeds een soortgelijk verzoek ingediend, met hetzelfde doel, en de gegevenshouder werd nog niet geïnformeerd over de wissing van de gegevens. In dat geval moet de gegevenshouder doorverwijzen naar die andere overheidsinstantie;
Het verzoek voldoet niet aan de toepasselijke voorwaarden (zie hierboven).

Indien u weigert, kan de overheid zich wenden tot een bevoegde (nationale) dienst om het geschil te behandelen. Die dienst moet in alle EU-lidstaten beschikbaar zijn.

Indien u ingaat op het verzoek en dat verzoek ook persoonsgegevens omvat, dient u die gegevens te anonimiseren, tenzij men uitdrukkelijk vraagt naar persoonsgegevens. In dat laatste geval is pseudonimisering wel vereist.

Wat mag ik verwachten van de overheid die me contacteert?

Deze overheid moet ook een aantal beperkingen respecteren, bijvoorbeeld:

De gegevens niet gebruiken op een wijze die onverenigbaar is met het doel van het verzoek;
Technische en organisatorische maatregelen nemen om de vertrouwelijkheid en integriteit van de gegevens te verzekeren, zeker als het gaat om persoonsgegevens;
De gegevens wissen van zodra deze niet meer nodig zijn voor het beoogde doel en de gegevenshouder informeren.

Een vergoeding is ook mogelijk in bepaalde gevallen. Bij vrijgave omwille van een noodsituatie kan men enkel een “publieke waardering” vragen en geen vergoeding, tenzij de gegevenshouder een kleine of micro-onderneming is. In de andere situaties is er wel een eerlijke vergoeding verschuldigd voor de technische en organisatorische kosten van de gegevenshouder (bv. anonimisering en aggregatie), met een redelijke marge. De gegevenshouder moet zowel de kosten als die marge kunnen rechtvaardigen, indien de overheidsinstantie dat vraagt. Ook hier is het mogelijk dat de overheid de vergoeding betwist. Bij verzoeken met het oog op officiële statistieken is geen vergoeding voorzien.

De bezorgde gegevens mogen niet hergebruikt worden op basis van de Data Governance Act noch op basis van de open data-richtlijn. Wel mag de data gedeeld worden met andere overheden, om de doelstellingen vermeld in het verzoek te vervullen, of met derden aan wie de overheidstaak (deels) werd uitbesteed. Ook onderzoek op basis van de gedeelde data is mogelijk. Zo mag de betrokken overheid de verkregen data delen met het oog op wetenschappelijk onderzoek of officiële statistieken.

Wilt u meer weten over de Data Act? Raadpleeg hier de integrale tekst. Ook onze Agoria-experten Jelle Hoedemaekers en Bert Spreuwers beantwoorden graag uw vragen.