Digital Governance Act 2022/0868 NL

c)	een kader voor de vrijwillige registratie van entiteiten die voor altruïstische doeleinden beschikbaar gestelde gegevens verzamelen en verwerken, en

d)	een kader voor de oprichting van een Europees Comité voor gegevensinnovatie.

2. Deze verordening houdt voor openbare lichamen geen verplichting in om hergebruik van gegevens toe te staan, en het ontheft openbare lichamen niet van hun vertrouwelijkheidsverplichtingen uit hoofde van het Unierecht of het nationale recht.

Deze verordening doet geen afbreuk aan:

a)	specifieke bepalingen in het Unierecht of het nationale recht betreffende de toegang tot of het hergebruik van bepaalde gegevenscategorieën, met name wat betreft het verlenen van toegang tot en het openbaar maken van officiële documenten, en

b)	verplichtingen van openbare lichamen uit hoofde van het Unierecht of het nationale recht om hergebruik van gegevens toe te staan, noch aan vereisten met betrekking tot de verwerking van niet-persoonsgebonden gegevens.

Indien sectorspecifiek Unierecht of nationaal recht vereist dat openbare lichamen, aanbieders van databemiddelingsdiensten of erkende organisaties voor data-altruïsme moeten voldoen aan specifieke aanvullende technische, administratieve of organisatorische vereisten, onder meer via een vergunnings- of certificeringsregeling, zijn die bepalingen van dat sectorspecifieke Unierecht of nationale recht eveneens van toepassing. Dergelijke specifieke aanvullende vereisten zijn niet-discriminerend, evenredig en objectief gerechtvaardigd.

3. Het Unierecht en het nationale recht inzake de bescherming van persoonsgegevens zijn van toepassing op alle persoonsgegevens die in verband met deze verordening worden verwerkt. Deze verordening doet met name geen afbreuk aan de Verordeningen (EU) 2016/679 en (EU) 2018/1725 en aan de Richtlijnen 2002/58/EG en (EU) 2016/680, met inbegrip van wat betreft de bevoegdheden van toezichthoudende autoriteiten. Indien deze verordening en het Unierecht inzake de bescherming van persoonsgegevens of het overeenkomstig dat Unierecht vastgestelde nationale recht tegenstrijdig zijn, prevaleert het relevante Unie- of nationale recht inzake de bescherming van persoonsgegevens. Deze verordening schept geen rechtsgrondslag voor de verwerking van persoonsgegevens en laat de rechten en verplichtingen die zijn vastgelegd in de Verordeningen (EU) 2016/679 of (EU) 2018/1725, of de Richtlijnen 2002/58/EG of (EU) 2016/680 onverlet.

4. Deze verordening doet geen afbreuk aan de toepassing van het mededingingsrecht.

5. Deze verordening doet geen afbreuk aan de bevoegdheden van de lidstaten met betrekking tot hun activiteiten die verband houden met openbare veiligheid, defensie en nationale veiligheid.

Artikel 2

Definities

In deze verordening wordt verstaan onder:

1)	“gegevens”: elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluidsopnames of visuele of audiovisuele opnames;

“hergebruik”: het gebruik van gegevens die in het bezit zijn van openbare lichamen door natuurlijke of rechtspersonen, voor andere commerciële of niet-commerciële doeleinden dan het oorspronkelijk doel binnen de openbare taak waarvoor de gegevens zijn geproduceerd, met uitzondering van de uitwisseling van gegevens tussen openbare lichamen uitsluitend met het oog op de vervulling van hun openbare taken;

3)	“persoonsgegevens”: persoonsgegevens als gedefinieerd in artikel 4, punt 1), van Verordening (EU) 2016/679;

4)	“niet-persoonsgebonden gegevens”: andere gegevens dan persoonsgegevens;

5)	“toestemming”: toestemming als gedefinieerd in artikel 4, punt 11), van Verordening (EU) 2016/679;

6)	“toelating”: gegevensgebruikers het recht geven om niet-persoonsgebonden gegevens te verwerken;

7)	“datasubject”: betrokkene als bedoeld in artikel 4, punt 1), van Verordening (EU) 2016/679;

“gegevenshouder”: een rechtspersoon, met inbegrip van openbare lichamen en internationale organisaties, of een natuurlijk persoon die geen datasubject is met betrekking tot de specifieke gegevens in kwestie, die overeenkomstig het toepasselijke Unierecht of nationale recht, het recht heeft om toegang te verlenen tot bepaalde persoonsgegevens of niet-persoonsgebonden gegevens of die te delen;

“gegevensgebruiker”: een natuurlijk persoon of rechtspersoon die rechtmatige toegang heeft tot bepaalde persoonsgegevens of niet-persoonsgebonden gegevens en die het recht heeft, onder meer uit hoofde van Verordening (EU) 2016/679 in het geval van persoonsgegevens, om die gegevens voor commerciële of niet-commerciële doeleinden te gebruiken;

10)

“gegevensdeling”: de verstrekking van gegevens door een datasubject of gegevenshouder aan een gegevensgebruiker, met het oog op het gezamenlijk of individueel gebruik van die gegevens, op basis van vrijwillige overeenkomsten, het Unierecht of het nationale recht, hetzij rechtstreeks, hetzij via een tussenpersoon, bijvoorbeeld open of commerciële licenties, kosteloos of tegen betaling;

11)

“databemiddelingsdienst”: een dienst die gericht is op het tot stand brengen van commerciële relaties met het oog op het delen van gegevens tussen een onbepaald aantal datasubjecten en gegevenshouders enerzijds en gegevensgebruikers anderzijds, door middel van technische, juridische of andere middelen, onder meer voor de uitoefening van de rechten van datasubjecten met betrekking tot persoonsgegevens, maar met uitsluiting van ten minste de volgende diensten:

diensten die gegevens van gegevenshouders verkrijgen en de gegevens aggregeren, verrijken of transformeren met het oog op het toevoegen van substantiële waarde en het gebruik van de resulterende gegevens in licentie geven aan de gegevensgebruikers, zonder dat er een commerciële relatie tussen gegevenshouders en gegevensgebruikers tot stand wordt gebracht;

b)	diensten die gericht zijn op bemiddeling met betrekking tot auteursrechtelijk beschermde inhoud;

diensten die uitsluitend door één gegevenshouder worden gebruikt om het gebruik mogelijk te maken van de gegevens waarover die gegevenshouder beschikt of die worden gebruikt door meerdere rechtspersonen in een gesloten groep, met inbegrip van leveranciers- of klantenrelaties of contractueel vastgelegde samenwerkingsverbanden, met name die welke als hoofddoel hebben de functionaliteiten van met het internet der dingen verbonden voorwerpen en apparaten te waarborgen;

d)	gegevensdelingsdiensten die door openbare lichamen worden aangeboden en die er niet op gericht zijn commerciële relaties tot stand te brengen;

12)	“verwerking”: verwerking als gedefinieerd in artikel 4, punt 2), van Verordening (EU) 2016/679 wat betreft persoonsgegevens, of in artikel 3, punt 2), van Verordening (EU) 2018/1807 wat betreft niet-persoonsgebonden gegevens;

13)	“toegang”: gegevensgebruik, overeenkomstig specifieke technische, juridische of organisatorische voorschriften, zonder dat dat noodzakelijkerwijs gepaard gaat met het doorgeven of downloaden van gegevens;

14)	“hoofdvestiging” van een rechtspersoon: de plaats waar zijn centrale administratie in de Unie is gelegen;

15)

“diensten van gegevenscoöperaties”: databemiddelingsdiensten die worden aangeboden door een organisatie die bestaat uit datasubjecten, eenpersoonsondernemingen of kmo’s die lid zijn van die organisatie, en die als voornaamste doelen heeft haar leden te ondersteunen bij de uitoefening van hun rechten met betrekking tot bepaalde gegevens, onder meer bij het maken van weloverwogen keuzes alvorens zij toestemming geven voor gegevensverwerking, standpunten uit te wisselen over de doeleinden van en de voorwaarden voor gegevensverwerking die het beste de belangen van haar leden ten aanzien van hun gegevens vertegenwoordigen, en namens haar leden te onderhandelen over de voorwaarden voor gegevensverwerking alvorens toelating te geven voor de verwerking van niet-persoonsgebonden gegevens of alvorens leden toestemming geven voor de verwerking van persoonsgegevens;

16)

“data-altruïsme”: het vrijwillig delen van gegevens op basis van de toestemming van datasubjecten om persoonsgegevens die op hen betrekking hebben te verwerken, of op basis van de toelating van gegevenshouders om hun niet-persoonsgebonden gegevens te gebruiken zonder een vergoeding te vragen of te ontvangen die verder gaat dan vergoeding van de kosten die zij maken indien zij hun gegevens beschikbaar stellen voor doeleinden van algemeen belang zoals in voorkomend geval bepaald in het nationale recht, zoals gezondheidszorg, de strijd tegen klimaatverandering, verbetering van mobiliteit, facilitering van de ontwikkeling, productie en verspreiding van officiële statistieken, verbetering van openbare diensten, openbare besluitvorming of wetenschappelijk onderzoek in het algemeen belang;

17)	“openbaar lichaam”: de staats-, regionale en lokale overheidsinstanties en publiekrechtelijke instellingen of samenwerkingsverbanden bestaande uit één of meer van die overheidsinstanties of één of meer van die publiekrechtelijke instellingen;

18)

“publiekrechtelijke instellingen”: instellingen die voldoen aan de volgende kenmerken:

a)	zij zijn opgericht voor het specifieke doel te voorzien in behoeften van algemeen belang, en zijn niet van industriële of commerciële aard;

b)	zij bezitten rechtspersoonlijkheid;

zij worden merendeels door de staats-, regionale of lokale overheidsinstanties of andere publiekrechtelijke instellingen gefinancierd, of hun beheer staat onder toezicht van die instanties of instellingen, of zij hebben een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan de leden voor meer dan de helft door de staats-, regionale of lokale overheidsinstanties of andere publiekrechtelijke instellingen zijn aangewezen;

19)

“overheidsonderneming”: elke onderneming waarop openbare lichamen direct of indirect een overheersende invloed kunnen uitoefenen uit hoofde van eigendom, financiële deelneming in die onderneming of de op die onderneming van toepassing zijnde voorschriften; voor de toepassing van deze definitie wordt uitgegaan van een overheersende invloed van de openbare lichamen in elk van de volgende gevallen waarin die openbare lichamen, direct of indirect:

a)	de meerderheid van het geplaatste kapitaal van de onderneming bezitten;

b)	over de meerderheid van de stemrechten verbonden aan de door de onderneming uitgegeven aandelen beschikken;

c)	meer dan de helft van de leden van het bestuurs-, het leidinggevend of het toezichthoudend orgaan van de onderneming kunnen aanwijzen;

20)

“beveiligde verwerkingsomgeving”: de fysieke of virtuele omgeving en organisatorische middelen om te zorgen voor de naleving van het Unierecht, zoals Verordening (EU) 2016/679, met name wat betreft de rechten van datasubjecten, intellectuele-eigendomsrechten, en handels- en statistisch geheim, integriteit en toegankelijkheid, alsook van het toepasselijke nationale recht, en om de entiteit die de beveiligde verwerkingsomgeving biedt in staat te stellen alle gegevensverwerkingsactiviteiten te bepalen en er toezicht op te houden, met inbegrip van het tonen, opslaan, downloaden en exporteren van gegevens en het berekenen van afgeleide gegevens door middel van computeralgoritmen;

21)

“wettelijke vertegenwoordiger”: een in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om te handelen namens een aanbieder van een databemiddelingsdienst of een entiteit die, voor doeleinden van algemeen belang, gegevens verzamelt die door niet in de Unie gevestigde natuurlijke personen of rechtspersonen ter beschikking zijn gesteld op basis van data-altruïsme, waartoe de voor databemiddelingsdiensten bevoegde autoriteiten en de voor registratie van organisaties voor data-altruïsme bevoegde autoriteiten zich in plaats van tot de aanbieder van de databemiddelingsdienst of entiteit kunnen wenden, of tot beiden, wat betreft de verplichtingen uit hoofde van deze verordening, onder meer om een handhavingsprocedure te starten tegen een niet in de Unie gevestigde aanbieder van databemiddelingsdiensten of entiteit die de voorschriften niet naleeft.

HOOFDSTUK II

Hergebruik van bepaalde categorieën beschermde gegevens die in het bezit zijn van openbare lichamen

Artikel 3

Gegevenscategorieën

1. Dit hoofdstuk is van toepassing op gegevens die in het bezit zijn van openbare lichamen en die beschermd zijn op grond van:

a)	het handelsgeheim, waaronder bedrijfs- of beroepsgeheim;

b)	statistisch geheim;

c)	de bescherming van de intellectuele-eigendomsrechten van derden, of

d)	de bescherming van persoonsgegevens, voor zover die buiten het toepassingsgebied van Richtlijn (EU) 2019/1024 vallen.

2. Dit hoofdstuk is niet van toepassing op:

a)	gegevens van overheidsondernemingen;

b)	gegevens in het bezit van openbare omroepen of hun dochterondernemingen en van andere entiteiten of hun dochterondernemingen ten behoeve van de vervulling van een publieke omroeptaak;

c)	gegevens in het bezit van culturele instellingen en onderwijsinstellingen;

d)	gegevens die in het bezit zijn van openbare lichamen en die beschermd zijn om redenen van openbare veiligheid, defensie of nationale veiligheid, of

gegevens waarvan de verstrekking een activiteit is die niet valt onder de openbare taak van de betrokken openbare lichamen, als bepaald bij wet of ander bindend voorschrift van de betrokken lidstaat of, indien een voorschrift ter zake ontbreekt, als bepaald overeenkomstig de gangbare bestuurspraktijk van die lidstaat, mits de afbakening van de openbare taken transparant is en aan toetsing is onderworpen.

3. Dit hoofdstuk doet geen afbreuk aan:

a)	het Unie- en nationale recht en internationale overeenkomsten waarbij de Unie of lidstaten partij zijn, inzake de bescherming van de in lid 1 bedoelde gegevenscategorieën, en

b)	het Unie- en nationale recht inzake toegang tot documenten.

Artikel 4

Verbod op exclusieve overeenkomsten

1. Overeenkomsten of andere praktijken met betrekking tot het hergebruik van gegevens die in het bezit zijn van openbare lichamen en die in artikel 3, lid 1, vermelde gegevenscategorieën bevatten, waarbij exclusieve rechten worden toegekend of die tot doel of gevolg hebben dergelijke exclusieve rechten toe te kennen of de beschikbaarheid van gegevens voor hergebruik door andere entiteiten dan de partijen bij die overeenkomsten of andere praktijken te beperken, zijn verboden.

2. In afwijking van lid 1 mag een exclusief recht op het hergebruik van de in dat lid bedoelde gegevens worden toegekend voor zover dat nodig is voor de verlening van een dienst of de levering van een product in het algemeen belang die anders niet mogelijk zou zijn.

3. Een exclusief recht zoals bedoeld in lid 2 wordt verleend bij administratieve handeling of een contractuele regeling in overeenstemming met het toepasselijke Unierecht of nationale recht en met inachtneming van de beginselen van transparantie, gelijke behandeling en non-discriminatie.

4. Het exclusieve recht op hergebruik van gegevens wordt voor een periode van hoogstens twaalf maanden toegekend. Wanneer een overeenkomst wordt gesloten, is de duur van die overeenkomst dezelfde als die van de exclusiviteitsperiode.

5. De toekenning van een exclusief recht op grond van de leden 2, 3 en 4, met inbegrip van de redenen waarom het noodzakelijk is een dergelijk recht toe te kennen, moet transparant zijn en online openbaar worden gemaakt, in een vorm die in overeenstemming is met het toepasselijke Unierecht inzake openbare aanbestedingen.

6. Overeenkomsten of andere praktijken die onder het in lid 1 bedoelde verbod vallen, die niet voldoen aan de voorwaarden van de leden 2 en 3 en die zijn gesloten vóór 23 juni 2022, worden beëindigd aan het einde van de toepasselijke overeenkomst en in elk geval uiterlijk op 24 december 2024.

Artikel 7

Bevoegde organen

1. Met het oog op de uitoefening van de in dit artikel bedoelde taken wijst elke lidstaat een of meer bevoegde organen aan, die bevoegd kunnen zijn voor een specifieke sector, om de openbare lichamen die toegang met het oog op hergebruik van de in artikel 3, lid 1, bedoelde gegevenscategorieën verlenen of weigeren, bij te staan. De lidstaten kunnen ofwel een of meer bevoegde organen oprichten, ofwel een beroep doen op bestaande openbare lichamen of op interne diensten van openbare lichamen die aan de voorwaarden van deze verordening voldoen.

2. De bevoegde organen kunnen ook de bevoegdheid krijgen toegang met het oog op hergebruik van de in artikel 3, lid 1, bedoelde gegevenscategorieën te verlenen, op grond van het Unierecht of het nationale recht dat voorziet in het verlenen van die toegang. Wanneer bevoegde organen toegang met het oog op hergebruik verlenen of weigeren, zijn de artikelen 4, 5, 6 en 9 op hen van toepassing.

3. De bevoegde organen moeten over voldoende juridische, financiële, technische en personele middelen beschikken om de hun opgedragen taken uit te voeren, waaronder de noodzakelijke technische kennis om het toepasselijke Unierecht of nationale recht inzake de regelingen voor toegang tot de in artikel 3, lid 1, bedoelde gegevenscategorieën na te leven.

4. De in lid 1 bedoelde bijstand omvat, indien nodig:

a)	technische steun, door een beveiligde verwerkingsomgeving ter beschikking te stellen voor het verlenen van toegang tot gegevens met het oog op hergebruik;

b)	richtsnoeren over hoe die gegevens het best kunnen worden gestructureerd en opgeslagen zodat ze gemakkelijk toegankelijk zijn, en de daarbij benodigde technische steun;

technische steun voor pseudonimisering en de garantie dat de gegevensverwerking plaatsvindt op een wijze die de privacy, vertrouwelijkheid, integriteit en toegankelijkheid van de informatie in de gegevens waarvoor hergebruik wordt toegestaan, effectief beschermt, met inbegrip van technieken voor de anonimisering, veralgemening, schrapping en randomisering van persoonsgegevens of andere geavanceerde methoden voor privacybescherming, en de verwijdering van commercieel vertrouwelijke informatie, met inbegrip van bedrijfsgeheimen of door intellectuele-eigendomsrechten beschermde inhoud;

waar relevant, het bijstaan van de openbare lichamen bij het ondersteunen van hergebruikers die datasubjecten verzoeken om toestemming voor hergebruik of gegevenshouders verzoeken om toelating in overeenstemming met hun specifieke besluiten, inclusief wat betreft de jurisdictie waar men de gegevensverwerking wil laten plaatsvinden, en het bijstaan van de openbare lichamen bij het opzetten van technische mechanismen die de doorgifte van verzoeken om toestemming of toelating van hergebruikers mogelijk maken, indien praktisch haalbaar;

e)	het bijstaan van de openbare lichamen bij het beoordelen van de toereikendheid van de door een hergebruiker aangegane contractuele verbintenissen, op grond van artikel 5, lid 10.

5. Elke lidstaat stelt de Commissie uiterlijk op 24 september 2023 in kennis van de identiteit van de op grond van lid 1 aangewezen bevoegde organen. Elke lidstaat stelt de Commissie tevens in kennis van elke latere wijziging van de identiteit van die bevoegde organen.

Artikel 12

Voorwaarden voor het verlenen van databemiddelingsdiensten

Voor de in artikel 10 bedoelde verlening van databemiddelingsdiensten gelden de volgende voorwaarden:

a)	de aanbieder van databemiddelingsdiensten gebruikt de gegevens waarvoor hij databemiddelingsdiensten verleent niet voor andere doeleinden dan beschikbaarstelling aan gegevensgebruikers, en verleent databemiddelingsdiensten via een afzonderlijke rechtspersoon;

de commerciële voorwaarden, met inbegrip van het prijsbeleid, voor het verlenen van databemiddelingsdiensten aan een gegevenshouder of gegevensgebruiker zijn niet afhankelijk van de vraag of en zo ja in welke mate de gegevenshouder of gegevensgebruiker gebruikmaakt van andere diensten die door dezelfde aanbieder van databemiddelingsdiensten of door een verbonden entiteit worden verleend;

de gegevens die zijn verzameld met betrekking tot een activiteit van een natuurlijk of rechtspersoon met het oog op de levering van de databemiddelingsdienst, inclusief gegevens over de datum, het tijdstip en de geolocatie, de duur van de activiteit en connecties met andere natuurlijke of rechtspersonen die tot stand zijn gebracht door de persoon die gebruikmaakt van de databemiddelingsdienst, worden alleen gebruikt voor de ontwikkeling van die databemiddelingsdienst, hetgeen het gebruik van de gegevens voor fraudeopsporing of cyberbeveiliging kan omvatten, en worden op verzoek beschikbaar gesteld aan de gegevenshouders;

de aanbieder van databemiddelingsdiensten faciliteert de uitwisseling van de gegevens in het format waarin hij de gegevens ontvangt van een datasubject of een gegevenshouder en converteert de gegevens alleen naar specifieke formats om de interoperabiliteit binnen en tussen sectoren te verbeteren, indien de gegevensgebruiker daarom verzoekt, indien het Unierecht hem daartoe verplicht of om de harmonisering met internationale of Europese gegevensnormen te waarborgen, en biedt de datasubjecten of gegevenshouders een uitstapmogelijkheid met betrekking tot die conversies, tenzij de conversie door het Unierecht is voorgeschreven;

databemiddelingsdiensten kunnen het aanbieden van aanvullende specifieke instrumenten en diensten aan gegevenshouders of datasubjecten omvatten met het specifieke doel de gegevensuitwisseling te faciliteren, zoals tijdelijke opslag, curatie, conversie, anonimisering en pseudonimisering; die instrumenten mogen alleen worden gebruikt op uitdrukkelijk verzoek of met de uitdrukkelijke goedkeuring van de gegevenshouder of het datasubject, en de in dat verband aangeboden instrumenten van derden gebruiken gegevens niet voor andere doeleinden;

f)	de aanbieder van databemiddelingsdiensten zorgt ervoor dat de procedure voor toegang tot zijn dienst billijk, transparant en niet-discriminerend is voor zowel datasubjecten als gegevenshouders, alsook voor gegevensgebruikers, ook wat de prijzen en dienstverleningsvoorwaarden betreft;

g)	de aanbieder beschikt over procedures ter voorkoming van frauduleuze of onrechtmatige praktijken met betrekking tot partijen die via zijn databemiddelingsdiensten toegang wensen te krijgen;

bij insolventie van de aanbieder van databemiddelingsdiensten zorgt hij voor een redelijke continuïteit bij het leveren van zijn databemiddelingsdiensten, en indien die databemiddelingsdiensten instaan voor de opslag van gegevens, beschikt de aanbieder van databemiddelingsdiensten over mechanismen zodat gegevenshouders en gegevensgebruikers toegang kunnen krijgen tot hun gegevens of hun gegevens kunnen doorgeven of oproepen, en, indien die databemiddelingsdiensten verleend worden tussen datasubjecten en gegevensgebruikers, zodat die datasubjecten hun rechten kunnen uitoefenen;

i)	de aanbieder van databemiddelingsdiensten neemt de nodige maatregelen om interoperabiliteit met andere databemiddelingsdiensten te waarborgen, onder meer door middel van algemeen gebruikte open normen in de sector waarin de aanbieder van databemiddelingsdiensten actief is;

j)	de aanbieder van databemiddelingsdiensten neemt de nodige technische, juridische en organisatorische maatregelen ter voorkoming van doorgifte van of toegang tot niet-persoonsgebonden gegevens die uit hoofde van het Unierecht of het nationale recht van de betrokken lidstaat onwettig is;

k)	de aanbieder van databemiddelingsdiensten brengt de gegevenshouders onverwijld op de hoogte bij ongeoorloofde doorgifte van, toegang tot of ongeoorloofd gebruik van de niet-persoonsgebonden gegevens die hij heeft gedeeld;

de aanbieder van databemiddelingsdiensten neemt de nodige maatregelen om een passend niveau van beveiliging te waarborgen voor de opslag, verwerking en doorgifte van niet-persoonsgebonden gegevens, en hij waarborgt voorts het hoogste niveau van beveiliging voor de opslag en doorgifte van commercieel gevoelige informatie;

de aanbieder van databemiddelingsdiensten die diensten aan datasubjecten aanbiedt, handelt in het belang van de datasubjecten bij het faciliteren van de uitoefening van hun rechten, met name door hen op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke wijze te informeren en, waar passend, te adviseren over voorgenomen gegevensgebruik door de gegevensgebruikers en standaardvoorwaarden die aan dergelijk gebruik zijn verbonden, voordat de datasubjecten toestemming verlenen;

indien een aanbieder van databemiddelingsdiensten instrumenten verstrekt voor het verkrijgen van toestemming van datasubjecten of toelating voor het verwerken van door gegevenshouders beschikbaar gestelde gegevens, specificeert hij, waar relevant, de jurisdictie van het derde land waar het gegevensgebruik zal plaatsvinden, en verstrekt hij wat betreft het verwerken van de gegevens datasubjecten instrumenten om toestemming te verlenen of in te trekken en gegevenshouders instrumenten om toelating te verlenen of in te trekken;

o)	de aanbieder van databemiddelingsdiensten houdt een logboek bij van de databemiddelingsactiviteit.

Artikel 13

Voor databemiddelingsdiensten bevoegde autoriteiten

1. Elke lidstaat wijst een of meer bevoegde autoriteiten aan om de taken in verband met de aanmeldingsprocedure voor databemiddelingsdiensten uit te voeren en stelt de Commissie uiterlijk op 24 september 2023 in kennis van de identiteit van die bevoegde autoriteiten. Elke lidstaat stelt de Commissie ook in kennis van elke latere wijziging van de identiteit van die bevoegde autoriteiten.

2. De voor databemiddelingsdiensten bevoegde autoriteiten moeten voldoen aan de in artikel 26 gestelde vereisten.

3. De bevoegdheden van de voor databemiddelingsdiensten bevoegde autoriteiten doen geen afbreuk aan de bevoegdheden van de gegevensbeschermingsautoriteiten, de nationale mededingingsautoriteiten, de autoriteiten die bevoegd zijn voor cyberbeveiliging en andere relevante sectorale autoriteiten. Overeenkomstig hun respectieve bevoegdheden uit hoofde van het Unierecht en het nationale recht bouwen die autoriteiten een nauwe samenwerking op en wisselen zij informatie uit, zoals nodig voor de uitoefening van hun taken in verband met aanbieders van databemiddelingsdiensten, en streven zij ernaar dat de bij de toepassing van deze verordening genomen besluiten consistent zijn.

Artikel 15

Uitzonderingen

Dit hoofdstuk is niet van toepassing op erkende organisaties voor data-altruïsme of andere entiteiten zonder winstoogmerk, voor zover hun activiteiten bestaan in het verzamelen van gegevens voor doeleinden van algemeen belang die door natuurlijke of rechtspersonen beschikbaar worden gesteld op basis van data-altruïsme, tenzij die organisaties en entiteiten tot doel hebben commerciële relaties tot stand te brengen tussen een onbepaald aantal datasubjecten en gegevenshouders enerzijds en gegevensgebruikers anderzijds.

HOOFDSTUK IV

Data-altruïsme

Artikel 17

Openbare registers van erkende organisaties voor data-altruïsme

1. Elke voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit houdt een openbaar nationaal register van erkende organisaties voor data-altruïsme bij, en werkt dat regelmatig bij.

2. De Commissie houdt voor informatiedoeleinden een openbaar Unieregister van erkende organisaties voor data-altruïsme bij. Mits een entiteit in het openbaar nationaal register van erkende organisaties voor data-altruïsme is opgenomen overeenkomstig artikel 18, mag zij in haar schriftelijke en mondelinge communicatie het label “in de Unie erkende organisatie voor data-altruïsme” en een gemeenschappelijk logo gebruiken.

Opdat erkende organisaties voor data-altruïsme gemakkelijk herkenbaar zijn in de hele Unie, stelt de Commissie door middel van uitvoeringshandelingen een ontwerp voor het gemeenschappelijke logo vast. Erkende organisaties voor data-altruïsme brengen het gemeenschappelijke logo duidelijk zichtbaar aan op elke online- en offlinepublicatie met betrekking tot hun activiteiten in verband met data-altruïsme. Het gemeenschappelijke logo moet vergezeld gaan van een QR-code met een link naar het openbaar Unieregister van erkende organisaties voor data-altruïsme.

Die uitvoeringshandelingen worden volgens de in artikel 33, lid 2, bedoelde raadplegingsprocedure vastgesteld.

Artikel 18

Algemene registratievereisten

Om in aanmerking te komen voor registratie in een openbaar nationaal register van erkende organisaties voor data-altruïsme, moet een entiteit:

a)	activiteiten in verband met data-altruïsme uitvoeren;

b)	een rechtspersoon zijn die op grond van het nationale recht is opgericht om doeleinden van algemeen belang zoals bepaald in het nationale recht te verwezenlijken, waar toepasselijk;

c)	werken zonder winstoogmerk en juridisch onafhankelijk zijn van enige entiteit met winstoogmerk;

d)	de activiteiten in verband met data-altruïsme uitvoeren via een structuur die functioneel gescheiden is van haar andere activiteiten;

e)	voldoen aan het in artikel 22, lid 1, bedoelde rulebook, uiterlijk 18 maanden na de datum van inwerkingtreding van de in dat lid bedoelde gedelegeerde handelingen.

Artikel 19

Registratie van erkende organisaties voor data-altruïsme

1. Een entiteit die aan de vereisten van artikel 18 voldoet, kan een aanvraag indienen om opgenomen te worden in het openbaar nationaal register van erkende organisaties voor data-altruïsme in de lidstaat waar zij is gevestigd.

2. Een entiteit die aan de vereisten van artikel 18 voldoet en vestigingen heeft in meer dan één lidstaat, kan een aanvraag indienen om opgenomen te worden in het openbaar nationaal register van erkende organisaties voor data-altruïsme in de lidstaat waar zij haar hoofdvestiging heeft.

3. Een entiteit die aan de vereisten van artikel 18 voldoet maar niet in de Unie is gevestigd, wijst een wettelijke vertegenwoordiger aan in een van de lidstaten waar de diensten in verband met data-altruïsme worden aangeboden.

Met het oog op het waarborgen van de naleving van deze verordening wordt de wettelijke vertegenwoordiger door de entiteit gemachtigd zodat de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten of datasubjecten en gegevenshouders zich tot hem in de plaats van tot de entiteit, of tot beiden, kunnen wenden voor alle aangelegenheden die verband houden met die entiteit. De wettelijke vertegenwoordiger werkt samen met de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten en geeft hun op verzoek een uitvoerig overzicht van de maatregelen en voorzieningen die de entiteit heeft genomen om de naleving van deze verordening te garanderen.

De entiteit wordt geacht te vallen onder de jurisdictie van de lidstaat waar haar wettelijke vertegenwoordiger is gevestigd. Een dergelijke entiteit kan een aanvraag indienen om in het openbaar nationaal register van erkende organisaties voor data-altruïsme in die lidstaat opgenomen te worden. De aanwijzing van een wettelijke vertegenwoordiger door de entiteit doet geen afbreuk aan eventuele rechtsvorderingen die tegen de entiteit kunnen worden ingesteld.

4. De in de leden 1, 2 en 3 bedoelde registratieaanvragen moeten de volgende gegevens bevatten:

a)	de naam van de entiteit;

b)	de juridische status en de vorm van de entiteit, en indien de entiteit in een openbaar nationaal register is ingeschreven, het registratienummer van de entiteit;

c)	de statuten van de entiteit, waar passend;

d)	de inkomstenbronnen van de entiteit;

e)	in voorkomend geval, het adres van de hoofdvestiging van de entiteit in de Unie en, indien van toepassing, van alle filialen in andere lidstaten, of dat van de wettelijke vertegenwoordiger;

f)	een openbare website waarop volledige en actuele informatie over de entiteit en haar activiteiten te vinden is, met inbegrip van ten minste de in de punten a), b), d), e) en h) bedoelde informatie;

g)	de contactpersonen en contactgegevens van de entiteit;

h)	de doelstellingen van algemeen belang die zij wil bevorderen bij het verzamelen van de gegevens;

i)	de aard van de gegevens die de entiteit voornemens is te controleren of te verwerken, en, in het geval van persoonsgegevens, een aanduiding van de categorieën persoonsgegevens;

j)	alle andere documenten waaruit blijkt dat voldaan is aan de vereisten van artikel 18.

5. Indien de entiteit alle nodige informatie op grond van lid 4 heeft ingediend en nadat de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit de registratieaanvraag heeft beoordeeld en heeft vastgesteld dat de entiteit voldoet aan de vereisten van artikel 18, registreert de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit de entiteit binnen twaalf weken na de datum van ontvangst van de registratieaanvraag in het openbaar nationaal register van erkende organisaties voor data-altruïsme. De registratie is geldig in alle lidstaten.

De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit deelt elke registratie mee aan de Commissie. De Commissie neemt die registratie op in het openbaar Unieregister van erkende organisaties voor data-altruïsme.

6. De in lid 4, punten a), b), f), g) en h), bedoelde informatie wordt bekendgemaakt in het relevante openbaar nationaal register van erkende organisaties voor data-altruïsme.

7. Een erkende organisatie voor data-altruïsme stelt de relevante voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit in kennis van elke wijziging van de op grond van lid 4 verstrekte informatie binnen 14 dagen na de dag waarop de wijziging heeft plaatsgevonden.

De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit stelt de Commissie onverwijld langs elektronische weg in kennis van elke dergelijke kennisgeving. Op basis van die kennisgevingen werkt de Commissie onverwijld het openbaar Unieregister van erkende organisaties voor data-altruïsme bij.

Artikel 20

Transparantievereisten

1. Een erkende organisatie voor data-altruïsme houdt volledige en nauwkeurige gegevens bij over:

a)	alle natuurlijke of rechtspersonen die de mogelijkheid hebben gekregen om gegevens die in het bezit zijn van die erkende organisatie voor data-altruïsme te verwerken, en hun contactgegevens;

b)	de datum of duur van de verwerking van persoonsgegevens of het gebruik van niet-persoonsgebonden gegevens;

c)	het doel van de verwerking, zoals aangegeven door de natuurlijke of rechtspersoon die de mogelijkheid tot verwerking heeft gekregen;

d)	eventuele vergoedingen die zijn betaald door de natuurlijke of rechtspersonen die de gegevens hebben verwerkt.

2. Een erkende organisatie voor data-altruïsme stelt een jaarlijks activiteitenverslag op en stuurt dat door naar de relevante voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit; dat verslag bevat ten minste het volgende:

a)	informatie over de activiteiten van de erkende organisatie voor data-altruïsme;

b)	een beschrijving van de wijze waarop de doeleinden van algemeen belang waarvoor gegevens zijn verzameld, tijdens het desbetreffende begrotingsjaar zijn bevorderd;

een lijst van alle natuurlijke en rechtspersonen die toestemming hebben gekregen om de gegevens die in het bezit zijn van de entiteit te verwerken, met inbegrip van een beknopte beschrijving van de doeleinden van algemeen belang die door de verwerking van die gegevens werden nagestreefd en een beschrijving van de daarvoor gebruikte technische middelen, onder meer van de technieken om privacy en gegevensbescherming te waarborgen;

d)	een samenvatting van de resultaten van de door de erkende organisatie voor data-altruïsme toegestane gegevensverwerking, indien van toepassing;

e)	informatie over de inkomstenbronnen van de erkende organisatie voor data-altruïsme, met name alle inkomsten uit het verlenen van toegang tot de gegevens, en over de uitgaven.

Artikel 23

Voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten

1. Elke lidstaat wijst een of meer bevoegde autoriteiten aan die verantwoordelijk zijn voor zijn openbaar nationaal register van erkende organisaties voor data-altruïsme.

De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten moeten voldoen aan de vereisten van artikel 26.

2. Elke lidstaat stelt de Commissie uiterlijk op 24 september 2023 in kennis van de identiteit van hun voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten. Elke lidstaat stelt de Commissie tevens in kennis van elke latere wijziging van de identiteit van die bevoegde autoriteiten.

3. De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit van een lidstaat voert zijn taken uit in samenwerking met de relevante gegevensbeschermingsautoriteit indien die taken verband houden met de verwerking van persoonsgegevens, en met de relevante sectorale autoriteiten van die lidstaat.

Artikel 24

Toezicht op de naleving

1. De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten zien erop toe en controleren dat erkende organisaties voor data-altruïsme de in dit hoofdstuk neergelegde vereisten naleven. De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit kan ook op basis van een verzoek van een natuurlijke of rechtspersoon toezicht houden en controle uitoefenen op de naleving door die erkende organisaties voor data-altruïsme.

2. De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten hebben de bevoegdheid om van erkende organisaties voor data-altruïsme informatie te vragen die nodig is om de naleving van de vereisten van dit hoofdstuk te controleren. Een verzoek om informatie dient in verhouding te staan tot de uitvoering van de taak en dient te worden gemotiveerd.

3. Indien de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit van oordeel is dat een erkende organisatie voor data-altruïsme niet voldoet aan een of meer vereisten van dit hoofdstuk, stelt zij die erkende organisatie voor data-altruïsme in kennis van die bevindingen en geeft zij haar de gelegenheid om binnen dertig dagen na ontvangst van die kennisgeving haar standpunt kenbaar te maken.

4. De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit kan eisen dat de in lid 3 bedoelde inbreuk wordt gestopt, hetzij onmiddellijk, hetzij binnen een redelijke termijn, en neemt passende en evenredige maatregelen met het oog op het garanderen van de naleving.

5. Indien een erkende organisatie voor data-altruïsme zelfs na overeenkomstig lid 3 door de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit in kennis te zijn gesteld, niet voldoet aan een of meer vereisten van dit hoofdstuk:

a)	verliest die erkende organisatie voor data-altruïsme het recht om in schriftelijke en mondelinge communicatie het label “in de Unie erkende organisatie voor data-altruïsme” te gebruiken;

b)	wordt die erkende organisatie voor data-altruïsme verwijderd uit het relevante openbaar nationaal register van erkende organisaties voor data-altruïsme en uit het openbaar Unieregister van erkende organisaties voor data-altruïsme.

Elk besluit houdende intrekking van het recht om het label “in de Unie erkende organisatie voor data-altruïsme” te gebruiken op grond van punt a) van de eerste alinea, wordt openbaar gemaakt door de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit.

6. Als een erkende organisatie voor data-altruïsme opgenomen entiteit haar hoofdvestiging of wettelijke vertegenwoordiger in een lidstaat heeft maar actief is in andere lidstaten, werken de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit van de lidstaat waar de hoofdvestiging of wettelijke vertegenwoordiger zich bevindt en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten van die andere lidstaten samen en verlenen zij elkaar bijstand. Die bijstand en samenwerking kunnen betrekking hebben op de uitwisseling van informatie tussen de betrokken voor de registratie van organisaties voor data-altruïsme bevoegde autoriteiten met het oog op hun taken uit hoofde van deze verordening, en op gemotiveerde verzoeken om de in dit artikel bedoelde maatregelen te nemen.

Indien een voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit in één lidstaat om bijstand van een voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit in een andere lidstaat verzoekt, dient zij een gemotiveerd verzoek in. De voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit antwoordt onverwijld en binnen een termijn die in verhouding staat tot de urgentie van het verzoek, op een dergelijk verzoek.

Alle informatie die naar aanleiding van de verzochte bijstand wordt uitgewisseld en wordt verstrekt uit hoofde van dit lid, wordt uitsluitend gebruikt ten behoeve van de aangelegenheid waarvoor zij werd gevraagd.

Artikel 37

Overgangsregelingen

entiteiten die de in artikel 10 bedoelde databemiddelingsdiensten verlenen op 23 juni 2022, moeten uiterlijk op 24 september 2025 aan de verplichtingen van hoofdstuk III voldoen.

whereas

keyboard_tab Digital Governance Act 2022/0868 NL

Digital Governance Act 2022/0868 NL