De Autoriteit Persoonsgegevens roept alle lidstaten op om de Data Act te wijzigen. Volgens de privacywaakhond is het wetsvoorstel niet in lijn met de GDPR.

De Autoriteit Persoonsgegevens is onderdeel van de EDPB, een groep van alle nationale privacytoezichthouders in Europa. De toezichthouders zijn het niet eens met de Data Act, een wetsvoorstel dat onlangs door de Europese Commissie werd gepresenteerd. Vandaar adviseert de EDPB om de Data Act te wijzigen. Volgens de EDPB botst het wetsvoorstel met de GDPR.

Wat houdt de Data Act in?

De Europese Commissie wil dat organisaties meer data met klanten en overheden delen. De Data Act moet dat doel bereiken.

Verkoop je momenteel een product en houd je data over gebruikersgedrag bij, dan zijn sommige gegevens jouw eigendom. Bijvoorbeeld de stappen die worden genomen om in te loggen op een softwareprogramma, of de manier waarop een klant een tandenborstel vasthoudt.

Bijna niemand kan je verplichten de gegevens te delen. Persoonsgegevens zijn een uitzondering, want die zijn eigendom van personen. Ook een strafrechtelijk onderzoek maakt het verschil, want Europese en Nederlandse wetten bepalen dat gegevens in sommige gevallen aangeleverd moeten worden.

Daarbuiten heb jij het voor het zeggen. Stapt een klant over op een concurrent en vraagt de concurrent om klantengegevens, dan mag je de vraag weigeren. Dat hoopt de Europese Commissie met de Data Act te veranderen. Een organisatie kan verplicht worden om gebruiksgegevens met concurrenten te delen. In het geval van een gezondheidscrisis of natuurramp hebben ook overheden recht op toegang.

Waarom is dat een probleem?

De European Data Protection Board (EDPB) en European Data Protection Supervisor (EDPS) zijn bezorgd over het wetsvoorstel. Zoals eerdergenoemd is de EDPB de groep van alle nationale privacytoezichthouders, waaronder de Nederlandse AP. De EDPS is verantwoordelijk voor toezicht op de Europese Commissie. De Data Act onderstreept waarom dergelijk toezicht belangrijk is. Het voorstel van de Europese Commissie houdt geen rekening met de GDPR.

De Data Act omschrijft waarom en wanneer organisaties hun data moeten delen, maar vermeldt niet dat persoonsgegevens niet gedeeld mogen worden. Daarnaast vinden de toezichthouders dat de Data Act te veel ruimte kan geven aan overheden om persoonsgegevens bij bedrijven op te eisen. De Data Act verplicht organisaties namelijk om data onder ‘uitzonderlijke omstandigheden’ te delen met overheden. Het is niet duidelijk wanneer die verplichting precies ingaat. Bovendien omschrijft de Data Act niet om welke data het gaat.

De Data Act wordt op de korte termijn door alle lidstaten en het Europese Parlement overlegd. Alleen met hun akkoord wordt het voorstel een wet. De EDPB en EDPS riepen alle lidstaten en het Europese Parlement op om het voorstel te wijzigen. Naar verwachting krijgt de oproep gehoor.