De dataverordening (Verordening (EU) 2023/2854) is sinds 12 september 2025 van toepassing en heeft als doel de Europese data-economie eerlijker en concurrerender te maken. Toch wil de Europese Commissie de dataverordening nu alweer aanpassen.
De reden: de digitale spelregels in de EU zijn te complex geworden en moeten worden vereenvoudigd, verduidelijkt en verbeterd. Met het voorstel voor een digitale omnibus verordening stelt de Commissie wijzigingen voor in meerdere wetten, waaronder de in eerdere blogs besproken AVG en AI-verordening. De voorgestelde wijzigingen van de dataverordening gaan echter verder dan louter tekstuele aanpassingen. Hieronder bespreken wij de drie meest ingrijpende veranderingen.
(invoeging Hoofdstuk VII bis, Hoofdstuk VII ter en Hoofdstuk VII quater)
De afgelopen jaren zijn er steeds meer Europese regels over data bijgekomen, wat heeft geleid tot een onoverzichtelijk geheel van overlappende verplichtingen en onduidelijkheden over welke regel wanneer van toepassing is. Het voorstel beoogt hierin orde te scheppen door drie bestaande regelingen op te nemen in de dataverordening en vervolgens in te trekken:
Daarmee wordt de dataverordening het centrale kader voor de Europese data-economie. De inhoud van de ingetrokken regelingen krijgt een plek in drie nieuwe hoofdstukken: Hoofdstuk VII bis over databemiddelingsdiensten en data-altruïsme, Hoofdstuk VII ter over het vrije verkeer van niet-persoonsgebonden gegevens, en Hoofdstuk VII quater over het hergebruik van overheidsdata. Dit is een grote verandering: wie naleving had ingericht op de afzonderlijke regelingen, moet die aanpak herzien.
(vervanging artikelen 14 en 15 door nieuw artikel 15 bis)
Op grond van de huidige dataverordening kunnen overheidsinstanties bij bedrijven data opvragen wanneer dat "uitzonderlijk noodzakelijk" is. Dit is een vaag criterium dat in de praktijk veel ruimte laat voor discussie. Het voorstel vervangt deze norm door een striktere drempel: de overheid mag alleen nog data opvragen bij een "algemene noodsituatie".
Wanneer een dergelijke noodsituatie zich voordoet, zijn twee soorten verzoeken mogelijk. Het eerste verzoek kan worden gedaan wanneer dat nodig is om direct te reageren op de noodsituatie; het tweede verzoek kan worden ingezet ter beperking of ondersteuning van de herstelmaatregelen ná de noodsituatie. Bij het eerste verzoek kunnen zowel persoonsgebonden als niet-persoonsgebonden gegevens worden opgevraagd. Persoonsgegevens dienen daarbij zo veel mogelijk in gepseudonimiseerde vorm beschikbaar te worden gesteld en de terbeschikkingstelling moet kosteloos geschieden. Bij het tweede verzoek kunnen uitsluitend specifieke, niet-persoonsgebonden gegevens worden opgevraagd.
Bovendien mag dit verzoek niet worden gericht aan micro-ondernemingen en kleine ondernemingen. Bedrijven die op grond van het tweede verzoek gegevens beschikbaar stellen, hebben recht op een billijke vergoeding. Dit verzoek hoeft dus niet kosteloos te worden ingewilligd. Deze aanscherping geeft bedrijven meer zekerheid over de omstandigheden waaronder de overheid bij hen om data kan vragen, maar de nieuwe regels vragen wel om een goed begrip van de bijbehorende procedures.
(aanpassing artikel 4 lid 8 en artikel 5 lid 11)
De dataverordening verplicht bedrijven in bepaalde gevallen om data te delen met gebruikers van hun producten. Dit roept de vraag op: wat als die data bedrijfsgeheimen bevatten en wat als die gegevens uiteindelijk terechtkomen bij partijen in landen met weinig bescherming? Dat risico moet worden aangepakt.
Het voorstel voert hiervoor een concrete weigeringsgrond in. Een bedrijf mag weigeren data te delen met een gebruiker als het kan aantonen dat er een groot risico bestaat dat zijn bedrijfsgeheimen onrechtmatig worden gebruikt of terechtkomen bij entiteiten buiten de EU (of bij EU-bedrijven die direct of indirect worden aangestuurd vanuit dergelijke entiteiten) die zijn onderworpen aan rechtsstelsels met een zwakkere bescherming dan het Europese recht biedt.
Dezelfde weigeringsmogelijkheid geldt wanneer een derde partij de ontvanger is. De weigering moet schriftelijk worden onderbouwd met concrete feiten en de bevoegde toezichthouder moet worden ingelicht. Dit is een nuttige aanvulling op het bestaande kader, maar de drempel ligt hoog: het aantonen van een "groot risico" vereist een gedegen voorbereiding en een duidelijk intern beleid.
Deze drie voorgestelde wijzigingen laten zien dat het voorstel twee richtingen tegelijk opgaat: enerzijds vereenvoudiging en lastenverlichting, anderzijds aanscherping op punten waar de huidige regels tekort lijken te schieten. De samenvoeging van drie EU-regelingen tot één verordening is de meest structurele verandering en vraagt om een herziening van bestaande complianceprogramma's. De aanscherping van de bevoegdheid van de overheid om gegevens op te vragen en de verbeterde bescherming van bedrijfsgeheimen geven bedrijven meer houvast. Het voorstel is nog niet aangenomen, maar het is verstandig de ontwikkelingen nauwlettend te volgen en waar mogelijk alvast te anticiperen op de nieuwe regels.
Neem bij vragen contact op met Hieke van Druten, advocaat IT, Privacy & Cybersecurity of met één van onze andere specialisten binnen team IT, Privacy & Cybersecurity.
Wil je elke maand een overzicht van updates en blogs in jouw mailbox? Klik dan hier om je in te schrijven voor de nieuwsbrief!
