Wet- en regelgeving verandert constant, daarom is het belangrijk om goed op de hoogte te blijven van nieuwe ontwikkelingen. In deze blog geven we een update over de ontwikkelingen van de afgelopen tijd.
De Autoriteit Persoonsgegevens adviseert negatief over de Wet gegevensverwerking door samenwerkingsverbanden
Deze conceptwet zou een juridische basis moeten bieden voor gegevensdeling tussen samenwerkingsverbanden. De wet biedt overheidsorganisaties en private partijen (dat is dus een samenwerkingsverband) de mogelijkheid om gegevens samen te verwerken in het kader van zwaarwegende algemene belangen, zoals het tegengaan en opsporen van criminaliteit. De Autoriteit Persoonsgegevens (AP) vindt dat deze wet (nog steeds) een te groot risico oplevert op massasurveillance, en dat een rechterlijke toetsing voor dergelijke gegevensdeling noodzakelijk is. Het wetsvoorstel ligt al sinds 2020 bij de Eerste Kamer, mede vanwege de continue dringende adviezen van de AP. De conceptwet is een alternatief op het Systeem Risico Indicatie, een controversieel – en door de rechter verboden - algoritmesysteem.
De European Data Protection Board publiceert richtlijnen over cookietoestemming
De European Data Protection Board publiceerde richtlijnen over wat er precies wordt gedekt met de cookieregels uit artikel 5(3) van de ePrivacy Richtlijn. Dat artikel stelt de basisregel dat je cookies, of andere volgtechnieken, alleen mag gebruiken als het strikt noodzakelijk is om de betreffende dienst te leveren, of als je toestemming hebt van de gebruiker of betrokkene. In de wet staat dat het gaat om: “het gebruik van elektronische-communicatienetwerken voor de opslag van informatie of voor het verkrijgen van toegang tot informatie die is opgeslagen in de eindapparatuur van een abonnee of gebruiker”, wat wij dus voor het gemak vaak aanduiden met “cookies en andere volgtechnieken”. Een prima terminologie om die zinsnede te vergemakkelijken, maar het probleem is juist dat niet helemaal helder is wat onder die definitie valt en in welke situaties die verplichte toestemmingsregels gelden. Daarom publiceert de EDPB deze richtlijnen om daar meer duidelijkheid in te krijgen. Tot 28 december 2023 kunnen mensen hierop reageren.
Data Act aangenomen door Europees Parlement
Het Europees Parlement heeft op 9 november de EU Data Act (DA) aangenomen. De DA is van toepassing op aanbieders van verbonden dataverwerkingsdiensten. Denk onder meer aan aanbieders van cloud- en edgediensten. De DA biedt een uniform kader voor het gebruiken en delen van data binnen de gehele EU. Ook het overstappen van de ene naar de andere dienstverlener moet eenvoudiger worden en er gaan nieuwe interoperabiliteitseisen gelden. De DA heeft ten doel om de ontwikkeling van diensten binnen de EU te stimuleren. Denk daarbij bijvoorbeeld aan het gebruik van data voor artificial intelligence (AI), waar grote hoeveelheden data voor nodig zijn.
De DA voorziet in een mogelijkheid voor de overheid om (in uitzonderlijke situaties) toegang tot data te eisen, denk aan noodsituaties zoals overstromingen en bosbranden. Daarnaast worden er eisen gesteld aan de contracten die dataverwerkingsdiensten hanteren. Ook wil de EU met de DA realiseren dat gebruikers die de data genereren ook toegang kunnen krijgen tot die data, en deze data kunnen delen.
Internationale principes en gedragscode voor het gebruik en de ontwikkeling van AI
De G7 leiders bereikten op 30 oktober akkoord over internationale leidende principes voor kunstmatige intelligentie en een vrijwillige gedragscode voor AI. Deze principes en de gedragscode vullen op internationaal niveau de Europese AI Act aan (die is nog niet definitief). De elf principes sturen organisaties die geavanceerde AI-systemen ontwikkelen, in de markt zetten en gebruiken om betrouwbaarheid en veiligheid te borgen. De principes omvatten verplichtingen om risico’s en misbruik te mitigeren, kwetsbaarheden te identificeren, informatiedeling te promoten, over incidenten te rapporteren en te investeren in cybersecurity. De gedragscode geeft praktisch richting aan het naleven van de principes.
Data Governance Act van toepassing en Nederlands wetsvoorstel Uitvoeringswet Datagovernanceverordening ingediend
In september werd de Data Governance Act (DGA) van toepassing. De DGA zet een juridisch kader neer om het vertrouwen in vrijwillig delen van data ten behoeve van bedrijven en burgers te versterken. De EU erkent de enorme potentie van data, en stelt dat we daar nog niet voldoende gebruik van maken. De DGA functioneert als een intersectoraal instrument dat ten doel heeft om meer data beschikbaar te maken door het reguleren van hergebruik van data in handen van de publieke sector, door datadeling te stimuleren door het reguleren daarvan via nieuwe “databemiddelingsdiensten” en door het aanmoedigen van het delen van data voor altruïstische doeleinden. Het gaat om alle soorten informatie, dus niet alleen persoonsgegevens. Deze regelgeving moet ook (deels) worden geïmplementeerd in nationale wetgeving, wat de Nederlandse overheid doet met het wetsvoorstel Uitvoeringswet Datagovernanceverordening dat onlangs is ingediend.
Digital Services Act vanaf 25 augustus van toepassing voor VLOPs en VLOSEs
Op 25 augustus 2023 werd de Digital Services Act van toepassing voor de Very Large Online Platforms (VLOPs) en Very Large Online Search Engines (VLOSEs). De DSA is een aanvulling op en verscherping van de bestaande e-Commerce Richtlijn. De DSA zet de vrijstelling van aansprakelijkheid van tussenhandeldiensten uiteen en introduceert zorgvuldigheidsverplichtingen (of in het Engels due diligence obligations).
De DSA kent een asymmetrisch verplichtingenpakket: afhankelijk van welke soort dienst een onderneming aanbiedt moet de onderneming aan andere verplichtingen voldoen. De zwaarste verplichtingen gaan gelden voor de door de Europese Commissie erkende grote partijen, de VLOPs en VLOSEs, zoals Amazon, Booking.com, LinkedIn, Instagram en X. Deze partijen moeten onder meer zelf de systemische risico’s voor de gebruiker en de maatschappij van hun dienst analyseren en mitigeren. De DSA geeft daarbij richting, maar geen limitatieve lijst aan risico’s waar die partijen naar moeten kijken. Zo kan het gaan om privacyrisico’s, maar ook risico’s voor de samenleving, denk aan verdeeldheid door desinformatie. Een uitdagende opgave, want veel risico’s van intensief gebruik van social media kúnnen we nog niet eens voorzien.
Inmiddels is X al op de vingers getikt door de Europese Commissie omdat zij niet voldoende maatregelen nam tegen desinformatie met betrekking tot het gewelddadige conflict in Israël en Palestina.
Wet strafbaarstelling gebruik persoonsgegevens voor intimiderende doeleinden
“Doxing” is al een lange periode een groot probleem. Doxing is het delen of publiek beschikbaar stellen van persoonsgegevens met als doel iemand te intimideren. Vaak gebeurt dit met malafide doeleinden. Denk bijvoorbeeld aan ex-partners die naaktfoto’s of andere gevoelige informatie van hun ex online zetten om hun ex te raken. Op 28 juli 2023 is de “Wet strafbaarstelling gebruik persoonsgegevens voor intimiderende doeleinden” gepubliceerd in het Staatsblad. Die wet wijzigt het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de strafbaarstelling van het zich verschaffen, verspreiden of anderszins ter beschikking stellen van persoonsgegevens voor intimiderende doeleinden. Dat betekent dat doxing sindsdien verboden is.
Vennootschap op te richten per elektronische notariële akte
Het oprichten van een vennootschap (een organisatievorm die gebruikt wordt als een of meerdere personen willen samenwerken om baten en lasten te verdelen) moet voldoen aan een aantal vormvereisten. Tot voor kort kon men alleen een vennootschap oprichten in persoon, in het bijzijn van een notaris die een notariële akte opstelt. Sinds 7 augustus 2023 is het mogelijk om digitaal een vennootschap op te richten, bij elektronische notariële akte. Dit komt door de implementatie van Richtlijn (EU) 2019/1151 (Richtlijn m.b.t. gebruik van digitale instrumenten en processen in het kader van vennootschapsrecht) in ons Nederlands Boek 2 van het Burgerlijk Wetboek (BW) en de Wet op het notarisambt (artikel 2:175a BW).
Elektronisch bewijsmateriaal opgeslagen in andere lidstaten gemakkelijker beschikbaar
Ook de criminaliteit maakt een digitale ontwikkeling door. Criminelen opereren steeds vaker online of maken gebruik van technologie. Elektronisch bewijsmateriaal wordt daarom voor opsporingsinstanties ook steeds belangrijker om criminelen op te kunnen sporen. Het verkrijgen van elektronisch bewijsmateriaal, e-evidence, is soms lastig. Criminaliteit is grensoverschrijdend en vaak is de relevante data in een ander land opgeslagen dan in welk land de autoriteiten onderzoek doen. Op 12 juli 2023 is een nieuwe verordening vastgesteld die het vergaren van e-evidence op Europees niveau vergemakkelijkt: de Verordening betreffende het Europees verstrekkingsbevel en het Europees bewaringsbevel voor elektronisch bewijsmateriaal in strafzaken en de tenuitvoerlegging van vrijheidsstraffen als gevolg van een strafprocedure.
Deze verordening zorgt ervoor dat rechtelijke instanties van een EU-land rechtstreeks toegang tot elektronisch bewijsmateriaal kunnen verzoeken van in de EU gevestigde of vertegenwoordigde dienstverleners die hun diensten in de EU aanbieden. Instanties krijgen dus met zo’n verstrekkingsbevel toegang tot de opgeslagen gegevens, ongeacht wáár in de EU de gegevens opgeslagen zijn. Aanvullend moet een nieuw geïntroduceerd bewaringsbevel voorkomen dat voor de opsporing relevante gegevens worden gewist terwijl het verstrekkingsbevel nog in behandeling is. De verordening is van toepassing met ingang van 18 augustus 2026.
In aanvulling op deze verordening is op 28 juli 2023 de Richtlijn tot vaststelling van geharmoniseerde regels inzake de aanwijzing van aangewezen vestigingen en de aanstelling van wettelijke vertegenwoordigers ten behoeve van de vergaring van elektronisch bewijsmateriaal in strafprocedures gepubliceerd in het Publicatieblad, die op 1 augustus in werking trad. Deze richtlijn verplicht IT-dienstaanbieders die diensten aanbieden in de EU om – voor het ontvangen van de hiervoor genoemde bevelen – een wettelijk vertegenwoordiger aan te wijzen. De richtlijn moet door de lidstaten eerst nog wel in hun nationale recht worden overgenomen.
Eerste Wegiz-verplichte gegevensuitwisseling gepubliceerd: gegevensuitwisseling tussen huisarts en apotheek
De eerste gegevensuitwisseling die onder de Wet elektronische gegevensuitwisseling in de zorg (beter bekend als de Wegiz) verplicht wordt, is op 21 oktober gepubliceerd in de Staatscourant. De Wegiz verplicht zorgaanbieders tot bepaalde elektronische gegevensuitwisselingen en gaat zo over ‘de juiste informatie op de juiste plek’. De Wegiz is een kaderwet. Dat betekent dat bepaalde aspecten verder uitgewerkt moeten worden in aanvullende regels. Dit gebeurt in Algemene Maatregelen van Bestuur (AMvB). Dit besluit is daar de eerste van. Het ziet op de gegevensuitwisseling van de huisarts aan de “terhandsteller” (vaak de apotheek) en betekent dat vanaf 1 januari 2024 de huisarts en de apotheek verplicht zijn om (medicatie)recepten elektronisch uit te wisselen.
Ecodesign Richtlijn weer een stapje verder
De Ecodesign Richtlijn is een richtlijn die gaat om ecologisch ontwerp van producten. Deze richtlijn bestaat al een tijd, maar door het veranderende klimaat heeft de Europese Commissie in 2022 een nieuwe versie gepubliceerd (nog in concept). Voorheen golden de vereisten voor duurzaam ontwerp van producten alleen voor energieverbruikende producten, maar in dit voorstel wil de EU dit veel breder trekken, naar alle fysieke producten. De eisen op het gebied van ecologisch ontwerp kunnen gericht zijn op het verbeteren van de duurzaamheid, betrouwbaarheid, herbruikbaarheid, upgradebaarheid, repareerbaarheid, de mogelijkheid van onderhoud en renovatie, de mogelijkheid van herfabricage en recycling, het gebruik of de efficiëntie van hulpbronnen, gerecycleerde inhoud, de aanwezigheid van gevaarlijke chemicaliën en de gevolgen voor het milieu en de verwachte afvalproductie. Achter de schermen zijn ze de bij de EU hier druk mee bezig. Op 30 augustus vond een “trilogue” plaats. Dit is een informele interinstitutionele discussie waarbij vertegenwoordigers van het Europees Parlement, de Raad en de Europese Commissie samenkomen. Het doel is om tot een conceptovereenkomst te komen met betrekking tot wetsvoorstellen. Tot nog toe is geen informatie bekend over een finale versie van het voorstel, maar er zal binnenkort wel nieuws over deze richtlijn komen.
