16 oktober 2023

Data for good

Elke verordening heeft, als ze toepasbaar is verklaard, directe werking: de regels gelden voor alle lidstaten. Met een zogenaamde uitvoeringswet kunnen nationale lidstaten de Verordening zelf verder invullen.

2023: de volgende Verordeningen werden toepasbaar

Digital Market Act (DMA)

Deze is afgelopen mei toepasbaar geworden. De Verordening stelt regels voor grote online platvormen, de zgn. poortwachters: zoekmachines, sociale netwerken, Cloud- en computingdiensten. Die hebben een zodanige marktpositie dat zakelijke en eind- gebruikers niet of nauwelijks meer om deze platforms heen kunnen. Doel van de DMA is om gebruikers van die platforms beter te beschermen en te zorgen voor beter werkende digitale markten.

De Nederlandse uitvoeringswet voor de DMA zit op het moment van schrijven van deze blog in het wetgevingstraject

Digital Governance Act (DGA)

Deze Verordening die op 24 september jl. van kracht werd, bevat regels voor het delen van gegevens en data en beoogt dat:

• gegevens met vertrouwen kunnen worden gedeeld

• meer gegevens beschikbaar worden gesteld

• gegevens technisch gemakkelijk te hergebruiken zijn.

Met een raamwerk wordt een veilige omgeving voor het delen van gegevens gemaakt zodat nieuwe businessmodellen ontwikkeld kunnen worden.

Daarnaast komt er een landelijk register van erkende “data-altruïsten”. Dit zijn organisaties die gegevens verzamelen voor een algemeen belang, bijvoorbeeld gegevens die nodig zijn voor medisch-wetenschappelijke onderzoeken. Het Register geeft zekerheid dat data in goede handen zijn.

Op het moment van schrijven van deze blog werkt het kabinet aan de implementatie van deze Verordening.

2023: de volgende Verordeningen werden van kracht

Network and Information Security Act (NIS2)

De Network and Information Security Verordening, of NIS2-verordening, is de opvolger van de NIS-richtlijn. Het doel van deze richtlijn is om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 geldt voor meer sectoren en stelt strengere beveiligingsnormen en meldingsvereisten voor incidenten.

De NIS2 zal in oktober 2024 toepasbaar zijn. Op dit moment wordt aan de uitvoeringswet gewerkt.

Digital Operational Resilience Act (DORA)

DORA geldt specifiek voor de financiële sector. Het doel van de DORA wetgeving is om de eisen aan het beheersen van ICT-risico’s te harmoniseren en zodat de continuïteit van de kritieke processen wordt gewaarborgd.

Verzekerings- en herverzekeringsondernemingen, verzekeringstussenpersonen, beleggingsinstellingen, beheermaatschappijen, banken, crypto-asset serviceproviders, instellingen voor bedrijfspensioenvoorziening en aanbieders van ICT-diensten aan deze sectoren krijgen te maken met deze Verordening.

In januari 2025 zal DORA toepasbaar worden.

2024: de volgende Verordeningen zullen toepasbaar worden.

Digital Service Act (DSA)

De DSA is het tweelingbroertje van de DMA. De Verordening regelt de verplichtingen die digitale dienstverleners hebben voor hun rol als schakel tussen consumenten enerzijds en aanbieders van goederen, diensten en content anderzijds. Het raakt dus connectiviteitsdiensten, Content Delivery Networks, hosting providers en online platformen. Maar ook uitgevers en adverteerders krijgen met de DSA te maken. Bij hen wordt de verplichting neergelegd om toegang te geven tot tools die de performance van advertenties meten.

Een belangrijke verplichting is dat online platformen bij elke advertentie realtime aan iedere individuele websitebezoeker duidelijke en ondubbelzinnige informatie moet verstrekken. Die moet duidelijk maken:

• dat de gebruiker een advertentie ziet

• namens wie de advertentie wordt weergegeven.

• welke parameters worden gebruikt voor het tonen van een advertentie aan een gebruiker.

Daarnaast moeten bezoekers zelf eenvoudig de volgorde van berichten of video’s kunnen aanpassen. Nu doen YouTube, Facebook en andere platformen dat standaard via aanbevelingsalgoritmes op basis van de persoonlijke voorkeuren van gebruikers.

Vanuit privacy-optiek interessant: de DSA noemt in recital 52 alleen ‘toestemming’ en geen “gerechtvaardigd belang” als rechtsgrond voor advertenties.

2024: de volgende Verordeningen worden van kracht

De Data Act zal naar verwachting halverwege 2024 van kracht worden. Deze regelt dat gebruikers deels mede eigenaar worden van de data die door het Internet of Things worden gegenereerd. Gebruikers moeten te allen tijde zonder een verzoek in te dienen toegang krijgen tot de data die bijv. smartphones, slimme deurbellen en verlichting genereren.

De Verordening geeft daarnaast de mogelijkheid om een derde partij toegang tot de data te geven om daar waarde aan toe te voegen.

Online diensten en services moeten ook zo worden ingericht dat zij gegevens goed onderling kunnen delen zodat je makkelijker van bijv. een clouddienst kan wisselen.

En de AI Act dan?

In een eerdere blog (1) schreven we over de AI Act, regelgeving voor de ontwikkeling en toepassing van Artificial Intelligence. In juni 2023 stemde het Europese Parlement voor deze verordening. Dat betekent dat vertegenwoordigers van het Europese Parlement gaan onderhandelen over de tekst met de Raad van Ministers.

De verwachting is dat de Verordening in het voorjaar van 2024 zal worden aangenomen. Dan zullen ook de data voor het van kracht worden en de toepasselijkheid bekend worden.

Bronnen

  1. https://privacy-web.nl/nieuws/de-nieuwe-ai-act-op-hoofdlijnen/

Over de auteurs

  • Nico Mookhoek

    Nico Mookhoek is gecertificeerd privacy professional (CIPP/E) en privacyjurist die kennis van privacy (GDPR/AVG) combineert met inzicht en ervaring met bedrijfsprocessen. Hij is bovendien gastdocent bij de Master Legal Management van de Hogeschool van Amsterdam.

Gerelateerd nieuws

Public cloud en de Rijksoverheid in de praktijk

We kunnen niet meer om het onderwerp heen: public cloud zoals aangeboden door onder andere Microsoft (Azure), Amazon (AWS) en Google (GCP) wordt door de Rijksoverheid steeds meer gebruikt. De komende jaren zullen we tijdens onze onderzoeken steeds vaker informatiesystemen tegenkomen die gebruik maken van de public cloud en gevraagd worden om hier iets van te vinden.

Data & Privacy

Onderzoek naar informatiebeveiliging is ‘wake up-call’

Een ADR-onderzoek naar de omgang met vertrouwelijke informatie bij de politie toont aan dat de beveiliging van die informatie onvoldoende op orde is. Het korps is te kwetsbaar voor kwaadwillenden die op zoek zijn naar politie-informatie. Naar aanleiding van het rapport heeft de politie direct maatregelen genomen.

Data & Privacy

Het belang van meer aandacht voor IT en cybersecurity voor de jeugd

De digitalisering van onze samenleving verloopt in een razend tempo. Informatie en operationele technologieën zijn niet meer weg te denken uit ons leven. Het samenkomen van computers, wereldwijde connectiviteit, mobiele apparatuur, robotisering, cloud technologie en Artificiële Intelligentie (AI) transformeert onze wereld. Daarin ligt een potentiële belofte dat alles sneller, efficiënter, beter en gemakkelijker wordt, overal en continue. Deze digitalisering en technologische ontwikkelingen bieden kansen en mogelijkheden voor zowel organisaties als de samenleving.

Data & Privacy

Nederland wil met 8 landen EU-regels digitale economie vereenvoudigen

Meer dan 10 nieuwe EU-wetten voor de digitale economie zijn van kracht of komen eraan. Die verbeteren concurrentie en consumentenbescherming op terreinen als digitale platforms, kunstmatige intelligentie, productveiligheid en data. Al deze regels bij elkaar kunnen echter ook onsamenhangend of overlappend zijn en zo onnodig mkb-ondernemers belemmeren. Minister Dirk Beljaarts (Economische Zaken) heeft vandaag bij de EU Telecomraad in Brussel met België, Duitsland, Estland, Finland, Griekenland, Ierland, Slowakije en Zweden de Europese Commissie opgeroepen om dit aan te pakken.

Data & Privacy

Meer nieuws