De EU ziet de digitale transitie als essentieel voor de economische ontwikkeling en strategische autonomie van de EU. Hiervoor is Digitale Strategie opgesteld. Dat levert veel privacy gerelateerde EU wetgeving.
In deze blog geven we een overzicht van alle Verordening die raken aan de bescherming van persoonsgegevens en het gebruik van data. En we zetten we op een rijtje wanneer welke Europese Verordening van kracht wordt. Dat een Verordening van kracht (entry into force) is, betekent nog niet dat hieraan rechten kunnen worden ontleend. Dit kan pas nadat de wet “applicable”, toepasbaar is verklaard. De reden van de termijn tussen “entry into force” en applicable” is dat Lidstaten maar ook andere partijen die met de nieuwe wet te maken krijgen tijd hebben om zich voor te bereiden.
Elke verordening heeft, als ze toepasbaar is verklaard, directe werking: de regels gelden voor alle lidstaten. Met een zogenaamde uitvoeringswet kunnen nationale lidstaten de Verordening zelf verder invullen.
2023: de volgende Verordeningen werden toepasbaar
Privacy gerelateerde EU-wetgeving.
Digital Market Act (DMA)
Deze is afgelopen mei toepasbaar geworden. De Verordening stelt regels voor grote online platvormen, de zgn. poortwachters: zoekmachines, sociale netwerken, Cloud- en computingdiensten. Die hebben een zodanige marktpositie dat zakelijke en eind- gebruikers niet of nauwelijks meer om deze platforms heen kunnen. Doel van de DMA is om gebruikers van die platforms beter te beschermen en te zorgen voor beter werkende digitale markten.
De Nederlandse uitvoeringswet voor de DMA zit op het moment van schrijven van deze blog in het wetgevingstraject
Digital Governance Act (DGA)
Deze Verordening die op 24 september jl. van kracht werd, bevat regels voor het delen van gegevens en data en beoogt dat:
- gegevens met vertrouwen kunnen worden gedeeld
- meer gegevens beschikbaar worden gesteld
- gegevens technisch gemakkelijk te hergebruiken zijn.
Met een raamwerk wordt een veilige omgeving voor het delen van gegevens gemaakt zodat nieuwe businessmodellen ontwikkeld kunnen worden.
Daarnaast komt er een landelijk register van erkende “data-altruïsten”. Dit zijn organisaties die gegevens verzamelen voor een algemeen belang, bijvoorbeeld gegevens die nodig zijn voor medisch-wetenschappelijke onderzoeken. Het Register geeft zekerheid dat data in goede handen zijn.
Op het moment van schrijven van deze blog werkt het kabinet aan de implementatie van deze Verordening.
2023: de volgende Verordeningen werden van kracht
Network and Information Security Act (NIS2)
De Network and Information Security Verordening, of NIS2-verordening, is de opvolger van de NIS-richtlijn. Het doel van deze richtlijn is om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 geldt voor meer sectoren en stelt strengere beveiligingsnormen en meldingsvereisten voor incidenten.
De NIS2 zal in oktober 2024 toepasbaar zijn. Op dit moment wordt aan de uitvoeringswet gewerkt.
Digital Operational Resilience Act (DORA)
DORA geldt specifiek voor de financiële sector. Het doel van de DORA wetgeving is om de eisen aan het beheersen van ICT-risico’s te harmoniseren zodat de continuïteit van de kritieke processen wordt gewaarborgd.
Verzekerings- en herverzekeringsondernemingen, verzekeringstussenpersonen, beleggingsinstellingen, beheermaatschappijen, banken, crypto-asset serviceproviders, instellingen voor bedrijfspensioenvoorziening en aanbieders van ICT-diensten aan deze sectoren krijgen te maken met deze Verordening.
In januari 2025 zal DORA toepasbaar worden.
2024: de volgende Verordeningen zullen toepasbaar worden.
Privacy gerelateerde EU-wetgeving.
Digital Service Act (DSA)
De DSA is het tweelingbroertje van de DMA. De Verordening regelt de verplichtingen die digitale dienstverleners hebben voor hun rol als schakel tussen consumenten enerzijds en aanbieders van goederen, diensten en content anderzijds. Het raakt dus connectiviteitsdiensten, Content Delivery Networks, hosting providers en online platformen. Maar ook uitgevers en adverteerders krijgen met de DSA te maken. Bij hen wordt de verplichting neergelegd om toegang te geven tot tools die de performance van advertenties meten.
Een belangrijke verplichting is dat online platformen bij elke advertentie realtime aan iedere individuele websitebezoeker duidelijke en ondubbelzinnige informatie moet verstrekken. Die moet duidelijk maken:
- dat de gebruiker een advertentie ziet
- namens wie de advertentie wordt weergegeven.
- welke parameters worden gebruikt voor het tonen van een advertentie aan een gebruiker.
Daarnaast moeten bezoekers zelf eenvoudig de volgorde van berichten of video’s kunnen aanpassen. Nu doen YouTube, Facebook en andere platformen dat standaard via aanbevelingsalgoritmes op basis van de persoonlijke voorkeuren van gebruikers.
Vanuit privacy-optiek interessant: de DSA noemt in recital 52 alleen ‘toestemming’ en geen “gerechtvaardigd belang” als rechtsgrond voor advertenties.
2024: de volgende Verordeningen worden van kracht
De Data Act zal naar verwachting halverwege 2024 van kracht worden. Deze regelt dat gebruikers deels mede eigenaar worden van de data die door het Internet of Things worden gegenereerd. Gebruikers moeten te allen tijde zonder een verzoek in te dienen toegang krijgen tot de data die bijv. smartphones, slimme deurbellen en verlichting genereren.
De Verordening geeft daarnaast de mogelijkheid om een derde partij toegang tot de data te geven om daar waarde aan toe te voegen.
Online diensten en services moeten ook zo worden ingericht dat zij gegevens goed onderling kunnen delen zodat je makkelijker van bijv. een clouddienst kan wisselen.
En de AI Act dan?
In een eerdere blog schreven we over de AI Act, regelgeving voor de ontwikkeling en toepassing van Artificial Intelligence. In juni 2023 stemde het Europese Parlement voor deze verordening. Dat betekent dat vertegenwoordigers van het Europese Parlement gaan onderhandelen over de tekst met de Raad van Ministers.
De verwachting is dat de Verordening in het voorjaar van 2024 zal worden aangenomen. Dan zullen ook de data voor het van kracht worden en de toepasselijkheid bekend worden.
Update 13-3-2024
Op 23 maart is de AI Act goedgekeurd en besloten dat deze gefaseerd wordt ingevoerd. Het tijdpad is als volgt:
– maart 2024: goedkeuring
– april 2024: in werking treding
– oktober 2024: titel I en II van toepassing. Let op: dat betekent dus dat verboden vormen van AI dan al niet meer gebruikt mogen worden!
– april 2025: titel III, hdst.4, VI en VIIa in werking. D.w.z. alle landen zullen een toezichthouder moeten hebben en de regels m.b.t. general purpose AI toe moeten passen
– april 2026 AI Act volledig van toepassing op 2 uitzonderingen na.
In april 2027 treden de regels voor AI als essentieel onderdeel van gereguleerde producten in werking (art. 6(1) titel II). En pas op 31 december 2030 moet de deadline voor de large scale legacy IT van de EU en nationale overheden zijn geregeld.
In de maak: European Health Data Space (EHDS)
Ook de EDHS vloeit voort uit de Europese Datastrategie. De bedoeling is om tot een Europese ruimte, een ecosysteem voor gezondheidsgegevens te komen. Dit ecosysteem, zo is de gedachte, is de basis voor een sterke Europese gezondheidsunie.
Het ecosysteem gaat bestaan uit regels, gemeenschappelijke normen en praktijken, infrastructuren en een governancekader. In het voorstel ligt de focus op de beschikbaarheid van data. Het beoogt het secundair gebruik van zorgdata te vergemakkelijken door een centrale data-uitgifte punt. Data kunnen zowel door publieke en private gevraagd worden. Voor private partijen komt een vergunningstelsel. Het uitgangspunt is dat de data anoniem zijn.
De invoeringsdatum is nog niet bekend, er wordt op dit moment over onderhandeld.