Wat je wel (en nog niet) kan verwachten van de Data Act deelplicht van de overheid

    / 20 June 2025

    Vanaf 11 september 2025 zal de EU Data Act van toepassing zijn. Mijn collega Jeannot gaat in zijn blog in op wat zoal de nieuwe en diverse regels van de Europese Data Act zijn. In mijn blog leg ik één van deze nieuwe regels onder een vergrootglas: informatieverzoeken van overheden aan bedrijven.

    Met de Data Act zullen overheden meer data op kunnen vragen bij bedrijven. Of je na de zomer als Privacy Officer, Bedrijfsjurist, of (IT-)manager een informatieverzoek in je mailbox kan krijgen? Dat lees je in deze blog. Spoiler alert: het kan zijn dat je na het lezen van deze blog beter weet wat je kan verwachten, maar dat er ook nog een aantal dingen zijn waar je graag meer duidelijkheid over wil.

    Data beschikbaar stellen in een noodsituatie

    Heb je data die van belang kan zijn voor de overheid om te reageren op een algemene noodsituatie? Zoals een pandemie, natuurramp of cyberincident. Lees dan vooral verder, want in dat geval kan het zijn dat je een informatieverzoek van de overheid in je mailbox krijgt, waarin je verplicht wordt om data/persoonsgegevens te delen met die overheid.

    Noodsituatie is een breed begrip, al is er wel wat invulling. Er moet sprake zijn van een uitzonderlijke (nood)situatie die in de tijd beperkt is en dat moet zijn vastgesteld of afgekondigd overeenkomstig de relevante Unie- of nationaalrechtelijke procedures. Voor de Nederlandse context is artikel 103 van de Grondwet relevant, uitzonderingstoestanden zijn uitgewerkt in de Coördinatiewet uitzonderingstoestanden. Er moet bij koninklijk besluit worden afgekondigd. We weten in Nederland dat mensen verschillend kunnen kijken naar of een situatie een noodsituatie is (denk aan corona, asiel). Er is ruimte voor interpretatie, dus voor discussie. Tussen bedrijven en overheden kunnen hierdoor discussies ontstaan.

    Voor bedrijven is het nadelig dat het begrip zo algemeen geformuleerd is. Data dienen namelijk gratis ter beschikking gesteld te worden in het geval van een noodsituatie (je kunt er wel openbare erkenning voor krijgen). Daarom is dit voor overheden een aantrekkelijk alternatief om aan data te komen. Al is het wel zo dat de overheidsinstantie moet aantonen dat er geen andere manier was om de gegevens tijdig te verkrijgen. Heb je een mkb-bedrijf? Dan kun je een redelijke vergoeding vragen voor het beschikbaar stellen van data.

    Ook overheden kunnen belang hebben bij het krijgen van meer duidelijkheid over het begrip. Want als er sprake is van een noodsituatie, dan moet de overheid snel reageren en is de data snel nodig. Er is dan geen tijd om te onderhandelen over of er juridisch gezien wel of geen sprake is van een noodsituatie.

    Het kan zijn dat je verplicht wordt om persoonsgegevens te delen met de overheid in een noodsituatie. In die gevallen dien je aan de AVG te voldoen. In de meeste gevallen lijk je een grondslag te kunnen vinden in artikel 6 lid 1 sub c van de Algemene Verordening Gegevensbescherming (AVG). Als je bijzondere persoonsgegevens beschikbaar stelt, lijk je dat te kunnen doen basis van artikel 9 lid 2 sub g AVG. In principe is de AVG gewoon van toepassing, maar de verhouding tussen beide wetten is nog niet expliciet uitgewerkt. Al regelt de (concept) Uitvoeringswet dataverordening wel expliciet de aanwijzing van toezichthouders en de taak van de Autoriteit persoonsgegevens.

    Data beschikbaar stellen in een niet-noodsituatie

    Daarnaast kan de overheid ook data (maar geen persoonsgegevens) bij je opvragen in het geval van niet-noodsituatie. De overheid mag in niet-noodsituaties geen data opvragen bij mkb-bedrijven. Een niet-noodsituatie is een situatie die:

    • Onvoorzienbaar is, én;
    • In tijd beperkt is, én;
    • Geen noodsituatie is, maar het ontbreken van deze gegevens een overheidsinstantie ervan weerhoudt een wettelijke taak van algemeen belang te vervullen.

    De kosten voor het beschikbaar stellen van data in niet-noodsituaties situaties worden vergoed door de overheid. Je hebt recht op een 'eerlijke vergoeding’ van de technische en organisatorische kosten. De overheid kan je in een informatieverzoek vragen om een berekening te maken van de gemaakte kosten. Dit betekent dat de overheid duidelijk moet omschrijven in een informatieverzoek hoe welke data precies beschikbaar gesteld dienen te worden. Als dat niet gebeurt kan het voor een bedrijf moeilijk zijn om in te schatten welke kosten precies gemaakt mogen worden.

    Extra voorwaarde: geen andere manier om aan data te komen

    De datadeelplicht kan ingezet worden in de hierboven beschreven situaties. Wel geldt er nog een extra voorwaarde. Dit kan alleen als de overheid de data niet op een andere manier tijdig, doeltreffend en onder gelijkwaardige omstandigheden kan krijgen.

    Voorbeeld: een gemeente moet een grote woedende brand blussen. Jij hebt data die de overheid nodig heeft om hierop te reageren. Het is dan niet handig dat de overheid eerst met je gaat onderhandelen om tot een vrijwillige overeenkomst te komen. In dat geval kun je verplicht worden om de data te delen. De datadeelplicht ligt hier niet (en eigenlijk nooit) voor de hand als je data al online staat.

    Wat nog niet uit de wet blijkt, is hoe de overheid in zo’n geval kan aantonen dat zij niet op een andere manier tijdig, doeltreffend en onder gelijkwaardige omstandigheden aan de data kan komen. Welk onderzoek de overheid verricht moet hebben, voordat zij kan overgaan tot het verplichten van het delen van data door bedrijven, is nog onduidelijk. Ook is het onduidelijk hoe de overheid moet bewijzen dat dit onderzoek is gedaan.

    Toezichthouders/opsporingsambtenaren

    Extra aandacht verdient de vraag hoe voorkomen kan worden dat bijvoorbeeld toezichthouders en het Openbaar Ministerie hun bestaande bevoegdheden kunnen omzeilen. De Data Act bepaalt dat overheden geen data mogen opvragen die gebruikt kunnen worden voor strafrechtelijke en bestuursrechtelijke rechtshandhavingsdoeleinden. De Belastingdienst mag haar nieuwe bevoegdheid in de Data Act dus niet gebruiken om extra fraudeonderzoek naar je te doen.

    Toch is er nog sprake van een grijs gebied. Dit leg ik uit aan de hand van een voorbeeld. Mag een gemeente de locatie van de volgende demonstratie bij Extinction Rebellion opvragen zodat de gemeente extra dranghekken op de A7 kan plaatsen bij een onvoorziene demonstratie? Een demonstratie is op zichzelf geen administratieve overtreding en zou daarom niet onder de uitzondering van de Data Act vallen. Gemeenten hebben al bevoegdheden om de openbare orde te handhaven in de Gemeentewet. De gemeente zou daarom de Data Act kunnen gebruiken die verder gaat dan bestaande bevoegdheden. Is dat de bedoeling? Over dit soort gevallen dient meer duidelijkheid te komen.

    Het beschikbaar stellen van data

    Kun je je vinden in de ‘deelplicht’? Dan kun je de gevraagde data ter beschikking gaan stellen. Als zaken nog onduidelijk zijn, of je twijfelt aan de noodzaak omdat er andere middelen mogelijk zijn, dan kun je de betreffende overheid vragen om het verzoek te wijzigen. Hiervoor heb je beperkt de tijd. In het geval van een noodsituatie vijf dagen. In niet-noodsituaties heb je hiervoor dertig dagen.

    Hoewel het een verplichting is om de data beschikbaar te stellen, is het ook mogelijk om in bepaalde gevallen het verzoek af te wijzen, bijvoorbeeld als je als bedrijf geen controle hebt over de gegevens. Of als een andere overheid al een informatieverzoek bij je heeft ingediend. Als de overheidsinstantie het niet eens is met je afwijzing, dan kan zij deze aanvechten bij de bevoegde autoriteit.

    Wat moet ik doen als ik zo’n verzoek in mijn mailbox krijg?

    Als je een informatieverzoek in je mailbox hebt, lees deze dan eerst. Dit is waar je op kunt letten als je een verzoek binnenkrijgt:

    • De geldigheid van het verzoek
    • Of je over de gevraagde data beschikt
    • Of de overheid op een andere manier aan de data kan komen
    • Of je persoonsgegevens dient te delen en of dit overeenkomt met de AVG
    • Welke kosten bij het beschikbaarheid stellen van data komen kijken

    Misschien dat de Europese Commissie, net als bij de AI-act aanvullende richtsnoeren zal publiceren over de Data Act. De Commissie zou hierin onder andere meer uitleg kunnen geven over:

    • De voorwaarden waaronder een overheid een bedrijf mag verplichten om data met haar te delen in een niet-noodsiuatie
    • Hoe de overheid kan aantonen dat zij de data niet op een andere manier tijdig, doeltreffend en onder gelijkwaardige omstandigheden kan krijgen
    • De verhouding tussen de Data Act en de AVG

    Nog vragen over deze blog? Of over de Data Act? Of heb je hulp nodig met het inrichten van je processen om te reageren op informatieverzoeken van de overheid? Neem dan vooral contact met ons op.

    Neem contact op
    Terug naar overzicht

    Lotte van der Spek

    Legal Counsel
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram