Preambule

Overwegende hetgeen volgt:

(1) De afgelopen jaren hebben gegevensgestuurde technologieën een transformerend effect gehad op alle sectoren van de economie. Met name door de proliferatie van op het internet aangesloten producten is het volume en de potentiële waarde van gegevens voor consumenten, bedrijven en de samenleving toegenomen. Hoogwaardige en interoperabele gegevens uit verschillende domeinen vergroten het concurrentievermogen en de innovatie en zorgen voor duurzame economische groei. Dezelfde gegevens kunnen worden gebruikt en hergebruikt voor verschillende doeleinden en in onbeperkte mate, zonder verlies van kwaliteit of kwantiteit.

(2) Belemmeringen voor het delen van gegevens staan een optimale toewijzing van gegevens ten behoeve van de samenleving in de weg. Deze belemmeringen omvatten een gebrek aan prikkels voor houders van gegevens om vrijwillig overeenkomsten voor gegevensuitwisseling te sluiten, onzekerheid over rechten en plichten met betrekking tot gegevens, de kosten van het sluiten en implementeren van technische interfaces, de hoge mate van fragmentatie van informatie in gegevenssilo's, slecht beheer van metadata, het ontbreken van normen voor semantische en technische interoperabiliteit, knelpunten die de toegang tot gegevens belemmeren, een gebrek aan gemeenschappelijke praktijken voor gegevensuitwisseling en misbruik van contractuele onevenwichtigheden met betrekking tot de toegang tot en het gebruik van gegevens.

(3) In sectoren die worden gekenmerkt door de aanwezigheid van micro-ondernemingen, kleine ondernemingen en middelgrote ondernemingen zoals gedefinieerd in artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie (5 ) (kmo's), is er vaak een gebrek aan digitale capaciteiten en vaardigheden om gegevens te verzamelen, te analyseren en te gebruiken, en is de toegang vaak beperkt wanneer één actor ze in het systeem heeft of door een gebrek aan interoperabiliteit tussen gegevens, tussen datadiensten of over de grenzen heen.

(4) Om in te spelen op de behoeften van de digitale economie en belemmeringen voor een goed functionerende interne markt voor gegevens weg te nemen, is het noodzakelijk een geharmoniseerd kader vast te stellen waarin wordt gespecificeerd wie het recht heeft productgegevens of gerelateerde dienstgegevens te gebruiken, onder welke voorwaarden en op welke basis. De lidstaten mogen derhalve geen aanvullende nationale vereisten vaststellen of handhaven met betrekking tot aangelegenheden die binnen de werkingssfeer van deze verordening vallen, tenzij hierin uitdrukkelijk is voorzien, aangezien dit afbreuk zou doen aan de rechtstreekse en uniforme toepassing ervan. Bovendien mogen maatregelen op het niveau van de Unie geen afbreuk doen aan verplichtingen en verbintenissen in de door de Unie gesloten internationale handelsovereenkomsten.

(5) Deze verordening zorgt ervoor dat gebruikers van een verbonden product of een verbonden dienst in de Unie tijdig toegang hebben tot de gegevens die door het gebruik van dat verbonden product of die verbonden dienst worden gegenereerd en dat die gebruikers de gegevens kunnen gebruiken, onder meer door ze te delen met derden van hun keuze. De verordening legt de verplichting op aan de houders van de gegevens om de gegevens in bepaalde omstandigheden ter beschikking te stellen van de gebruikers en derden naar keuze van de gebruiker. De richtlijn zorgt er ook voor dat de houders van de gegevens de gegevens onder eerlijke, redelijke en niet-discriminerende voorwaarden en op transparante wijze ter beschikking stellen van de ontvangers van de gegevens in de Unie. De privaatrechtelijke regels spelen een sleutelrol in het algemene kader voor het delen van gegevens. Daarom past deze verordening de regels van het verbintenissenrecht aan en voorkomt zij dat misbruik wordt gemaakt van contractuele onevenwichtigheden die een eerlijke toegang tot en een eerlijk gebruik van gegevens belemmeren. Deze verordening zorgt er ook voor dat de houders van gegevens aan openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie de gegevens ter beschikking stellen die nodig zijn voor de uitvoering van een specifieke taak van algemeen belang, wanneer er sprake is van een uitzonderlijke behoefte. Daarnaast beoogt deze verordening het overstappen tussen gegevensverwerkingsdiensten te vergemakkelijken en de interoperabiliteit van gegevens en van mechanismen en diensten voor gegevensuitwisseling in de Unie te vergroten. Deze verordening mag niet worden geïnterpreteerd als een erkenning of toekenning van een nieuw recht aan houders van gegevens om gegevens te gebruiken die zijn gegenereerd door het gebruik van een verbonden product of een verbonden dienst.

(6) Het genereren van gegevens is het resultaat van de handelingen van ten minste twee actoren, met name de ontwerper of fabrikant van een aangesloten product, die in veel gevallen ook een aanbieder van verbonden diensten kan zijn, en de gebruiker van het aangesloten product of de verbonden dienst. Dit geeft aanleiding tot vragen over billijkheid in de digitale economie, aangezien de gegevens die worden geregistreerd door verbonden producten of gerelateerde diensten een belangrijke input vormen voor de vervolgmarkt, aanvullende en andere diensten. Om de belangrijke economische voordelen van gegevens te realiseren, onder meer door het delen van gegevens op basis van vrijwillige overeenkomsten en de ontwikkeling van gegevensgestuurde waardecreatie door ondernemingen in de Unie, is een algemene aanpak van het toekennen van rechten met betrekking tot de toegang tot en het gebruik van gegevens te verkiezen boven het toekennen van exclusieve toegangs- en gebruiksrechten. Deze verordening voorziet in horizontale regels die kunnen worden gevolgd door wetgeving van de Unie of nationale wetgeving die is afgestemd op de specifieke situaties van de desbetreffende sectoren.

(7) Het fundamentele recht op bescherming van persoonsgegevens wordt met name gewaarborgd door Verordening (EU) 2016/679 (6 ) en Verordening (EU) 2018/1725 (7 ) van het Europees Parlement en de Raad. Richtlijn 2002/58/EG van het Europees Parlement en de Raad (8 ) beschermt bovendien het privéleven en de vertrouwelijkheid van communicatie, onder meer door voorwaarden te stellen aan persoonlijke en niet-persoonlijke gegevens die worden opgeslagen in en toegankelijk zijn vanaf eindapparatuur. Deze wetgevingshandelingen van de Unie vormen de basis voor duurzame en verantwoorde gegevensverwerking, ook wanneer gegevensreeksen een mix van persoonsgegevens en niet-persoonsgebonden gegevens bevatten. Deze verordening vormt een aanvulling op en doet geen afbreuk aan de wetgeving van de Unie inzake de bescherming van persoonsgegevens en de persoonlijke levenssfeer, met name de Verordeningen (EU) 2016/679 en (EU) 2018/1725 en Richtlijn 2002/58/EG. Geen enkele bepaling van deze verordening mag zodanig worden toegepast of geïnterpreteerd dat het recht op bescherming van persoonsgegevens of het recht op privacy en vertrouwelijkheid van communicatie wordt verminderd of beperkt. Elke verwerking van persoonsgegevens op grond van deze verordening moet voldoen aan de EU-wetgeving inzake gegevensbescherming, met inbegrip van het vereiste van een geldige rechtsgrondslag voor verwerking op grond van artikel 6 van Verordening (EU) 2016/679 en, voor zover relevant, de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG. Deze verordening vormt geen rechtsgrondslag voor het verzamelen of genereren van persoonsgegevens door de houder van de gegevens. Deze verordening verplicht de houders van persoonsgegevens om persoonsgegevens op verzoek van de gebruiker beschikbaar te stellen aan gebruikers of derden naar keuze van de gebruiker. Deze toegang moet worden verleend tot persoonsgegevens die door de gegevenshouder worden verwerkt op basis van een van de in artikel 6 van Verordening (EU) 2016/679 genoemde rechtsgrondslagen. Wanneer de gebruiker niet de betrokkene is, creëert deze verordening geen rechtsgrondslag voor het verlenen van toegang tot persoonsgegevens of voor het beschikbaar stellen van persoonsgegevens aan een derde partij en mag deze verordening niet worden opgevat als het verlenen van een nieuw recht aan de houder van de gegevens om gebruik te maken van persoonsgegevens die zijn gegenereerd door het gebruik van een verbonden product of een verbonden dienst. In die gevallen kan het in het belang van de gebruiker zijn om het voldoen aan de vereisten van artikel 6 van Verordening (EU) 2016/679 te vergemakkelijken. Aangezien deze verordening geen negatieve gevolgen mag hebben voor de gegevensbeschermingsrechten van betrokkenen, kan de gegevenshouder in die gevallen aan verzoeken voldoen door onder andere persoonsgegevens te anonimiseren of, wanneer de direct beschikbare gegevens persoonsgegevens van meerdere betrokkenen bevatten, alleen persoonsgegevens met betrekking tot de gebruiker door te geven.

(8) De beginselen van gegevensminimalisering en privacy by design en by default zijn essentieel wanneer verwerking aanzienlijke risico's inhoudt voor de grondrechten van personen. Rekening houdend met de stand van de techniek moeten alle partijen die gegevens uitwisselen, met inbegrip van gegevensuitwisseling die onder het toepassingsgebied van deze verordening valt, technische en organisatorische maatregelen nemen om deze rechten te beschermen. Dergelijke maatregelen omvatten niet alleen pseudonimisering en versleuteling, maar ook het gebruik van steeds meer beschikbare technologie waarmee algoritmen op de gegevens kunnen worden toegepast en waardevolle inzichten kunnen worden verkregen zonder dat de ruwe of gestructureerde gegevens zelf tussen partijen hoeven te worden overgedragen of onnodig hoeven te worden gekopieerd.

(9) Tenzij in deze verordening anders is bepaald, laat zij het nationale verbintenissenrecht, met inbegrip van de regels inzake de totstandkoming, geldigheid of rechtsgevolgen van overeenkomsten, of de gevolgen van de beëindiging van een overeenkomst, onverlet. Deze verordening vormt een aanvulling op en doet geen afbreuk aan de wetgeving van de Unie ter bevordering van de belangen van de consumenten en ter waarborging van een hoog niveau van consumentenbescherming, en ter bescherming van hun gezondheid, veiligheid en economische belangen, in het bijzonder Richtlijn 93/13/EEG van de Raad (9 ) en Richtlijnen 2005/29/EG (10 ) en 2011/83/EU (11 ) van het Europees Parlement en de Raad.

(10) Deze verordening laat de rechtshandelingen van de Unie en de lidstaten onverlet die voorzien in de uitwisseling van, de toegang tot en het gebruik van gegevens met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen, dan wel voor douane- en belastingdoeleinden, ongeacht de rechtsgrondslag op grond van het Verdrag betreffende de werking van de Europese Unie (VWEU) op basis waarvan dergelijke rechtshandelingen van de Unie zijn vastgesteld, alsmede op internationale samenwerking op dat gebied, met name op basis van het Verdrag inzake cybercriminaliteit van de Raad van Europa (ETS nr. 185), gedaan te Boedapest op 23 november 2001. Dergelijke besluiten zijn onder meer de Verordeningen (EU) 2021/784 (12), (EU) 2022/2065 (13) en (EU) 2023/1543 (14 ) van het Europees Parlement en de Raad en Richtlijn (EU) 2023/1544 van het Europees Parlement en de Raad (15). Deze verordening is niet van toepassing op het verzamelen of delen van, de toegang tot of het gebruik van gegevens op grond van Verordening (EU) 2015/847 van het Europees Parlement en de Raad (16 ) en Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad (17). Deze verordening is niet van toepassing op gebieden die buiten het toepassingsgebied van het recht van de Unie vallen en laat in ieder geval de bevoegdheden van de lidstaten inzake openbare veiligheid, defensie of nationale veiligheid, douane en belastingadministratie of de gezondheid en veiligheid van burgers onverlet, ongeacht het type entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) door de lidstaten belast met de uitvoering van taken in verband met deze bevoegdheden.

(11) Tenzij in deze verordening specifiek anders is bepaald, moet de EU-wetgeving tot vaststelling van fysieke ontwerp- en gegevenseisen voor producten die in de Unie in de handel worden gebracht, onverlet worden gelaten.

(12) Deze verordening vormt een aanvulling op en doet geen afbreuk aan de EU-wetgeving die tot doel heeft toegankelijkheidsvereisten vast te stellen voor bepaalde producten en diensten, met name Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad (18).

(13) Deze verordening laat uniale en nationale rechtshandelingen onverlet die voorzien in de bescherming van intellectuele-eigendomsrechten, met inbegrip van Richtlijn 2001/29/EG (19 ), Richtlijn 2004/48/EG (20 ) en Richtlijn 2019/790 (21 ) van het Europees Parlement en de Raad.

(14) Aangesloten producten die door middel van hun componenten of besturingssystemen gegevens verkrijgen, genereren of verzamelen over hun prestaties, gebruik of omgeving en die in staat zijn deze gegevens te communiceren via een elektronische communicatiedienstElektronische communicatiedienst Een dienst die gewoonlijk tegen vergoeding via elektronischecommunicatienetwerken wordt geleverd en die, met uitzondering van diensten waarbij inhoud wordt geleverd of redactioneel toezicht wordt uitgeoefend op inhoud die met behulp van elektronischecommunicatienetwerken en -diensten wordt overgebracht, de volgende soorten diensten omvat: a) "internettoegangsdienst" zoals gedefinieerd in artikel 2, tweede alinea, punt 2, van Verordening (EU) 2015/2120; b) interpersoonlijke communicatiedienst; en c) diensten die geheel of hoofdzakelijk bestaan in het overbrengen van signalen, zoals transmissiediensten die worden gebruikt voor het aanbieden van machine-tot-machinediensten en voor omroep. - Definitie overeenkomstig artikel 2, punt 4, van Richtlijn (EU) 2018/1972, een fysieke verbinding, of toegang op het apparaat, vaak het internet van dingen genoemd, moet binnen het toepassingsgebied van deze verordening vallen, met uitzondering van prototypes. Voorbeelden van dergelijke elektronische communicatiediensten zijn met name landgebonden telefoonnetwerken, televisiekabelnetwerken, satellietnetwerken en near-field communicatienetwerken. Aangesloten producten worden aangetroffen in alle aspecten van de economie en de samenleving, inclusief in particuliere, civiele of commerciële infrastructuur, voertuigen, gezondheids- en lifestyle-apparatuur, schepen, vliegtuigen, huishoudelijke apparatuur en consumentengoederen, medische en gezondheidsapparatuur of landbouw- en industriële machines. De ontwerpkeuzes van de fabrikanten en, indien relevant, de wetgeving van de Unie of van een lidstaat met betrekking tot sectorspecifieke behoeften en doelstellingen of relevante besluiten van bevoegde autoriteiten, moeten bepalen welke gegevens een aangesloten product beschikbaar kan maken.

(15) De gegevens vertegenwoordigen de digitalisering van gebruikershandelingen en -gebeurtenissen en moeten bijgevolg toegankelijk zijn voor de gebruiker. De regels voor de toegang tot en het gebruik van gegevens van verbonden producten en gerelateerde diensten op grond van deze verordening hebben betrekking op zowel productgegevens als gerelateerde dienstgegevens. Productgegevens zijn gegevens die worden gegenereerd door het gebruik van een aangesloten product en die volgens het ontwerp van de fabrikant kunnen worden opgevraagd uit het aangesloten product door een gebruiker, een gegevenshouder of een derde partij, waaronder, indien relevant, de fabrikant. Gegevens over verbonden diensten zijn gegevens die ook de digitalisering vertegenwoordigen van gebruikershandelingen of gebeurtenissen met betrekking tot het verbonden product die worden gegenereerd tijdens het verlenen van een verbonden dienst door de aanbieder. Gegevens die worden gegenereerd door het gebruik van een verbonden product of een verbonden dienst moeten worden opgevat als gegevens die opzettelijk worden geregistreerd of gegevens die indirect voortvloeien uit de handelingen van de gebruiker, zoals gegevens over de omgeving van het verbonden product of interacties. Dit omvat gegevens over het gebruik van een aangesloten product die worden gegenereerd door een gebruikersinterface of via een verwante dienst, en mag niet beperkt blijven tot de informatie dat een dergelijk gebruik heeft plaatsgevonden, maar moet alle gegevens omvatten die het aangesloten product genereert als gevolg van een dergelijk gebruik, zoals gegevens die automatisch worden gegenereerd door sensoren en gegevens die worden geregistreerd door ingebedde toepassingen, waaronder toepassingen die de hardwarestatus en storingen aangeven. Dit omvat ook gegevens die door het aangesloten product of de verbonden dienst worden gegenereerd wanneer de gebruiker niets doet, bijvoorbeeld wanneer de gebruiker ervoor kiest om een aangesloten product gedurende een bepaalde tijd niet te gebruiken en het in plaats daarvan in de stand-bymodus te zetten of zelfs uit te schakelen, aangezien de status van een aangesloten product of de onderdelen ervan, bijvoorbeeld de batterijen, kan variëren wanneer het aangesloten product in de stand-bymodus staat of is uitgeschakeld. Gegevens die niet wezenlijk zijn gewijzigd, d.w.z. gegevens in ruwe vorm, ook bekend als brongegevens of primaire gegevens die verwijzen naar gegevenspunten die automatisch zijn gegenereerd zonder enige verdere vorm van verwerking, evenals gegevens die zijn voorbewerkt om ze begrijpelijk en bruikbaar te maken voorafgaand aan verdere verwerking en analyse, vallen binnen het toepassingsgebied van deze verordening. Dergelijke gegevens omvatten gegevens die zijn verzameld van een enkele sensor of een gekoppelde groep sensoren met het doel de verzamelde gegevens begrijpelijk te maken voor bredere gebruiksdoeleinden door het bepalen van een fysische grootheid of kwaliteit of de verandering in een fysische grootheid, zoals temperatuur, druk, stroomsnelheid, geluid, pH-waarde, vloeistofniveau, positie, versnelling of snelheid. De term "voorbewerkte gegevens" mag niet zo worden geïnterpreteerd dat de houder van de gegevens verplicht wordt om aanzienlijke investeringen te doen in het opschonen en transformeren van de gegevens. De beschikbaar te stellen gegevens moeten de relevante metagegevens bevatten, inclusief de basiscontext en tijdstempel, om de gegevens bruikbaar te maken, gecombineerd met andere gegevens, zoals gegevens die zijn gesorteerd en geclassificeerd met andere gegevenspunten die daarop betrekking hebben, of opnieuw geformatteerd in een algemeen gebruikt formaat. Dergelijke gegevens zijn potentieel waardevol voor de gebruiker en ondersteunen innovatie en de ontwikkeling van digitale en andere diensten om het milieu, de gezondheid en de circulaire economie te beschermen, onder andere door het onderhoud en de reparatie van de verbonden producten in kwestie te vergemakkelijken. Daarentegen mag informatie die uit dergelijke gegevens wordt afgeleid of afgeleid en die het resultaat is van extra investeringen in het toekennen van waarden of inzichten uit de gegevens, in het bijzonder door middel van bedrijfseigen, complexe algoritmen, met inbegrip van die welke deel uitmaken van bedrijfseigen software, niet worden geacht binnen het toepassingsgebied van deze verordening te vallen en bijgevolg niet onderworpen te zijn aan de verplichting van een gegevenshouder om deze ter beschikking te stellen van een gebruiker of een ontvanger van gegevens, tenzij anders overeengekomen tussen de gebruiker en de gegevenshouder. Dergelijke gegevens kunnen met name informatie omvatten die is afgeleid door middel van sensorfusie, waarbij gegevens van meerdere sensoren, verzameld in het aangesloten product, worden afgeleid of afgeleid met behulp van eigen complexe algoritmen en waarop intellectuele-eigendomsrechten van toepassing kunnen zijn.

(16) Deze verordening stelt gebruikers van verbonden producten in staat te profiteren van aftermarket-, neven- en andere diensten die gebaseerd zijn op gegevens die worden verzameld door sensoren die in dergelijke producten zijn ingebouwd, waarbij het verzamelen van deze gegevens van potentiële waarde is voor het verbeteren van de prestaties van de verbonden producten. Het is belangrijk om een onderscheid te maken tussen enerzijds markten voor de levering van dergelijke met sensoren uitgeruste verbonden producten en aanverwante diensten en anderzijds markten voor niet-verwante software en inhoud zoals tekstuele, audio- of audiovisuele inhoud waarop vaak intellectuele eigendomsrechten rusten. Bijgevolg mogen gegevens die dergelijke met sensoren uitgeruste aangesloten producten genereren wanneer de gebruiker inhoud opneemt, doorgeeft, weergeeft of afspeelt, alsook de inhoud zelf, waarop vaak intellectuele-eigendomsrechten rusten, onder meer voor gebruik door een onlinedienst, niet onder deze verordening vallen. Deze verordening dient evenmin van toepassing te zijn op gegevens die werden verkregen, gegenereerd of geraadpleegd vanuit het aangesloten product, of die daarheen werden verzonden, met het oog op opslag of andere verwerkingshandelingen ten behoeve van andere partijen die niet de gebruiker zijn, zoals het geval kan zijn met betrekking tot servers of cloudinfrastructuur die door de eigenaars ervan volledig ten behoeve van derden worden geëxploiteerd, onder meer voor gebruik door een onlinedienst.

(17) Er moeten regels worden vastgesteld voor producten die bij aankoop, huur of leasing op zodanige wijze met een verbonden dienst zijn verbonden dat het verbonden product zonder die dienst een of meer van zijn functies niet zou kunnen uitvoeren, of die later door de fabrikant of een derde op het product worden aangesloten om de functionaliteit van het verbonden product uit te breiden of aan te passen. Dergelijke verbonden diensten omvatten de uitwisseling van gegevens tussen het verbonden product en de dienstverlener en moeten worden beschouwd als expliciet verbonden met de werking van de functies van het verbonden product, zoals diensten die, indien van toepassing, opdrachten doorgeven aan het verbonden product die een impact kunnen hebben op de actie of het gedrag van het product. Diensten die geen invloed hebben op de werking van het verbonden product en waarbij de dienstverlener geen gegevens of opdrachten doorgeeft aan het verbonden product, mogen niet als verbonden diensten worden beschouwd. Dergelijke diensten kunnen bijvoorbeeld ondersteunend advies, analytische of financiële diensten of regelmatige reparatie en onderhoud zijn. Verwante diensten kunnen worden aangeboden als onderdeel van een koop-, huur- of leasecontract. Verwante diensten kunnen ook worden aangeboden voor producten van hetzelfde type en gebruikers kunnen redelijkerwijs verwachten dat ze worden aangeboden, rekening houdend met de aard van het verbonden product en alle publieke verklaringen van of namens de verkoper, huurder, verhuurder of andere personen in eerdere schakels van de transactieketen, met inbegrip van de fabrikant. Deze verbonden diensten kunnen zelf gegevens genereren die waardevol zijn voor de gebruiker, onafhankelijk van de gegevensverzamelingsmogelijkheden van het verbonden product waarmee zij verbonden zijn. Deze verordening moet ook van toepassing zijn op verbonden diensten die niet door de verkoper, de huurder of de verhuurder zelf, maar door een derde partij worden verleend. In geval van twijfel over de vraag of de dienst wordt geleverd als onderdeel van het koop-, huur- of leasecontract, moet deze verordening van toepassing zijn. Noch de stroomvoorziening, noch de levering van de connectiviteit moeten worden geïnterpreteerd als verbonden diensten in de zin van deze verordening.

(18) Onder de gebruiker van een aangesloten product moet worden verstaan een natuurlijke of rechtspersoon, zoals een bedrijf, een consument of een overheidsinstantie, die eigenaar is van een aangesloten product, bepaalde tijdelijke rechten heeft gekregen, bijvoorbeeld door middel van een huur- of leaseovereenkomst, om toegang te krijgen tot gegevens die zijn verkregen via het aangesloten product of deze te gebruiken, of die verbonden diensten ontvangt voor het aangesloten product. Deze toegangsrechten mogen op geen enkele wijze de rechten van betrokkenen wijzigen of doorkruisen die mogelijk in interactie zijn met een aangesloten product of een verbonden dienst met betrekking tot persoonsgegevens die zijn gegenereerd door het aangesloten product of tijdens de levering van de verbonden dienst. De gebruiker draagt de risico's en geniet de voordelen van het gebruik van het verbonden product en moet ook toegang hebben tot de gegevens die het genereert. De gebruiker moet daarom het recht hebben om voordeel te halen uit gegevens die door dat verbonden product en een verbonden dienst worden gegenereerd. Een eigenaar, huurder of lessee moet ook als gebruiker worden beschouwd, ook wanneer meerdere entiteiten als gebruiker kunnen worden beschouwd. In de context van meerdere gebruikers kan elke gebruiker op een andere manier bijdragen aan het genereren van gegevens en belang hebben bij verschillende vormen van gebruik, zoals wagenparkbeheer voor een leasemaatschappij of mobiliteitsoplossingen voor particulieren die gebruik maken van een autodeeldienst.

(19) Datageletterdheid heeft betrekking op de vaardigheden, de kennis en het inzicht die gebruikers, consumenten en bedrijven, met name kmo's die onder het toepassingsgebied van deze verordening vallen, in staat stellen zich bewust te worden van de potentiële waarde van de gegevens die zij genereren, produceren en delen en die zij gemotiveerd zijn aan te bieden en toegankelijk te maken overeenkomstig de toepasselijke wettelijke regels. Datageletterdheid moet verder gaan dan het leren over instrumenten en technologieën en erop gericht zijn burgers en bedrijven toe te rusten en in staat te stellen te profiteren van een inclusieve en eerlijke gegevensmarkt. De verspreiding van maatregelen op het gebied van datageletterdheid en de invoering van passende follow-upacties kunnen bijdragen tot betere arbeidsomstandigheden en uiteindelijk de consolidatie en het innovatietraject van de gegevenseconomie in de Unie ondersteunen. De bevoegde autoriteiten moeten instrumenten bevorderen en maatregelen vaststellen om de datageletterdheid van gebruikers en entiteiten die onder het toepassingsgebied van deze verordening vallen, te vergroten en hen bewuster te maken van hun rechten en plichten uit hoofde van deze verordening.

(20) In de praktijk zijn niet alle gegevens die worden gegenereerd door aangesloten producten of aanverwante diensten gemakkelijk toegankelijk voor de gebruikers ervan en zijn de mogelijkheden met betrekking tot de overdraagbaarheid van gegevens die worden gegenereerd door op het internet aangesloten producten vaak beperkt. Gebruikers kunnen de gegevens die nodig zijn om een beroep te doen op aanbieders van reparatie- en andere diensten niet verkrijgen en bedrijven kunnen geen innovatieve, handige en efficiëntere diensten lanceren. In veel sectoren kunnen fabrikanten, door hun controle over het technische ontwerp van de verbonden producten of gerelateerde diensten, bepalen welke gegevens worden gegenereerd en hoe deze toegankelijk zijn, ondanks het feit dat ze geen wettelijk recht op deze gegevens hebben. Daarom moet ervoor worden gezorgd dat verbonden producten zodanig worden ontworpen en vervaardigd en dat verbonden diensten zodanig worden ontworpen en geleverd dat productgegevens en gegevens over verbonden diensten, met inbegrip van de relevante metagegevens die nodig zijn om deze gegevens te interpreteren en te gebruiken, onder meer om ze op te vragen, te gebruiken of te delen, altijd gemakkelijk en veilig gratis toegankelijk zijn voor een gebruiker in een volledig, gestructureerd, algemeen gebruikt en machineleesbaar formaat. Productgegevens en gegevens over verbonden diensten die een gegevenshouder rechtmatig verkrijgt of rechtmatig kan verkrijgen uit het verbonden product of de verbonden dienst, bijvoorbeeld door middel van het ontwerp van het verbonden product, het contract van de gegevenshouder met de gebruiker voor de levering van verbonden diensten en zijn technische middelen voor gegevenstoegang, zonder onevenredige inspanningen, worden "direct beschikbare gegevens" genoemd. Gemakkelijk beschikbare gegevens omvatten geen gegevens die worden gegenereerd door het gebruik van een verbonden product wanneer het ontwerp van het verbonden product niet voorziet in de opslag of doorgifte van dergelijke gegevens buiten het onderdeel waarin ze worden gegenereerd of het verbonden product als geheel. Deze verordening mag derhalve niet worden geïnterpreteerd als een verplichting om gegevens op te slaan in de centrale verwerkingseenheid van een aangesloten product. Het ontbreken van een dergelijke verplichting mag de fabrikant of de gegevenshouder er niet van weerhouden vrijwillig met de gebruiker overeen te komen dergelijke aanpassingen aan te brengen. De ontwerpverplichtingen in deze verordening laten ook het gegevensminimaliseringsbeginsel van artikel 5, lid 1, onder c), van Verordening (EU) 2016/679 onverlet en mogen niet worden opgevat als een verplichting om verbonden producten en gerelateerde diensten zodanig te ontwerpen dat zij andere persoonsgegevens opslaan of anderszins verwerken dan de persoonsgegevens die noodzakelijk zijn in verband met de doeleinden waarvoor zij worden verwerkt. Er zou uniaal of nationaal recht kunnen worden ingevoerd om nadere bijzonderheden vast te stellen, zoals de productgegevens die toegankelijk moeten zijn vanuit aangesloten producten of verbonden diensten, aangezien dergelijke gegevens essentieel kunnen zijn voor de efficiënte werking, de reparatie of het onderhoud van die aangesloten producten of verbonden diensten. Wanneer latere updates of wijzigingen van een aangesloten product of een verbonden dienst, door de fabrikant of een andere partij, leiden tot aanvullende toegankelijke gegevens of een beperking van aanvankelijk toegankelijke gegevens, moeten dergelijke wijzigingen in de context van de update of wijziging aan de gebruiker worden meegedeeld.

(21) Wanneer verschillende personen of entiteiten als gebruikers worden beschouwd, bijvoorbeeld in het geval van mede-eigendom of wanneer een eigenaar, huurder of lessee de rechten op toegang tot of gebruik van gegevens deelt, moet het ontwerp van het verbonden product of de verbonden dienst, of de relevante interface, elke gebruiker toegang geven tot de gegevens die hij genereert. Voor het gebruik van verbonden producten die gegevens genereren, moet meestal een gebruikersaccount worden ingesteld. Met zo'n account kan de gebruiker worden geïdentificeerd door de gegevenshouder, die de fabrikant kan zijn. Het kan ook worden gebruikt als communicatiemiddel en om verzoeken om toegang tot gegevens in te dienen en te verwerken. Wanneer verschillende fabrikanten of verbonden dienstverleners verbonden producten hebben verkocht, verhuurd of geleased of verbonden diensten hebben verleend, die samen geïntegreerd zijn, aan dezelfde gebruiker, moet de gebruiker zich wenden tot elk van de partijen waarmee hij een contract heeft. Fabrikanten of ontwerpers van een verbonden product dat gewoonlijk door meerdere personen wordt gebruikt, moeten de nodige mechanismen invoeren om afzonderlijke gebruikersaccounts voor individuele personen mogelijk te maken, voor zover van toepassing, of om het mogelijk te maken dat meerdere personen dezelfde gebruikersaccount gebruiken. Accountoplossingen moeten gebruikers in staat stellen hun accounts te wissen en de gegevens die ermee verband houden te wissen, en kunnen gebruikers in staat stellen de toegang tot en het gebruik of delen van gegevens te beëindigen of een verzoek tot beëindiging in te dienen, met name rekening houdend met situaties waarin de eigendom of het gebruik van het verbonden product verandert. Toegang moet aan de gebruiker worden verleend op basis van een eenvoudig verzoekmechanisme dat automatisch wordt uitgevoerd en waarvoor geen onderzoek of goedkeuring door de fabrikant of de gegevenshouder nodig is. Dit betekent dat de gegevens alleen beschikbaar moeten worden gesteld wanneer de gebruiker daadwerkelijk toegang wil. Wanneer automatische uitvoering van het verzoek om toegang tot de gegevens niet mogelijk is, bijvoorbeeld via een gebruikersaccount of een bijbehorende mobiele applicatie die bij het verbonden product of de verbonden dienst wordt geleverd, moet de fabrikant de gebruiker informeren over de manier waarop toegang tot de gegevens kan worden verkregen.

(22) Aangesloten producten kunnen zo zijn ontworpen dat bepaalde gegevens rechtstreeks toegankelijk zijn vanaf de gegevensopslag op het apparaat of vanaf een externe server waarnaar de gegevens worden verzonden. Toegang tot gegevensopslag op het apparaat kan mogelijk worden gemaakt via kabelgebaseerde of draadloze lokale netwerken die verbonden zijn met een openbaar beschikbare elektronische communicatiedienst of mobiel netwerk. De server kan de eigen lokale servercapaciteit van de fabrikant zijn of die van een derde partij of een aanbieder van clouddiensten. Verwerkers zoals gedefinieerd in artikel 4, punt 8, van Verordening (EU) 2016/679 worden niet beschouwd als houders van gegevens. Zij kunnen echter wel specifiek worden belast met het beschikbaar stellen van gegevens door de verwerkingsverantwoordelijke zoals gedefinieerd in artikel 4, punt 7, van Verordening (EU) 2016/679. Aangesloten producten kunnen zo zijn ontworpen dat de gebruiker of een derde de gegevens kan verwerken op het aangesloten product, op een computerinstantie van de fabrikant of binnen een door de gebruiker of de derde gekozen informatie- en communicatietechnologie (ICT)-omgeving.

(23) Virtuele assistenten spelen een steeds grotere rol in de digitalisering van consumenten- en professionele omgevingen en dienen als een gebruiksvriendelijke interface om inhoud af te spelen, informatie te verkrijgen of op het internet aangesloten producten te activeren. Virtuele assistenten kunnen fungeren als een enkele gateway in bijvoorbeeld een slimme thuisomgeving en registreren aanzienlijke hoeveelheden relevante gegevens over de manier waarop gebruikers omgaan met op het internet aangesloten producten, waaronder producten die door andere partijen zijn geproduceerd, en kunnen het gebruik van door de fabrikant geleverde interfaces zoals aanraakschermen of smartphone-apps vervangen. De gebruiker kan dergelijke gegevens beschikbaar willen stellen aan externe fabrikanten en nieuwe slimme diensten mogelijk willen maken. Virtuele assistenten moeten vallen onder de rechten inzake gegevenstoegang waarin deze verordening voorziet. Gegevens die worden gegenereerd wanneer een gebruiker interageert met een aangesloten product via een virtuele assistent die wordt geleverd door een andere entiteit dan de fabrikant van het aangesloten product, moeten ook vallen onder de in deze verordening vastgestelde rechten inzake gegevenstoegang. Deze verordening mag echter alleen gelden voor gegevens die voortvloeien uit de interactie tussen de gebruiker en een verbonden product of een verbonden dienst via de virtuele assistent. Door de virtuele assistent geproduceerde gegevens die geen verband houden met het gebruik van een aangesloten product of een verbonden dienst, vallen niet onder deze verordening.

(24) Alvorens een koop-, huur- of leasecontract voor een aangesloten product te sluiten, moet de verkoper, huurder of verhuurder, die ook de fabrikant kan zijn, de gebruiker op duidelijke en begrijpelijke wijze informatie verstrekken over de productgegevens die het aangesloten product kan genereren, met inbegrip van het type, het formaat en het geschatte volume van die gegevens. Dit kan informatie omvatten over gegevensstructuren, gegevensformaten, vocabulaires, classificatieschema's, taxonomieën en codelijsten, indien beschikbaar, evenals duidelijke en toereikende informatie die relevant is voor de uitoefening van de rechten van de gebruiker over de manier waarop de gegevens kunnen worden opgeslagen, opgehaald of geraadpleegd, met inbegrip van de gebruiksvoorwaarden en de kwaliteit van de dienst van toepassingsprogramma-interfaces of, indien van toepassing, de levering van softwareontwikkelingskits. Deze verplichting zorgt voor transparantie over de gegenereerde productgegevens en verbetert de gemakkelijke toegang voor de gebruiker. Aan de informatieverplichting kan bijvoorbeeld worden voldaan door het onderhouden van een stabiele uniform resource locator (URL) op het web, die kan worden verspreid als een weblink of QR-code, die verwijst naar de relevante informatie die door de verkoper, huurder of verhuurder, die de fabrikant kan zijn, aan de gebruiker kan worden verstrekt voordat het contract voor de aankoop, huur of lease van een verbonden product wordt gesloten. Het is in ieder geval noodzakelijk dat de gebruiker de informatie kan opslaan op een manier die toegankelijk is voor toekomstig gebruik en die een ongewijzigde reproductie van de opgeslagen informatie mogelijk maakt. Van de gegevenshouder kan niet worden verwacht dat hij de gegevens voor onbepaalde tijd opslaat met het oog op de behoeften van de gebruiker van het verbonden product, maar hij moet, indien van toepassing, een redelijk beleid inzake gegevensbewaring ten uitvoer leggen, in overeenstemming met het beginsel van opslagbeperking overeenkomstig artikel 5, lid 1, onder e), van Verordening (EU) 2016/679, dat een doeltreffende toepassing van de in deze verordening vastgestelde rechten inzake toegang tot gegevens mogelijk maakt. De verplichting om informatie te verstrekken doet geen afbreuk aan de verplichting van de verwerkingsverantwoordelijke om informatie te verstrekken aan de betrokkene op grond van de artikelen 12, 13 en 14 van Verordening (EU) 2016/679. De verplichting om informatie te verstrekken voordat een contract voor de verlening van een verbonden dienst wordt gesloten, dient bij de toekomstige houder van de gegevens te liggen, ongeacht of de houder van de gegevens een contract voor de aankoop, huur of lease van een verbonden product sluit. Wanneer informatie tijdens de levensduur van het verbonden product of de contractperiode voor de verbonden dienst verandert, onder meer wanneer het doel waarvoor die gegevens zullen worden gebruikt, verandert ten opzichte van het oorspronkelijk gespecificeerde doel, moet die informatie ook aan de gebruiker worden verstrekt.

(25) Deze verordening verleent de houders van gegevens geen nieuw recht om productgegevens of aanverwante dienstengegevens te gebruiken. Wanneer de fabrikant van een aangesloten product een gegevenshouder is, dient de basis voor het gebruik van niet-persoonsgebonden gegevens door de fabrikant een contract tussen de fabrikant en de gebruiker te zijn. Een dergelijk contract kan deel uitmaken van een overeenkomst voor de levering van de verbonden dienst, die samen met de koop-, huur- of leaseovereenkomst met betrekking tot het verbonden product kan worden gesloten. Elke contractuele voorwaarde die bepaalt dat de gegevenshouder productgegevens of gerelateerde dienstgegevens mag gebruiken, moet transparant zijn voor de gebruiker, ook met betrekking tot de doeleinden waarvoor de gegevenshouder de gegevens wil gebruiken. Dergelijke doeleinden kunnen onder meer zijn het verbeteren van de werking van het aangesloten product of verwante diensten, het ontwikkelen van nieuwe producten of diensten, of het samenvoegen van gegevens met als doel de daaruit afgeleide gegevens beschikbaar te stellen aan derden, op voorwaarde dat deze afgeleide gegevens het niet mogelijk maken specifieke gegevens te identificeren die door het aangesloten product aan de gegevenshouder zijn doorgegeven, of een derde in staat stellen deze gegevens uit de dataset af te leiden. Elke wijziging van het contract dient afhankelijk te zijn van de geïnformeerde toestemming van de gebruiker. Deze verordening belet partijen niet contractuele voorwaarden overeen te komen die tot gevolg hebben dat het gebruik van niet-persoonsgebonden gegevens, of bepaalde categorieën niet-persoonsgebonden gegevens, door een gegevenshouder wordt uitgesloten of beperkt. Evenmin belet deze verordening partijen overeen te komen productgegevens of daarmee verband houdende dienstgegevens direct of indirect, waaronder, indien van toepassing, via een andere gegevenshouder, aan derden ter beschikking te stellen. Bovendien staat deze verordening niet in de weg aan sectorspecifieke wettelijke vereisten op grond van het recht van de Unie of op grond van nationale wetgeving die verenigbaar is met het recht van de Unie, op grond waarvan het gebruik van bepaalde dergelijke gegevens door de houder van de gegevens wordt uitgesloten of beperkt om welomschreven redenen van openbare orde. Deze verordening belet gebruikers niet om in het geval van business-to-business relaties gegevens beschikbaar te stellen aan derden of gegevenshouders op grond van een rechtmatige contractuele bepaling, onder meer door ermee in te stemmen het verder delen van dergelijke gegevens te beperken of te beperken, of om een evenredige compensatie te ontvangen, bijvoorbeeld in ruil voor het afstand doen van hun recht om dergelijke gegevens te gebruiken of te delen. Hoewel het begrip "houder" over het algemeen geen overheidsinstanties omvat, kan het wel overheidsbedrijven omvatten.

(26) Om het ontstaan van liquide, eerlijke en efficiënte markten voor niet-persoonsgebonden gegevens te bevorderen, moeten gebruikers van aangesloten producten gegevens met anderen kunnen delen, ook voor commerciële doeleinden, met minimale juridische en technische inspanningen. Op dit moment is het voor bedrijven vaak moeilijk om de personeels- of computerkosten te rechtvaardigen die nodig zijn om niet-persoonlijke datasets of dataproducten voor te bereiden en aan te bieden aan potentiële tegenpartijen via gegevensbemiddelingsdiensten, waaronder datamarkten. Een belangrijke belemmering voor het delen van niet-persoonlijke gegevens door bedrijven is daarom het gebrek aan voorspelbaarheid van de economische opbrengsten van investeringen in het cureren en beschikbaar stellen van datasets of dataproducten. Om het ontstaan van liquide, eerlijke en efficiënte markten voor niet-persoonsgebonden gegevens in de Unie mogelijk te maken, moet worden verduidelijkt welke partij het recht heeft om dergelijke gegevens op een markt aan te bieden. Gebruikers moeten daarom het recht hebben om niet-persoonsgebonden gegevens te delen met ontvangers van gegevens voor commerciële en niet-commerciële doeleinden. Dergelijke gegevensuitwisseling kan rechtstreeks door de gebruiker gebeuren, op verzoek van de gebruiker via een gegevenshouder, of via gegevensbemiddelingsdiensten. Gegevensbemiddelingsdiensten, zoals geregeld bij Verordening (EU) nr. 2022/868 van het Europees Parlement en de Raad (22 ), kunnen een gegevenseconomie vergemakkelijken door commerciële relaties tot stand te brengen tussen gebruikers, ontvangers van gegevens en derden en kunnen gebruikers ondersteunen bij de uitoefening van hun recht om gegevens te gebruiken, bijvoorbeeld door te zorgen voor de anonimisering van persoonsgegevens of de aggregatie van de toegang tot gegevens van meerdere individuele gebruikers. Wanneer gegevens zijn uitgesloten van de verplichting van een gegevenshouder om ze beschikbaar te stellen aan gebruikers of derden, kan de reikwijdte van dergelijke gegevens worden gespecificeerd in het contract tussen de gebruiker en de gegevenshouder voor de levering van een gerelateerde dienst, zodat gebruikers gemakkelijk kunnen bepalen welke gegevens voor hen beschikbaar zijn om te delen met ontvangers van gegevens of derden. Gegevenshouders dienen niet-persoonlijke productgegevens niet beschikbaar te stellen aan derden voor andere commerciële of niet-commerciële doeleinden dan de uitvoering van hun contract met de gebruiker, onverminderd de wettelijke vereisten op grond van het recht van de Unie of het nationale recht voor een gegevenshouder om gegevens beschikbaar te stellen. In voorkomend geval dienen de gegevenshouders derden contractueel te verplichten de van hen ontvangen gegevens niet verder te delen.

(27) In sectoren die worden gekenmerkt door de concentratie van een klein aantal fabrikanten die aangesloten producten leveren aan eindgebruikers, zijn er voor gebruikers mogelijk slechts beperkte opties beschikbaar voor de toegang tot en het gebruik en delen van gegevens. In dergelijke omstandigheden kunnen contracten ontoereikend zijn om de doelstelling van 'user empowerment' te bereiken, waardoor het voor gebruikers moeilijk wordt om waarde te halen uit de gegevens die worden gegenereerd door het aangesloten product dat ze kopen, huren of leasen. Bijgevolg is er een beperkt potentieel voor innovatieve kleinere bedrijven om op gegevens gebaseerde oplossingen op een concurrerende manier aan te bieden en voor een diverse gegevenseconomie in de Unie. Deze verordening moet daarom voortbouwen op recente ontwikkelingen in specifieke sectoren, zoals de gedragscode voor het contractueel delen van landbouwgegevens. Er kan uniale of nationale wetgeving worden vastgesteld om tegemoet te komen aan sectorspecifieke behoeften en doelstellingen. Voorts mogen houders van gegevens geen direct beschikbare niet-persoonsgebonden gegevens gebruiken om inzichten te verkrijgen over de economische situatie van de gebruiker of zijn activa of productiemethoden of over een dergelijk gebruik door de gebruiker op een andere manier die de commerciële positie van die gebruiker op de markten waarop hij actief is, zou kunnen ondermijnen. Dit kan onder meer inhouden dat kennis over de algemene prestaties van een bedrijf of een landbouwbedrijf wordt gebruikt bij contractuele onderhandelingen met de gebruiker over de mogelijke aankoop van de producten of landbouwproducten van de gebruiker ten nadele van de gebruiker, of dat dergelijke informatie wordt gebruikt als input voor grotere databases over bepaalde markten in het algemeen, bijvoorbeeld databases over oogstopbrengsten voor het komende oogstseizoen, aangezien dergelijk gebruik de gebruiker op indirecte wijze negatief zou kunnen beïnvloeden. De gebruiker moet de nodige technische interface krijgen om toestemmingen te beheren, bij voorkeur met granulaire toestemmingsopties zoals "eenmalig toestaan" of "toestaan tijdens het gebruik van deze app of dienst", inclusief de optie om dergelijke toestemmingen in te trekken.

(28) In overeenkomsten tussen een gegevenshouder en een consument als gebruiker van een verbonden product of een verbonden dienst die gegevens genereert, is het consumentenrecht van de Unie, met name de Richtlijnen 93/13/EEG en 2005/29/EG, van toepassing om ervoor te zorgen dat een consument niet wordt onderworpen aan oneerlijke contractvoorwaarden. Voor de toepassing van deze verordening mogen oneerlijke, eenzijdig aan een onderneming opgelegde contractvoorwaarden niet bindend zijn voor die onderneming.

(29) Gegevenshouders kunnen passende identificatie van de gebruiker verlangen om te controleren of de gebruiker recht heeft op toegang tot de gegevens. In het geval van persoonsgegevens die namens de voor de verwerking verantwoordelijke door een verwerker worden verwerkt, dienen de datahouders ervoor te zorgen dat het verzoek om toegang door de verwerker wordt ontvangen en behandeld.

(30) De gebruiker moet de gegevens voor elk rechtmatig doel kunnen gebruiken. Dit omvat het verstrekken van de gegevens die de gebruiker heeft ontvangen bij de uitoefening van zijn rechten op grond van deze verordening aan een derde die een dienst op de secundaire markt aanbiedt die mogelijk concurreert met een dienst van een gegevenshouder, of om de gegevenshouder opdracht te geven dit te doen. Het verzoek moet worden ingediend door de gebruiker of door een gemachtigde derde die namens een gebruiker optreedt, met inbegrip van een aanbieder van een gegevensbemiddelingsdienst. Gegevenshouders moeten ervoor zorgen dat de gegevens die beschikbaar worden gesteld aan de derde partij even nauwkeurig, volledig, betrouwbaar, relevant en actueel zijn als de gegevens waartoe de gegevenshouder zelf toegang kan of mag krijgen door het gebruik van het verbonden product of de verbonden dienst. Alle intellectuele eigendomsrechten moeten worden gerespecteerd bij de behandeling van de gegevens. Het is belangrijk om prikkels te behouden om te investeren in producten met functionaliteiten die gebaseerd zijn op het gebruik van gegevens van sensoren die in die producten zijn ingebouwd.

(31) Richtlijn (EU) 2016/943 van het Europees Parlement en de Raad (23 ) bepaalt dat de verkrijging, het gebruik of de openbaarmaking van een handelsgeheim als rechtmatig wordt beschouwd, onder meer wanneer die verkrijging, dat gebruik of die openbaarmaking wordt voorgeschreven of toegestaan door het recht van de Unie of het nationale recht. Hoewel deze verordening de houders van gegevens verplicht om bepaalde gegevens bekend te maken aan gebruikers, of derden naar keuze van een gebruiker, zelfs wanneer deze gegevens in aanmerking komen voor bescherming als bedrijfsgeheim, moet zij zo worden geïnterpreteerd dat de bescherming die krachtens Richtlijn (EU) 2016/943 aan bedrijfsgeheimen wordt geboden, behouden blijft. In dit verband moeten de houders van gegevens kunnen eisen dat gebruikers, of derden naar keuze van een gebruiker, de vertrouwelijkheid van gegevens die als bedrijfsgeheim worden beschouwd, bewaren. Daartoe moeten de houders van gegevens de bedrijfsgeheimen identificeren voordat ze openbaar worden gemaakt, en moeten ze de mogelijkheid hebben om met de gebruikers, of derden naar keuze van de gebruiker, de nodige maatregelen overeen te komen om de vertrouwelijkheid ervan te bewaren, onder meer door het gebruik van modelcontractbepalingen, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes. Naast het gebruik van modelcontractbepalingen die door de Commissie moeten worden ontwikkeld en aanbevolen, kan de vaststelling van gedragscodes en technische normen in verband met de bescherming van bedrijfsgeheimen bij de verwerking van gegevens bijdragen tot de verwezenlijking van het doel van deze verordening en dient zij te worden aangemoedigd. Indien er geen overeenkomst is over de noodzakelijke maatregelen of indien een gebruiker, of derden naar keuze van de gebruiker, overeengekomen maatregelen niet ten uitvoer leggen of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnen, moet de houder van de gegevens de uitwisseling van gegevens die als bedrijfsgeheimen zijn aangemerkt, kunnen tegenhouden of opschorten. In dergelijke gevallen moet de houder van de gegevens het besluit zonder onnodige vertraging schriftelijk aan de gebruiker of de derde meedelen en de bevoegde autoriteit van de lidstaat waar de houder van de gegevens is gevestigd ervan in kennis stellen dat hij de uitwisseling van gegevens heeft ingehouden of opgeschort en aangeven welke maatregelen niet zijn overeengekomen of uitgevoerd en, voor zover relevant, welke bedrijfsgeheimen hun vertrouwelijkheid hebben ondermijnd. Gegevenshouders kunnen in beginsel een verzoek om toegang tot gegevens op grond van deze verordening niet weigeren louter op grond van het feit dat bepaalde gegevens als een bedrijfsgeheim worden beschouwd, aangezien dit het beoogde effect van deze verordening zou ondermijnen. In uitzonderlijke omstandigheden moet een houder van een handelsgeheim echter per geval een verzoek om toegang tot de specifieke gegevens in kwestie kunnen weigeren indien hij tegenover de gebruiker of de derde kan aantonen dat, ondanks de technische en organisatorische maatregelen die de gebruiker of de derde heeft genomen, ernstige economische schade zeer waarschijnlijk zal voortvloeien uit de openbaarmaking van dat handelsgeheim. Ernstige economische schade houdt ernstige en onherstelbare economische schade in. De houder van de gegevens moet zijn weigering zonder onnodige vertraging schriftelijk aan de gebruiker of de derde motiveren en de bevoegde autoriteit op de hoogte stellen. Een dergelijke onderbouwing moet gebaseerd zijn op objectieve elementen, waaruit de concrete risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) de verwachte ernstige economische schade als gevolg van de openbaarmaking van specifieke gegevens en de redenen waarom de maatregelen ter bescherming van de gevraagde gegevens niet toereikend worden geacht. Een mogelijk negatief effect op cyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881; kan in die context in aanmerking worden genomen. Onverminderd het recht om beroep in te stellen bij een rechterlijke instantie van een lidstaat, kan de gebruiker of een derde, wanneer hij het besluit van de houder van de gegevens om de gegevensuitwisseling te weigeren of op te schorten, wil aanvechten, een klacht indienen bij de bevoegde autoriteit, die zonder onnodige vertraging moet beslissen of en onder welke voorwaarden de gegevensuitwisseling moet beginnen of worden hervat, of met de houder van de gegevens kan overeenkomen de zaak voor te leggen aan een instantie voor geschillenbeslechting. De uitzonderingen op het recht op toegang tot gegevens in deze verordening mogen in geen geval het recht op toegang en het recht op gegevensoverdraagbaarheid van betrokkenen op grond van Verordening (EU) 2016/679 beperken.

(32) Het doel van deze verordening is niet alleen om de ontwikkeling van nieuwe, innovatieve verbonden producten of gerelateerde diensten te stimuleren, innovatie op secundaire markten te bevorderen, maar ook om de ontwikkeling van geheel nieuwe diensten te stimuleren waarbij gebruik wordt gemaakt van de betrokken gegevens, onder meer op basis van gegevens van een verscheidenheid aan verbonden producten of gerelateerde diensten. Tegelijkertijd beoogt deze verordening te voorkomen dat de investeringsstimulansen voor het type aangesloten product waarvan de gegevens worden verkregen, worden ondermijnd, bijvoorbeeld door het gebruik van gegevens voor de ontwikkeling van een concurrerend aangesloten product dat door gebruikers als onderling verwisselbaar of substitueerbaar wordt beschouwd, met name op basis van de kenmerken, de prijs en het beoogde gebruik van het aangesloten product. Deze verordening voorziet niet in een verbod op de ontwikkeling van een verbonden dienst waarbij gebruik wordt gemaakt van gegevens die krachtens deze verordening zijn verkregen, aangezien dit een ongewenst ontmoedigend effect op innovatie zou hebben. Een verbod op het gebruik van gegevens waartoe krachtens deze verordening toegang is verkregen voor de ontwikkeling van een concurrerend verbonden product beschermt de innovatie-inspanningen van de gegevenshouders. Of een verbonden product concurreert met het verbonden product waarvan de gegevens afkomstig zijn, hangt af van de vraag of de twee verbonden producten concurreren op dezelfde productmarkt. Dit moet worden bepaald op basis van de gevestigde beginselen van het mededingingsrecht van de Unie voor het definiëren van de relevante productmarkt. Wettige doeleinden voor het gebruik van de gegevens kunnen echter reverse engineering omvatten, op voorwaarde dat dit in overeenstemming is met de vereisten die in deze verordening en in de wetgeving van de Unie of de nationale wetgeving zijn vastgelegd. Dit kan het geval zijn voor het repareren of verlengen van de levensduur van een aangesloten product of voor het leveren van aftermarket-diensten voor aangesloten producten.

(33) Een derde aan wie gegevens ter beschikking worden gesteld, kan een natuurlijke of rechtspersoon zijn, zoals een consument, een onderneming, een onderzoeksorganisatieOnderzoeksorganisatie Een entiteit die als hoofddoel heeft toegepast onderzoek of experimentele ontwikkeling uit te voeren met het oog op het exploiteren van de resultaten van dat onderzoek voor commerciële doeleinden, met uitzondering van onderwijsinstellingen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)een organisatie zonder winstoogmerk of een entiteit die beroepsmatig optreedt. Bij het beschikbaar stellen van de gegevens aan de derde partij mag een gegevenshouder zijn positie niet misbruiken om een concurrentievoordeel te behalen op markten waar de gegevenshouder en de derde partij mogelijk rechtstreeks concurreren. De gegevenshouder mag daarom geen direct beschikbare gegevens gebruiken om inzichten af te leiden over de economische situatie, activa of productiemethoden van, of het gebruik door, de derde partij op een andere manier die de commerciële positie van de derde partij zou kunnen ondermijnen op de markten waarop de derde partij actief is. De gebruiker moet niet-persoonlijke gegevens kunnen delen met derden voor commerciële doeleinden. Met instemming van de gebruiker en met inachtneming van de bepalingen van deze verordening moeten derden de door de gebruiker verleende toegangsrechten tot de gegevens kunnen overdragen aan andere derden, ook in ruil voor een vergoeding. Business-to-business gegevensintermediairs en systemen voor het beheer van persoonlijke informatie (PIMS), in Verordening (EU) nr. 2022/868 gegevensbemiddelingsdiensten genoemd, kunnen gebruikers of derden ondersteunen bij het aangaan van commerciële betrekkingen met een onbepaald aantal potentiële tegenpartijen voor elk rechtmatig doel dat binnen het toepassingsgebied van deze verordening valt. Zij kunnen een instrumentele rol spelen bij het aggregeren van toegang tot gegevens zodat big data-analyses of machinaal leren kunnen worden vergemakkelijkt, op voorwaarde dat gebruikers de volledige controle behouden over het al dan niet verstrekken van hun gegevens aan een dergelijke aggregatie en over de commerciële voorwaarden waaronder hun gegevens worden gebruikt.

(34) Het gebruik van een verbonden product of een verbonden dienst kan, met name wanneer de gebruiker een natuurlijke persoon is, gegevens genereren die betrekking hebben op de betrokkene. Op de verwerking van dergelijke gegevens zijn de regels van Verordening (EU) 2016/679 van toepassing, ook wanneer persoonsgegevens en niet-persoonsgebonden gegevens in een dataset onlosmakelijk met elkaar verbonden zijn. De betrokkene kan de gebruiker of een andere natuurlijke persoon zijn. Persoonsgegevens kunnen alleen worden opgevraagd door een verwerkingsverantwoordelijke of een betrokkene. Een gebruiker die de betrokkene is, heeft onder bepaalde omstandigheden op grond van Verordening (EU) 2016/679 recht op toegang tot persoonsgegevens over die gebruiker en die rechten worden door deze verordening onverlet gelaten. Krachtens deze verordening heeft de gebruiker die een natuurlijke persoon is, verder recht op toegang tot alle gegevens die worden gegenereerd door het gebruik van een aangesloten product, ongeacht of deze persoonlijk of niet-persoonlijk zijn. Wanneer de gebruiker niet de betrokkene is, maar een onderneming, met inbegrip van een eenmanszaak, en niet in gevallen van gedeeld huishoudelijk gebruik van het aangesloten product, wordt de gebruiker beschouwd als een voor de verwerking verantwoordelijke. Dienovereenkomstig moet een dergelijke gebruiker die als verwerkingsverantwoordelijke persoonsgegevens wil opvragen die worden gegenereerd door het gebruik van een aangesloten product of een gerelateerde dienst, een rechtsgrondslag hebben voor de verwerking van de gegevens zoals vereist door artikel 6, lid 1, van Verordening (EU) 2016/679, zoals de toestemming van de betrokkene of de uitvoering van een overeenkomst waarbij de betrokkene partij is. Een dergelijke gebruiker moet ervoor zorgen dat de betrokkene naar behoren wordt geïnformeerd over de gespecificeerde, expliciete en gerechtvaardigde doeleinden voor de verwerking van deze gegevens en over de manier waarop de betrokkene zijn rechten effectief kan uitoefenen. Wanneer de houder van de gegevens en de gebruiker gezamenlijk verantwoordelijken voor de verwerking zijn in de zin van artikel 26 van Verordening (EU) 2016/679, moeten zij hun respectieve verantwoordelijkheden voor de naleving van die verordening op transparante wijze vaststellen door middel van een onderlinge regeling. Er dient te worden begrepen dat een dergelijke gebruiker, zodra gegevens beschikbaar zijn gesteld, op zijn beurt een houder van gegevens kan worden indien die gebruiker voldoet aan de criteria van deze verordening en aldus onderworpen wordt aan de verplichtingen om gegevens beschikbaar te stellen op grond van deze verordening.

(35) Productgegevens of gerelateerde dienstgegevens mogen alleen op verzoek van de gebruiker aan een derde ter beschikking worden gesteld. Deze verordening vormt dienovereenkomstig een aanvulling op het in artikel 20 van Verordening (EU) 2016/679 vastgelegde recht van betrokkenen om persoonsgegevens over hen te ontvangen in een gestructureerd, algemeen gebruikt en machineleesbaar formaat, alsook om deze gegevens over te dragen aan een andere voor de verwerking verantwoordelijke, wanneer deze gegevens langs geautomatiseerde weg worden verwerkt op grond van artikel 6, lid 1, onder a), of artikel 9, lid 2, onder a), of van een overeenkomst op grond van artikel 6, lid 1, onder b), van die verordening. Betrokkenen hebben ook het recht om de persoonsgegevens rechtstreeks van de ene voor de verwerking verantwoordelijke aan de andere te laten verstrekken, maar alleen als dat technisch haalbaar is. Artikel 20 van Verordening (EU) 2016/679 specificeert dat het betrekking heeft op gegevens die door de betrokkene worden verstrekt, maar specificeert niet of dit actief gedrag van de betrokkene vereist of dat het ook van toepassing is op situaties waarin een verbonden product of een verbonden dienst door zijn ontwerp het gedrag van een betrokkene of andere informatie met betrekking tot een betrokkene op passieve wijze observeert. De rechten waarin deze verordening voorziet, vormen in een aantal opzichten een aanvulling op het recht om persoonsgegevens te ontvangen en over te dragen op grond van artikel 20 van Verordening (EU) 2016/679. Deze verordening verleent gebruikers het recht op toegang tot en terbeschikkingstelling aan een derde van alle productgegevens of gerelateerde dienstgegevens, ongeacht hun aard als persoonsgegevens, ongeacht het onderscheid tussen actief verstrekte of passief waargenomen gegevens, en ongeacht de rechtsgrondslag van de verwerking. In tegenstelling tot artikel 20 van Verordening (EU) 2016/679, verplicht deze verordening derden toegang te verlenen tot alle soorten gegevens die binnen haar toepassingsgebied vallen, ongeacht of het om persoonsgegevens of niet-persoonsgegevens gaat, en zorgt zij ervoor dat technische obstakels de toegang tot dergelijke gegevens niet langer belemmeren of verhinderen. De richtlijn biedt houders van gegevens ook de mogelijkheid om een redelijke vergoeding vast te stellen die door derden, maar niet door de gebruiker, moet worden betaald voor de kosten die worden gemaakt voor het verlenen van rechtstreekse toegang tot de gegevens die worden gegenereerd door het aangesloten product van de gebruiker. Indien een gegevenshouder en een derde geen overeenstemming kunnen bereiken over de voorwaarden voor dergelijke rechtstreekse toegang, mag het de betrokkene op geen enkele wijze worden belet om de in Verordening (EU) 2016/679 vastgestelde rechten uit te oefenen, met inbegrip van het recht op gegevensoverdraagbaarheid, door rechtsmiddelen aan te wenden in overeenstemming met die verordening. In dit verband moet worden begrepen dat, in overeenstemming met Verordening (EU) 2016/679, een contract geen verwerking van bijzondere categorieën persoonsgegevens door de houder van de gegevens of de derde toestaat.

(36) De toegang tot gegevens die zijn opgeslagen in en toegankelijk zijn via eindapparatuur valt onder Richtlijn 2002/58/EG en vereist de toestemming van de abonnee of gebruiker in de zin van die richtlijn, tenzij de toegang strikt noodzakelijk is voor de levering van een uitdrukkelijk door de gebruiker of abonnee gevraagde dienst van de informatiemaatschappij of voor het enkele doel van de transmissie van een communicatie. Richtlijn 2002/58/EG beschermt de integriteit van de eindapparatuur van een gebruiker met betrekking tot het gebruik van verwerkings- en opslagmogelijkheden en het verzamelen van informatie. Apparatuur voor het internet van dingen wordt beschouwd als eindapparatuur als deze direct of indirect is aangesloten op een openbaar communicatienetwerk.

(37) Om uitbuiting van gebruikers te voorkomen, mogen derden aan wie op verzoek van de gebruiker gegevens ter beschikking zijn gesteld, deze gegevens alleen verwerken voor de met de gebruiker overeengekomen doeleinden en alleen met toestemming van de gebruiker delen met een andere derde.

(38) Overeenkomstig het beginsel van gegevensminimalisering mogen derden alleen toegang krijgen tot informatie die noodzakelijk is voor het verlenen van de door de gebruiker gevraagde dienst. Als de derde toegang heeft gekregen tot de gegevens, moet hij deze verwerken voor de doeleinden die met de gebruiker zijn overeengekomen, zonder tussenkomst van de houder van de gegevens. Het moet voor de gebruiker net zo gemakkelijk zijn om de toegang van de derde tot de gegevens te weigeren of stop te zetten als het voor de gebruiker is om de toegang toe te staan. Derden noch gegevenshouders mogen het de gebruiker onnodig moeilijk maken om keuzes te maken of rechten uit te oefenen, onder meer door de gebruiker keuzes aan te bieden op een niet-neutrale manier, of door de gebruiker te dwingen, te misleiden of te manipuleren, of door de autonomie, de besluitvorming of de keuzes van de gebruiker te ondermijnen of te beperken, onder meer door middel van een digitale gebruikersinterface of een onderdeel daarvan. In die context mogen derden of houders van gegevens niet vertrouwen op zogenaamde "dark patterns" bij het ontwerpen van hun digitale interfaces. Donkere patronen zijn ontwerptechnieken die consumenten dwingen of misleiden tot beslissingen die negatieve gevolgen voor hen hebben. Deze manipulatietechnieken kunnen worden gebruikt om gebruikers, in het bijzonder kwetsbare consumenten, over te halen tot ongewenst gedrag, om gebruikers te misleiden door hen te dwingen beslissingen te nemen over transacties in verband met de openbaarmaking van gegevens of om de besluitvorming van de gebruikers van de dienst op onredelijke wijze te beïnvloeden op een manier die hun autonomie, besluitvorming en keuze ondermijnt of beperkt. Gangbare en legitieme handelspraktijken die in overeenstemming zijn met de EU-wetgeving mogen op zichzelf niet als dark patterns worden beschouwd. Derden en houders van gegevens moeten voldoen aan hun verplichtingen uit hoofde van het toepasselijke recht van de Unie, in het bijzonder aan de vereisten die zijn vastgelegd in Richtlijn 98/6/EG (24 ) en Richtlijn 2000/31/EG (25 ) van het Europees Parlement en de Raad en in Richtlijnen 2005/29/EG en 2011/83/EU.

(39) Derden dienen zich ook te onthouden van het gebruik van gegevens die onder het toepassingsgebied van deze verordening vallen om profielen op te stellen van personen, tenzij dergelijke verwerkingsactiviteiten strikt noodzakelijk zijn om de door de gebruiker gevraagde dienst te verlenen, onder meer in het kader van geautomatiseerde besluitvorming. De eis om gegevens te wissen wanneer ze niet langer nodig zijn voor het met de gebruiker overeengekomen doel, tenzij anders overeengekomen met betrekking tot niet-persoonsgebonden gegevens, vormt een aanvulling op het recht op wissen van de betrokkene op grond van artikel 17 van Verordening (EU) 2016/679. Wanneer een derde een aanbieder van een gegevensbemiddelingsdienst is, zijn de waarborgen voor de betrokkene waarin Verordening (EU) 2022/868 voorziet, van toepassing. De derde partij mag de gegevens gebruiken om een nieuw en innovatief verbonden product of een gerelateerde dienst te ontwikkelen, maar niet om een concurrerend verbonden product te ontwikkelen.

(40) Startende ondernemingen, kleine ondernemingen, ondernemingen die overeenkomstig artikel 2 van de bijlage bij Aanbeveling 2003/361/EG als middelgrote onderneming kunnen worden aangemerkt en ondernemingen uit traditionele sectoren met minder ontwikkelde digitale capaciteiten hebben moeite om toegang te krijgen tot relevante gegevens. Deze verordening heeft tot doel de toegang tot gegevens voor deze entiteiten te vergemakkelijken en er tegelijkertijd voor te zorgen dat de overeenkomstige verplichtingen zo evenredig mogelijk zijn om een te grote reikwijdte te voorkomen. Tegelijkertijd is een klein aantal zeer grote ondernemingen ontstaan met aanzienlijke economische macht in de digitale economie door de accumulatie en aggregatie van enorme hoeveelheden gegevens en de technologische infrastructuur om deze te gelde te maken. Tot deze zeer grote ondernemingen behoren ondernemingen die kernplatformdiensten aanbieden en hele platformecosystemen in de digitale economie controleren en die bestaande of nieuwe marktdeelnemers niet kunnen uitdagen of betwisten. Verordening (EU) 2022/1925 van het Europees Parlement en de Raad (26 ) beoogt deze inefficiënties en onevenwichtigheden te corrigeren door de Commissie in staat te stellen een onderneming als "poortwachter" aan te wijzen, en legt deze poortwachters een aantal verplichtingen op, waaronder een verbod om bepaalde gegevens zonder toestemming te combineren en een verplichting om effectieve rechten op gegevensportabiliteit te waarborgen op grond van artikel 20 van Verordening (EU) 2016/679. In overeenstemming met Verordening (EU) nr. 2022/1925 en gezien de ongeëvenaarde mogelijkheden van deze ondernemingen om gegevens te verwerven, is het niet noodzakelijk om de doelstelling van deze verordening te verwezenlijken en zou het daarom onevenredig zijn om poortwachters op te nemen als begunstigden van het recht op toegang tot gegevens. Een dergelijke opname zou waarschijnlijk ook de voordelen van deze verordening voor kmo's beperken, die verband houden met de eerlijke verdeling van de waarde van gegevens over marktdeelnemers. Dit betekent dat een onderneming die kernplatformdiensten aanbiedt en die is aangewezen als poortwachter, geen toegang kan vragen of krijgen tot de gegevens van gebruikers die worden gegenereerd door het gebruik van een aangesloten product of een verbonden dienst of door een virtuele assistent overeenkomstig deze verordening. Bovendien mogen derden aan wie op verzoek van de gebruiker gegevens ter beschikking worden gesteld, deze gegevens niet ter beschikking stellen van een gatekeeper. De derde partij mag bijvoorbeeld de dienstverlening niet uitbesteden aan een poortwachter. Dit belet derden echter niet gebruik te maken van gegevensverwerkingsdiensten die door een gatekeeper worden aangeboden. Het belet deze ondernemingen evenmin om dezelfde gegevens via andere rechtmatige middelen te verkrijgen en te gebruiken. De toegangsrechten waarin deze verordening voorziet, dragen bij tot een ruimere keuze aan diensten voor de consument. Aangezien vrijwillige overeenkomsten tussen poortwachters en houders van gegevens onaangetast blijven, zou de beperking op het verlenen van toegang aan poortwachters hen niet uitsluiten van de markt of hen verhinderen hun diensten aan te bieden.

(41) Gezien de huidige stand van de technologie zou het voor micro-ondernemingen en kleine ondernemingen te belastend zijn om verdere ontwerpverplichtingen op te leggen met betrekking tot verbonden producten die door hen worden vervaardigd of ontworpen, of verbonden diensten die door hen worden verleend. Dit is echter niet het geval wanneer een micro-onderneming of een kleine onderneming een partneronderneming of een verbonden onderneming in de zin van artikel 3 van de bijlage bij Aanbeveling 2003/361/EG heeft die niet als micro-onderneming of kleine onderneming kan worden aangemerkt en die de vervaardiging of het ontwerp van een verbonden product of de verlening van een verbonden dienst uitbesteedt. In dergelijke situaties kan de onderneming die de fabricage of het ontwerp aan een micro-onderneming of een kleine onderneming heeft uitbesteed, de onderaannemer op passende wijze compenseren. Een micro-onderneming of een kleine onderneming kan niettemin worden onderworpen aan de in deze verordening vastgestelde voorschriften als houder van de gegevens wanneer zij niet de fabrikant van het verbonden product of een verlener van verbonden diensten is. Er moet een overgangsperiode gelden voor een onderneming die minder dan een jaar als middelgrote onderneming is gekwalificeerd en voor verbonden producten gedurende een jaar na de datum waarop zij door een middelgrote onderneming in de handel zijn gebracht. Een dergelijke periode van één jaar stelt een dergelijke middelgrote onderneming in staat zich aan te passen en voor te bereiden alvorens op de markt voor diensten concurrentie te ondervinden met betrekking tot de verbonden producten die zij vervaardigt op basis van de toegangsrechten waarin deze verordening voorziet. Een dergelijke overgangsperiode is niet van toepassing wanneer een dergelijke middelgrote onderneming een partneronderneming of een verbonden onderneming heeft die niet als micro-onderneming of kleine onderneming kan worden aangemerkt, of wanneer een dergelijke middelgrote onderneming het vervaardigen of ontwerpen van het verbonden product of het leveren van de verbonden dienst heeft uitbesteed.

(42) Rekening houdend met de verscheidenheid aan onderling verbonden producten die gegevens van verschillende aard, omvang en frequentie produceren, verschillende risico's voor gegevens en cyberbeveiliging met zich meebrengen en economische kansen van verschillende waarde bieden, en om te zorgen voor consistentie van de gegevensuitwisselingspraktijken op de interne markt, ook tussen sectoren, en om eerlijke gegevensuitwisselingspraktijken aan te moedigen en te bevorderen, zelfs op gebieden waar niet in een dergelijk recht op toegang tot gegevens is voorzien, voorziet deze verordening in horizontale regels voor de regelingen voor toegang tot gegevens telkens wanneer een houder van gegevens krachtens het recht van de Unie of krachtens nationale wetgeving die in overeenstemming met het recht van de Unie is vastgesteld, verplicht is gegevens beschikbaar te stellen aan een ontvanger van gegevens. Deze toegang moet worden gebaseerd op eerlijke, redelijke, niet-discriminerende en transparante voorwaarden. Deze algemene toegangsregels zijn niet van toepassing op verplichtingen om gegevens beschikbaar te stellen op grond van Verordening (EU) 2016/679. Vrijwillige gegevensuitwisseling blijft onaangetast door deze regels. De door de Commissie te ontwikkelen en aan te bevelen niet-bindende modelcontractvoorwaarden voor de uitwisseling van gegevens tussen bedrijven kunnen partijen helpen contracten te sluiten die eerlijke, redelijke en niet-discriminerende voorwaarden bevatten en die op transparante wijze moeten worden uitgevoerd. Het sluiten van contracten, die de niet-bindende modelcontractbepalingen kunnen omvatten, mag niet betekenen dat het recht om gegevens met derden te delen op enigerlei wijze afhankelijk is van het bestaan van een dergelijk contract. Mochten partijen er niet in slagen een contract over gegevensuitwisseling te sluiten, ook niet met de steun van organen voor geschillenbeslechting, dan is het recht om gegevens met derden uit te wisselen afdwingbaar voor nationale rechtbanken of tribunalen.

(43) Op basis van het beginsel van contractvrijheid dienen partijen de vrijheid te behouden om binnen het kader van de algemene toegangsregels voor het beschikbaar stellen van gegevens in hun contracten te onderhandelen over de precieze voorwaarden voor het beschikbaar stellen van gegevens. De voorwaarden van dergelijke contracten kunnen technische en organisatorische maatregelen omvatten, onder meer met betrekking tot gegevensbeveiliging.

(44) Teneinde te waarborgen dat de voorwaarden voor verplichte toegang tot gegevens billijk zijn voor beide partijen bij een overeenkomst, dienen de algemene regels betreffende het recht op toegang tot gegevens te verwijzen naar de regel betreffende het vermijden van oneerlijke bedingen in overeenkomsten.

(45) Alle in business-to-business-betrekkingen gesloten overeenkomsten voor de beschikbaarstelling van gegevens dienen niet-discriminerend te zijn tussen vergelijkbare categorieën ontvangers van gegevens, ongeacht of de partijen grote ondernemingen of kmo's zijn. Ter compensatie van het gebrek aan informatie over de voorwaarden in verschillende overeenkomsten, waardoor de ontvanger van de gegevens moeilijk kan beoordelen of de voorwaarden voor het beschikbaar stellen van de gegevens niet-discriminerend zijn, dient het de verantwoordelijkheid van de houders van de gegevens te zijn om aan te tonen dat een contractueel beding niet discriminerend is. Het is geen onwettige discriminatie wanneer een houder van gegevens verschillende contractuele voorwaarden voor de beschikbaarstelling van gegevens hanteert indien die verschillen door objectieve redenen worden gerechtvaardigd. Deze verplichtingen laten Verordening (EU) 2016/679 onverlet.

(46) Teneinde te bevorderen dat er geïnvesteerd blijft worden in het genereren en beschikbaar stellen van waardevolle gegevens, met inbegrip van investeringen in relevante technische instrumenten, en tegelijkertijd buitensporige lasten voor de toegang tot en het gebruik van gegevens te vermijden die het delen van gegevens commercieel niet langer haalbaar maken, is in deze verordening het beginsel opgenomen dat de houders van gegevens in business-to-businessbetrekkingen een redelijke vergoeding mogen vragen wanneer zij op grond van het recht van de Unie of nationale wetgeving die in overeenstemming met het recht van de Unie is vastgesteld, verplicht zijn gegevens beschikbaar te stellen aan een ontvanger van gegevens. Een dergelijke vergoeding mag niet worden beschouwd als een betaling voor de gegevens zelf. De Commissie dient richtsnoeren vast te stellen voor de berekening van een redelijke vergoeding in de gegevenseconomie.

(47) In de eerste plaats kan een redelijke vergoeding om te voldoen aan de verplichting krachtens het recht van de Unie of krachtens nationale wetgeving die in overeenstemming met het recht van de Unie is vastgesteld, om in te gaan op een verzoek om gegevens beschikbaar te stellen, een vergoeding omvatten voor de kosten die zijn gemaakt om de gegevens beschikbaar te stellen. Deze kosten kunnen technische kosten zijn, zoals de kosten die nodig zijn voor de reproductie, verspreiding langs elektronische weg en opslag van gegevens, maar niet voor het verzamelen of produceren van gegevens. Dergelijke technische kosten kunnen ook de verwerkingskosten omvatten die nodig zijn om de gegevens beschikbaar te stellen, met inbegrip van de kosten voor het opmaken van de gegevens. De kosten voor het beschikbaar stellen van gegevens kunnen ook de kosten omvatten voor het faciliteren van concrete verzoeken om gegevensuitwisseling. Ze kunnen ook variëren afhankelijk van het volume van de gegevens en de regelingen die zijn getroffen om de gegevens beschikbaar te stellen. Langetermijnafspraken tussen gegevenshouders en ontvangers van gegevens, bijvoorbeeld via een abonnementsmodel of het gebruik van slimme contracten, kunnen de kosten verlagen bij regelmatige of repetitieve transacties in een zakelijke relatie. De kosten voor het beschikbaar stellen van gegevens zijn specifiek voor een bepaald verzoek of worden gedeeld met andere verzoeken. In het laatste geval zou een enkele ontvanger van gegevens niet de volledige kosten van het beschikbaar stellen van de gegevens moeten betalen. Ten tweede mag een redelijke vergoeding ook een marge omvatten, behalve voor kmo's en onderzoeksorganisaties zonder winstoogmerk. Een marge kan variëren afhankelijk van factoren die verband houden met de gegevens zelf, zoals volume, formaat of aard van de gegevens. Er kan rekening worden gehouden met de kosten voor het verzamelen van de gegevens. Een marge kan daarom dalen wanneer de gegevenshouder de gegevens zonder aanzienlijke investeringen voor zijn eigen bedrijf heeft verzameld, of kan stijgen wanneer de investeringen in het verzamelen van gegevens voor het bedrijf van de gegevenshouder hoog zijn. De marge kan beperkt of zelfs uitgesloten zijn in situaties waarin het gebruik van de gegevens door de ontvanger geen invloed heeft op de eigen activiteiten van de gegevenshouder. Het feit dat de gegevens mede worden gegenereerd door een verbonden product dat eigendom is van de gebruiker of door hem wordt gehuurd of geleased, kan het compensatiebedrag ook verlagen in vergelijking met andere situaties waarin de gegevens worden gegenereerd door de gegevenshouder, bijvoorbeeld tijdens het verlenen van een verbonden dienst.

(48) Het is niet nodig tussenbeide te komen in het geval van gegevensuitwisseling tussen grote ondernemingen of wanneer de houder van de gegevens een kleine of middelgrote onderneming is en de ontvanger van de gegevens een grote onderneming. In dergelijke gevallen worden de ondernemingen geacht in staat te zijn over de vergoeding te onderhandelen binnen de grenzen van wat redelijk en niet-discriminerend is.

(49) Om kmo's te beschermen tegen buitensporige economische lasten die het voor hen commercieel te moeilijk zouden maken om innovatieve bedrijfsmodellen te ontwikkelen en toe te passen, mag de door hen te betalen redelijke vergoeding voor het beschikbaar stellen van gegevens niet hoger zijn dan de kosten die rechtstreeks verband houden met het beschikbaar stellen van de gegevens. Rechtstreeks gerelateerde kosten zijn de kosten die kunnen worden toegeschreven aan individuele verzoeken, rekening houdend met het feit dat de noodzakelijke technische interfaces of gerelateerde software en connectiviteit permanent door de houder van de gegevens moeten worden geïnstalleerd. Dezelfde regeling moet gelden voor onderzoeksorganisaties zonder winstoogmerk.

(50) In naar behoren gemotiveerde gevallen, onder meer wanneer de participatie van de consument en de mededinging moeten worden gewaarborgd of wanneer de innovatie op bepaalde markten moet worden bevorderd, kan in het Unierecht of in overeenkomstig het Unierecht vastgestelde nationale wetgeving worden voorzien in een gereglementeerde vergoeding voor het beschikbaar stellen van specifieke soorten gegevens.

(51) Transparantie is een belangrijk beginsel om ervoor te zorgen dat de door een gegevenshouder gevraagde vergoeding redelijk is of, indien de ontvanger van de gegevens een kmo of een onderzoeksorganisatie zonder winstoogmerk is, dat de vergoeding niet hoger is dan de kosten die rechtstreeks verband houden met het ter beschikking stellen van de gegevens aan de ontvanger van de gegevens en toerekenbaar zijn aan het desbetreffende individuele verzoek. Om ontvangers van gegevens in staat te stellen te beoordelen en te controleren of de vergoeding voldoet aan de eisen van deze verordening, dient de houder van de gegevens de ontvanger van de gegevens voldoende gedetailleerde informatie te verstrekken voor de berekening van de vergoeding.

(52) Het waarborgen van de toegang tot alternatieve manieren om binnenlandse en grensoverschrijdende geschillen op te lossen die ontstaan in verband met het beschikbaar stellen van gegevens, moet ten goede komen aan de houders en ontvangers van gegevens en daardoor het vertrouwen in gegevensuitwisseling versterken. Wanneer de partijen het niet eens kunnen worden over billijke, redelijke en niet-discriminerende voorwaarden voor het beschikbaar stellen van gegevens, moeten organen voor geschillenbeslechting de partijen een eenvoudige, snelle en goedkope oplossing bieden. Hoewel deze verordening alleen de voorwaarden vaststelt waaraan organen voor geschillenbeslechting moeten voldoen om te worden gecertificeerd, staat het de lidstaten vrij om specifieke regels voor de certificeringsprocedure vast te stellen, waaronder regels voor het vervallen of intrekken van de certificering. De bepalingen van deze verordening betreffende geschillenbeslechting mogen de lidstaten er niet toe verplichten organen voor geschillenbeslechting op te richten.

(53) De geschillenbeslechtingsprocedure in het kader van deze verordening is een vrijwillige procedure die gebruikers, houders en ontvangers van gegevens de mogelijkheid biedt overeen te komen hun geschillen aan geschillenbeslechtingsinstanties voor te leggen. Daarom moet het de partijen vrij staan zich tot een geschillenbeslechtingsorgaan van hun keuze te wenden, binnen of buiten de lidstaten waar die partijen gevestigd zijn.

(54) Om te voorkomen dat twee of meer organen voor geschillenbeslechting worden aangezocht voor hetzelfde geschil, met name in een grensoverschrijdende situatie, moet een orgaan voor geschillenbeslechting kunnen weigeren een verzoek om beslechting van een geschil dat al bij een ander orgaan voor geschillenbeslechting of bij een rechterlijke instantie van een lidstaat aanhangig is gemaakt, in behandeling te nemen.

(55) Teneinde de eenvormige toepassing van deze verordening te waarborgen, dienen de organen voor geschillenbeslechting rekening te houden met de door de Commissie op te stellen en aan te bevelen niet-bindende modelcontractbepalingen en met het recht van de Unie of het nationale recht waarin de verplichtingen inzake gegevensuitwisseling zijn gespecificeerd, of met de door de sectorale autoriteiten uitgevaardigde richtsnoeren voor de toepassing van dat recht.

(56) Partijen bij procedures voor geschillenbeslechting mogen niet worden belet hun grondrechten op een doeltreffende voorziening in rechte en op een onpartijdig gerecht uit te oefenen. Daarom mag de beslissing om een geschil aan een instantie voor geschillenbeslechting voor te leggen, die partijen niet het recht ontnemen verhaal te zoeken voor een rechterlijke instantie van een lidstaat. Organen voor geschillenbeslechting moeten jaarlijkse activiteitenverslagen openbaar maken.

(57) De houders van gegevens mogen passende technische beschermingsmaatregelen nemen om de onrechtmatige bekendmaking van of toegang tot gegevens te voorkomen. Deze maatregelen mogen echter geen onderscheid maken tussen ontvangers van gegevens en de toegang tot of het gebruik van gegevens voor gebruikers of ontvangers van gegevens niet belemmeren. In het geval van misbruik door een ontvanger van gegevens, zoals het misleiden van de houder van de gegevens door het verstrekken van onjuiste informatie met de bedoeling om de gegevens te gebruiken voor onwettige doeleinden, waaronder het ontwikkelen van een concurrerend verbonden product op basis van de gegevens, kan de houder van de gegevens en, indien van toepassing en indien zij niet dezelfde persoon zijn, de houder van het handelsgeheim of de gebruiker de derde partij of ontvanger van de gegevens verzoeken om zonder onnodige vertraging corrigerende of herstelmaatregelen te treffen. Dergelijke verzoeken, en met name verzoeken tot beëindiging van de productie, het aanbieden of het in de handel brengen van goederen, afgeleide gegevens of diensten, alsmede verzoeken tot beëindiging van de invoer, uitvoer, opslag of vernietiging van inbreukmakende goederen, moeten worden beoordeeld in het licht van hun evenredigheid ten opzichte van de belangen van de houder van de gegevens, de houder van het fabrieksgeheim of de gebruiker.

(58) Wanneer één partij in een sterkere onderhandelingspositie verkeert, bestaat het risico dat die partij die positie ten nadele van de andere contractpartij kan aanwenden bij de onderhandelingen over toegang tot gegevens, met als gevolg dat toegang tot gegevens commercieel minder haalbaar is en soms economisch onmogelijk wordt. Dergelijke contractuele onevenwichtigheden schaden alle ondernemingen die geen zinvolle mogelijkheid hebben om te onderhandelen over de voorwaarden voor toegang tot gegevens en die mogelijk geen andere keuze hebben dan het accepteren van take-it-or-leave-it contractvoorwaarden. Oneerlijke contractuele voorwaarden die de toegang tot en het gebruik van gegevens reguleren, of aansprakelijkheid en rechtsmiddelen voor de schending of de beëindiging van gegevensgerelateerde verplichtingen, mogen daarom niet bindend zijn voor ondernemingen wanneer die voorwaarden eenzijdig aan die ondernemingen zijn opgelegd.

(59) Regels inzake contractuele bedingen moeten rekening houden met het beginsel van contractuele vrijheid als een essentieel concept in relaties tussen ondernemingen. Daarom moeten niet alle contractuele bedingen aan een oneerlijkheidstoets worden onderworpen, maar alleen die bedingen die eenzijdig worden opgelegd. Dit betreft take-it-or-leave-it-situaties waarbij de ene partij een bepaalde contractvoorwaarde levert en de andere onderneming de inhoud van die voorwaarde niet kan beïnvloeden ondanks een poging om erover te onderhandelen. Een contractvoorwaarde die eenvoudigweg door de ene partij wordt verstrekt en door de andere onderneming wordt geaccepteerd of een voorwaarde waarover is onderhandeld en die vervolgens in gewijzigde vorm tussen de contracterende partijen is overeengekomen, mag niet worden beschouwd als eenzijdig opgelegd.

(60) Voorts dienen de regels betreffende oneerlijke bedingen in overeenkomsten alleen van toepassing te zijn op die onderdelen van een overeenkomst die verband houden met het beschikbaar stellen van gegevens, d.w.z. contractuele bedingen betreffende de toegang tot en het gebruik van de gegevens alsmede aansprakelijkheid of rechtsmiddelen in geval van schending en beëindiging van verplichtingen in verband met gegevens. Andere onderdelen van hetzelfde contract, die geen verband houden met het beschikbaar stellen van gegevens, dienen niet te worden onderworpen aan de oneerlijkheidstoets van deze verordening.

(61) Criteria voor het vaststellen van oneerlijke bedingen in overeenkomsten dienen alleen te worden toegepast op buitensporige bedingen waarbij misbruik is gemaakt van een sterkere onderhandelingspositie. De overgrote meerderheid van contractuele bedingen die commercieel gunstiger zijn voor de ene partij dan voor de andere, met inbegrip van bedingen die gebruikelijk zijn in overeenkomsten tussen ondernemingen, zijn een normale uitdrukking van het beginsel van contractvrijheid en blijven van toepassing. Voor de toepassing van deze verordening houdt een grove afwijking van goede handelspraktijken onder meer in dat de partij aan wie het beding eenzijdig is opgelegd, objectief wordt beperkt in haar mogelijkheden om haar rechtmatige commerciële belang bij de gegevens in kwestie te beschermen.

(62) Met het oog op de rechtszekerheid bevat deze verordening een lijst van bedingen die altijd als oneerlijk worden beschouwd en een lijst van bedingen die als oneerlijk worden beschouwd. In het laatste geval moet de onderneming die het contractuele beding oplegt, het vermoeden van oneerlijkheid kunnen weerleggen door aan te tonen dat het in deze verordening genoemde contractuele beding in het specifieke geval in kwestie niet oneerlijk is. Indien een contractueel beding niet is opgenomen in de lijst van bedingen die altijd als oneerlijk worden beschouwd of die verondersteld worden oneerlijk te zijn, is de algemene bepaling inzake oneerlijkheid van toepassing. In dat opzicht moeten de bedingen die in deze verordening als oneerlijke bedingen in overeenkomsten zijn opgenomen, dienen als maatstaf voor de interpretatie van de algemene bepaling inzake oneerlijkheid. Ten slotte kunnen niet-bindende modelcontractbepalingen voor business-to-business gegevensuitwisselingscontracten, die door de Commissie zullen worden ontwikkeld en aanbevolen, ook nuttig zijn voor commerciële partijen bij de onderhandelingen over contracten. Als een contractueel beding oneerlijk wordt verklaard, moet het betrokken contract zonder dat beding van toepassing blijven, tenzij het oneerlijke contractuele beding niet scheidbaar is van de andere bedingen van het contract.

(63) In situaties van uitzonderlijke noodzaak kan het voor openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie noodzakelijk zijn om bij de uitvoering van hun wettelijke taken in het algemeen belang gebruik te maken van bestaande gegevens, met inbegrip van, in voorkomend geval, begeleidende metagegevens, om te reageren op openbare noodsituaties of in andere uitzonderlijke gevallen. Uitzonderlijke behoeften zijn omstandigheden die onvoorspelbaar en van beperkte duur zijn, in tegenstelling tot andere omstandigheden die gepland, gepland, periodiek of frequent kunnen zijn. Hoewel het begrip "houder van gegevens" over het algemeen geen overheidsinstanties omvat, kan het wel overheidsbedrijven omvatten. Organisaties die onderzoek uitvoeren en organisaties die onderzoek financieren zouden ook kunnen worden georganiseerd als organen van de publieke sector of publiekrechtelijke instellingen. Om de lasten voor het bedrijfsleven te beperken, mogen micro-ondernemingen en kleine ondernemingen alleen worden verplicht gegevens te verstrekken aan openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie in situaties van buitengewone noodzaak, wanneer deze gegevens nodig zijn om te reageren op een noodsituatie en het openbare lichaam, de Commissie, de Europese Centrale Bank of het orgaan van de Unie deze gegevens niet op een andere wijze tijdig en doeltreffend onder gelijkwaardige voorwaarden kan verkrijgen.

(64) In het geval van openbare noodsituaties, zoals noodsituaties op het gebied van de volksgezondheid, noodsituaties die het gevolg zijn van natuurrampen, waaronder die welke worden verergerd door klimaatverandering en aantasting van het milieu, en door de mens veroorzaakte grote rampen, zoals ernstige cyberbeveiligingsincidenten, weegt het algemeen belang dat voortvloeit uit het gebruik van de gegevens zwaarder dan het belang van de houders van de gegevens om vrij te beschikken over de gegevens waarover zij beschikken. In een dergelijk geval dienen de houders van de gegevens verplicht te worden de gegevens op hun verzoek beschikbaar te stellen aan openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie. Het bestaan van een noodsituatie dient te worden vastgesteld of afgekondigd overeenkomstig het recht van de Unie of het nationale recht en op basis van de relevante procedures, met inbegrip van die van de relevante internationale organisaties. In dergelijke gevallen moet het openbare lichaam aantonen dat de gegevens waarop het verzoek betrekking heeft, niet anderszins tijdig, doeltreffend en onder gelijkwaardige voorwaarden kunnen worden verkregen, bijvoorbeeld door vrijwillige verstrekking van gegevens door een andere onderneming of door raadpleging van een openbare databank.

(65) Een uitzonderlijke behoefte kan ook voortvloeien uit niet-spoedeisende situaties. In dergelijke gevallen dient het een openbaar lichaam, de Commissie, de Europese Centrale Bank of een orgaan van de Unie te zijn toegestaan uitsluitend niet-persoonsgebonden gegevens op te vragen. Het openbare lichaam moet aantonen dat de gegevens noodzakelijk zijn voor de vervulling van een specifieke taak van algemeen belang waarin de wet uitdrukkelijk voorziet, zoals de productie van officiële statistieken of de beperking van of het herstel na een noodsituatie. Bovendien kan een dergelijk verzoek alleen worden gedaan wanneer het openbare lichaam, de Commissie, de Europese Centrale Bank of een orgaan van de Unie specifieke gegevens heeft geïdentificeerd die anders niet tijdig en doeltreffend onder gelijkwaardige voorwaarden zouden kunnen worden verkregen, en alleen wanneer alle andere middelen waarover het beschikt om dergelijke gegevens te verkrijgen, zijn uitgeput, zoals het verkrijgen van de gegevens door middel van vrijwillige overeenkomsten, met inbegrip van de aankoop van niet-persoonsgebonden gegevens op de markt door middel van het aanbieden van markttarieven, of door een beroep te doen op bestaande verplichtingen om gegevens beschikbaar te stellen of de aanneming van nieuwe wetgevende maatregelen die de tijdige beschikbaarheid van gegevens zouden kunnen waarborgen. De voorwaarden en beginselen voor verzoeken, zoals doelbinding, evenredigheid, transparantie en beperking in de tijd, moeten ook van toepassing zijn. Bij verzoeken om gegevens die nodig zijn voor de productie van officiële statistieken, moet het verzoekende openbare lichaam ook aantonen of de nationale wetgeving het toestaat niet-persoonsgebonden gegevens op de markt te kopen.

(66) Deze verordening dient niet van toepassing te zijn op, of vooruit te lopen op, vrijwillige regelingen voor de uitwisseling van gegevens tussen particuliere en openbare entiteiten, met inbegrip van de verstrekking van gegevens door kmo's, en laat rechtshandelingen van de Unie onverlet die voorzien in verplichte informatieverzoeken van openbare entiteiten aan particuliere entiteiten. Deze verordening dient geen afbreuk te doen aan verplichtingen van houders van gegevens om gegevens te verstrekken die zijn ingegeven door behoeften van niet-uitzonderlijke aard, met name wanneer de reeks gegevens en de houders van de gegevens bekend is of wanneer het gebruik van gegevens op regelmatige basis kan plaatsvinden, zoals in het geval van rapportageverplichtingen en verplichtingen betreffende de interne markt. Deze verordening dient evenmin afbreuk te doen aan eisen inzake toegang tot gegevens om de naleving van toepasselijke regels te controleren, ook wanneer openbare lichamen de taak van de controle op de naleving aan andere entiteiten dan openbare lichamen toevertrouwen.

(67) Deze verordening vormt een aanvulling op en doet geen afbreuk aan het recht van de Unie en het nationale recht dat voorziet in toegang tot en gebruik van gegevens voor statistische doeleinden, met name Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad (27 ) en nationale rechtshandelingen met betrekking tot officiële statistieken.

(68) Voor de uitoefening van hun taken op het gebied van preventie, onderzoek, opsporing en vervolging van strafrechtelijke of administratieve inbreuken of de tenuitvoerlegging van strafrechtelijke en administratieve sancties, alsmede voor het verzamelen van gegevens voor belasting- of douanedoeleinden, dienen overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie zich te baseren op hun bevoegdheden op grond van de wetgeving van de Unie of de nationale wetgeving. Deze verordening laat derhalve de wetgevingshandelingen betreffende het delen van, de toegang tot en het gebruik van gegevens op die gebieden onverlet.

(69) Overeenkomstig artikel 6, leden 1 en 3, van Verordening (EU) 2016/679 is een evenredig, beperkt en voorspelbaar kader op het niveau van de Unie noodzakelijk bij het vaststellen van de rechtsgrondslag voor de beschikbaarstelling van gegevens door gegevenshouders, in gevallen van buitengewone behoeften, aan openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie, zowel om rechtszekerheid te waarborgen als om de administratieve lasten voor ondernemingen tot een minimum te beperken. Daartoe moeten verzoeken van overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie aan houders van gegevens specifiek, transparant en evenredig zijn wat betreft de reikwijdte van de inhoud en de mate van granulariteit. Het doel van het verzoek en het beoogde gebruik van de gevraagde gegevens moeten specifiek zijn en duidelijk worden toegelicht, waarbij de verzoekende entiteit de nodige flexibiliteit moet worden gelaten om haar specifieke taken in het algemeen belang uit te voeren. Het verzoek moet ook de legitieme belangen respecteren van de houder van de gegevens aan wie het verzoek wordt gericht. De last voor de houders van gegevens moet tot een minimum worden beperkt door verzoekende entiteiten te verplichten het eenmaligheidsbeginsel in acht te nemen, dat voorkomt dat dezelfde gegevens meer dan eens worden opgevraagd door meer dan één openbare instantie of door de Commissie, de Europese Centrale Bank of organen van de Unie. Met het oog op transparantie moeten verzoeken van de Commissie, de Europese Centrale Bank of organen van de Unie om gegevens zonder onnodige vertraging openbaar worden gemaakt door de entiteit die om de gegevens verzoekt. De Europese Centrale Bank en de organen van de Unie dienen de Commissie van hun verzoeken in kennis te stellen. Indien het verzoek om gegevens is gedaan door een openbaar lichaam, dient dat lichaam ook de gegevenscoördinator van de lidstaat waar het openbare lichaam is gevestigd, op de hoogte te stellen. Alle verzoeken moeten online beschikbaar zijn voor het publiek. Na ontvangst van een kennisgeving van een gegevensverzoek kan de bevoegde autoriteit besluiten de rechtmatigheid van het verzoek te beoordelen en haar taken in verband met de handhaving en toepassing van deze verordening uit te oefenen. De gegevenscoördinator moet ervoor zorgen dat alle verzoeken van openbare lichamen online beschikbaar zijn voor het publiek.

(70) Het doel van de verplichting om de gegevens te verstrekken is ervoor te zorgen dat openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie over de nodige kennis beschikken om te reageren op noodsituaties, deze te voorkomen of zich daarvan te herstellen, of om de capaciteit in stand te houden om specifieke taken uit te voeren waarin uitdrukkelijk bij wet is voorzien. De door deze entiteiten verkregen gegevens kunnen commercieel gevoelig zijn. Daarom mogen noch Verordening (EU) 2022/868 noch Richtlijn (EU) 2019/1024 van het Europees Parlement en de Raad (28 ) van toepassing zijn op gegevens die krachtens deze verordening beschikbaar worden gesteld en mogen zij niet worden beschouwd als open gegevens die beschikbaar zijn voor hergebruik door derden. Dit mag echter geen invloed hebben op de toepasselijkheid van Richtlijn (EU) 2019/1024 op het hergebruik van officiële statistieken voor de productie waarvan krachtens deze verordening verkregen gegevens zijn gebruikt, mits het hergebruik geen betrekking heeft op de onderliggende gegevens. Bovendien mag geen afbreuk worden gedaan aan de mogelijkheid om de gegevens te delen voor het uitvoeren van onderzoek of voor de ontwikkeling, productie en verspreiding van officiële statistieken, mits aan de voorwaarden van deze verordening is voldaan. Openbare lichamen moeten ook gegevens die krachtens deze verordening zijn verkregen, kunnen uitwisselen met andere openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie om te voorzien in de uitzonderlijke behoeften waarvoor de gegevens zijn gevraagd.

(71) De houders van gegevens dienen de mogelijkheid te hebben een verzoek van een overheidsorgaan, de Commissie, de Europese Centrale Bank of een orgaan van de Unie af te wijzen of te verzoeken het zonder onnodige vertraging en in elk geval niet later dan binnen een termijn van vijf of dertig werkdagen, afhankelijk van de aard van de in het verzoek aangevoerde uitzonderlijke noodzaak, te wijzigen. In voorkomend geval dient de houder van de gegevens over deze mogelijkheid te beschikken wanneer hij geen controle heeft over de gevraagde gegevens, dat wil zeggen wanneer hij niet onmiddellijk toegang heeft tot de gegevens en de beschikbaarheid ervan niet kan vaststellen. Er dient sprake te zijn van een geldige reden om de gegevens niet beschikbaar te stellen indien kan worden aangetoond dat het verzoek vergelijkbaar is met een eerder ingediend verzoek voor hetzelfde doel van een ander overheidsorgaan of de Commissie, de Europese Centrale Bank of een orgaan van de Unie en de houder van de gegevens niet in kennis is gesteld van het wissen van de gegevens overeenkomstig deze verordening. Een houder van gegevens die het verzoek afwijst of om wijziging ervan verzoekt, dient het openbare lichaam, de Commissie, de Europese Centrale Bank of een orgaan van de Unie dat om de gegevens verzoekt, in kennis te stellen van de onderliggende rechtvaardiging. Indien de rechten sui generis van Richtlijn 96/9/EG van het Europees Parlement en de Raad (29 ) van toepassing zijn op de gevraagde gegevensreeksen, dienen de houders van de gegevens hun rechten zodanig uit te oefenen dat het openbare lichaam, de Commissie, de Europese Centrale Bank of een orgaan van de Unie niet wordt belet de gegevens te verkrijgen of te delen overeenkomstig deze verordening.

(72) In het geval van een uitzonderlijke behoefte in verband met een noodsituatie moeten openbare lichamen waar mogelijk niet-persoonsgebonden gegevens gebruiken. Bij verzoeken op grond van een uitzonderlijke behoefte die geen verband houdt met een noodsituatie kunnen geen persoonsgegevens worden gevraagd. Wanneer persoonsgegevens binnen de reikwijdte van het verzoek vallen, moet de houder van de gegevens de gegevens anonimiseren. Wanneer het strikt noodzakelijk is om persoonsgegevens op te nemen in de gegevens die ter beschikking moeten worden gesteld van een overheidsorgaan, de Commissie, de Europese Centrale Bank of een orgaan van de Unie of wanneer anonimisering onmogelijk blijkt, moet de entiteit die om de gegevens verzoekt, de strikte noodzaak en de specifieke en beperkte doeleinden van de verwerking aantonen. De toepasselijke regels inzake de bescherming van persoonsgegevens moeten worden nageleefd. Het beschikbaar stellen van de gegevens en het daaropvolgende gebruik ervan moeten gepaard gaan met waarborgen voor de rechten en belangen van de personen op wie deze gegevens betrekking hebben.

(73) Gegevens die op grond van een uitzonderlijke behoefte aan openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie ter beschikking zijn gesteld, dienen uitsluitend te worden gebruikt voor de doeleinden waarvoor zij werden opgevraagd, tenzij de houder van de gegevens die de gegevens ter beschikking heeft gesteld, uitdrukkelijk heeft ingestemd met het gebruik van de gegevens voor andere doeleinden. De gegevens dienen te worden gewist zodra ze niet langer nodig zijn voor de in het verzoek vermelde doeleinden, tenzij anders overeengekomen, en de houder van de gegevens dient daarvan in kennis te worden gesteld. Deze verordening bouwt voort op de bestaande toegangsregelingen in de Unie en de lidstaten en houdt geen wijziging in van de nationale wetgeving inzake de toegang van het publiek tot documenten in het kader van de transparantieverplichtingen. Gegevens moeten worden gewist zodra ze niet langer nodig zijn om aan dergelijke transparantieverplichtingen te voldoen.

(74) Wanneer openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie door gegevenshouders verstrekte gegevens hergebruiken, dienen zij zowel het bestaande toepasselijke recht van de Unie of de lidstaten als de contractuele verplichtingen waaraan de gegevenshouder is onderworpen, in acht te nemen. Zij dienen zich te onthouden van de ontwikkeling of verbetering van een verbonden product of een verbonden dienst die concurreert met het verbonden product of de verbonden dienst van de gegevenshouder, alsook van het delen van de gegevens met een derde voor die doeleinden. Ze moeten ook publiekelijk erkenning geven aan de gegevenshouders op hun verzoek en moeten verantwoordelijk zijn voor de beveiliging van de ontvangen gegevens. Wanneer de bekendmaking van bedrijfsgeheimen van de gegevenshouder aan openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie strikt noodzakelijk is voor het doel waarvoor de gegevens zijn gevraagd, dient de vertrouwelijkheid van die bekendmaking te worden gewaarborgd voordat de gegevens worden bekendgemaakt.

(75) Wanneer de bescherming van een belangrijk openbaar goed op het spel staat, zoals bij het reageren op noodsituaties, mag van het betrokken openbare lichaam, de Commissie, de Europese Centrale Bank of het orgaan van de Unie niet worden verwacht dat zij ondernemingen vergoeden voor de verkregen gegevens. Openbare noodsituaties zijn zeldzame gebeurtenissen en niet al deze noodsituaties vereisen het gebruik van gegevens waarover ondernemingen beschikken. Tegelijkertijd kan de verplichting om gegevens te verstrekken een aanzienlijke last vormen voor micro-ondernemingen en kleine ondernemingen. Zij moeten daarom compensatie kunnen eisen, zelfs in het kader van een reactie op een noodsituatie. De bedrijfsactiviteiten van de houders van de gegevens zullen daarom waarschijnlijk niet negatief worden beïnvloed doordat de openbare lichamen, de Commissie, de Europese Centrale Bank of de organen van de Unie een beroep doen op deze verordening. Aangezien gevallen van uitzonderlijke noodzaak, met uitzondering van gevallen waarin moet worden gereageerd op een noodsituatie, echter vaker kunnen voorkomen, dienen de houders van gegevens in dergelijke gevallen recht te hebben op een redelijke vergoeding die niet hoger mag zijn dan de technische en organisatorische kosten om aan het verzoek te voldoen en de redelijke marge die nodig is om de gegevens beschikbaar te stellen aan het openbare lichaam, de Commissie, de Europese Centrale Bank of het orgaan van de Unie. De vergoeding mag niet worden beschouwd als een betaling voor de gegevens zelf of als een verplichting. Gegevenshouders mogen geen compensatie kunnen eisen wanneer de nationale wetgeving nationale bureaus voor de statistiek of andere nationale instanties die verantwoordelijk zijn voor de productie van statistieken, verbiedt gegevenshouders te compenseren voor het beschikbaar stellen van gegevens. Het betrokken overheidsorgaan, de Commissie, de Europese Centrale Bank of het orgaan van de Unie moet de hoogte van de door de gegevenshouder gevraagde vergoeding kunnen aanvechten door de zaak voor te leggen aan de bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.

(76) Een openbaar lichaam, de Commissie, de Europese Centrale Bank of een orgaan van de Unie dient gerechtigd te zijn de gegevens die het op grond van het verzoek heeft verkregen, met andere entiteiten of personen te delen wanneer dit noodzakelijk is voor de uitvoering van wetenschappelijk onderzoek of analytische activiteiten die het zelf niet kan verrichten, mits deze activiteiten verenigbaar zijn met het doel waarvoor de gegevens werden opgevraagd. Zij dient de houder van de gegevens tijdig op de hoogte te stellen van een dergelijke uitwisseling. Dergelijke gegevens mogen onder dezelfde omstandigheden ook worden gedeeld met de nationale bureaus voor de statistiek en Eurostat voor de ontwikkeling, productie en verspreiding van officiële statistieken. Dergelijke onderzoeksactiviteiten moeten echter verenigbaar zijn met het doel waarvoor de gegevens zijn opgevraagd en de gegevenshouder moet worden geïnformeerd over het verder delen van de door hem verstrekte gegevens. Personen die onderzoek doen of onderzoeksorganisaties waarmee deze gegevens kunnen worden gedeeld, moeten handelen zonder winstoogmerk of in het kader van een taak van algemeen belang die door de staat is erkend. Organisaties waarop commerciële ondernemingen een aanzienlijke invloed hebben, waardoor deze ondernemingen controle kunnen uitoefenen als gevolg van structurele situaties die kunnen leiden tot preferentiële toegang tot de resultaten van het onderzoek, dienen voor de toepassing van deze verordening niet als onderzoeksinstellingen te worden beschouwd.

(77) Teneinde het hoofd te bieden aan een grensoverschrijdende noodsituatie of aan een andere buitengewone behoefte, kunnen verzoeken om gegevens worden gericht aan houders van gegevens in andere lidstaten dan die van het verzoekende openbare lichaam. In dat geval dient het verzoekende openbare lichaam de bevoegde autoriteit van de lidstaat waar de houder van de gegevens is gevestigd, daarvan in kennis te stellen, zodat deze het verzoek kan toetsen aan de in deze verordening vastgestelde criteria. Hetzelfde geldt voor verzoeken van de Commissie, de Europese Centrale Bank of een orgaan van de Unie. Wanneer om persoonsgegevens wordt verzocht, dient het openbare lichaam de toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de toepassing van Verordening (EU) 2016/679 in de lidstaat waar het openbare lichaam is gevestigd, daarvan in kennis te stellen. De betrokken bevoegde autoriteit dient gerechtigd te zijn het openbare lichaam, de Commissie, de Europese Centrale Bank of het orgaan van de Unie te adviseren samen te werken met de openbare lichamen van de lidstaat waar de houder van de gegevens is gevestigd, met betrekking tot de noodzaak ervoor te zorgen dat de administratieve lasten voor de houder van de gegevens tot een minimum worden beperkt. Wanneer de bevoegde autoriteit gegronde bezwaren heeft wat de overeenstemming van het verzoek met deze verordening betreft, dient zij het verzoek van het openbare lichaam, de Commissie, de Europese Centrale Bank of het orgaan van de Unie af te wijzen, dat rekening dient te houden met deze bezwaren alvorens verdere maatregelen te nemen, waaronder het opnieuw indienen van het verzoek.

(78) De mogelijkheid voor afnemers van gegevensverwerkingsdiensten, waaronder cloud- en edge-diensten, om over te schakelen van de ene gegevensverwerkingsdienst naar de andere met behoud van een minimale functionaliteit van de dienst en zonder onderbreking van de dienstverlening, of om de diensten van verschillende aanbieders tegelijkertijd te gebruiken zonder onnodige belemmeringen en kosten voor gegevensoverdracht, is een essentiële voorwaarde voor een meer concurrerende markt met lagere toetredingsdrempels voor nieuwe aanbieders van gegevensverwerkingsdiensten, en voor het waarborgen van verdere veerkracht voor de gebruikers van deze diensten. Afnemers die profiteren van "free-tier"-aanbiedingen moeten ook kunnen profiteren van de bepalingen voor het veranderen van aanbieder die in deze verordening zijn vastgelegd, zodat deze aanbiedingen niet leiden tot een "lock-in"-situatie voor afnemers.

(79) Verordening (EU) 2018/1807 van het Europees Parlement en de Raad (30 ) moedigt aanbieders van gegevensverwerkingsdiensten aan om zelfregulerende gedragscodes te ontwikkelen en effectief toe te passen die beste praktijken omvatten voor onder meer het vergemakkelijken van het veranderen van aanbieder van gegevensverwerkingsdiensten en het overdragen van gegevens. Gezien de beperkte toepassing van de zelfreguleringskaders die in reactie hierop zijn ontwikkeld, en de algemene onbeschikbaarheid van open normen en interfaces, is het noodzakelijk een reeks wettelijke minimumverplichtingen voor aanbieders van gegevensverwerkingsdiensten vast te stellen om precommerciële, commerciële, technische, contractuele en organisatorische belemmeringen weg te nemen, die niet beperkt blijven tot een verminderde snelheid van gegevensoverdracht bij het vertrek van de klant, en die een doeltreffende overstap tussen gegevensverwerkingsdiensten in de weg staan.

(80) Gegevensverwerkingsdiensten moeten diensten omvatten die alomtegenwoordige netwerktoegang op verzoek tot een configureerbare, schaalbare en elastische gedeelde pool van gedistribueerde computerhulpbronnen mogelijk maken. Deze computermiddelen omvatten middelen zoals netwerken, servers of andere virtuele of fysieke infrastructuur, software, met inbegrip van softwareontwikkelingsinstrumenten, opslag, toepassingen en diensten. Het vermogen van de klant van de gegevensverwerkingsdienst om eenzijdig zelf computermogelijkheden beschikbaar te stellen, zoals servertijd of netwerkopslag, zonder enige menselijke interactie door de aanbieder van gegevensverwerkingsdiensten, kan worden omschreven als een dienst die minimale beheerinspanning vereist en minimale interactie tussen aanbieder en klant met zich meebrengt. De term 'alomtegenwoordig' wordt gebruikt om de rekenmogelijkheden te beschrijven die via het netwerk worden aangeboden en toegankelijk zijn via mechanismen die het gebruik van heterogene thin of thick client platforms bevorderen (van webbrowsers tot mobiele apparaten en werkstations). De term 'schaalbaar' verwijst naar computermiddelen die flexibel worden toegewezen door de leverancier van gegevensverwerkingsdiensten, ongeacht de geografische locatie van de middelen, om schommelingen in de vraag op te vangen. De term "elastisch" wordt gebruikt om die computerbronnen te beschrijven die worden geleverd en vrijgegeven op basis van de vraag om de beschikbare bronnen snel te verhogen of te verlagen, afhankelijk van de werklast. De term "gedeelde pool" wordt gebruikt om die IT-middelen te beschrijven die ter beschikking worden gesteld van meerdere gebruikers die een gemeenschappelijke toegang tot de dienst hebben, maar waarbij de verwerking voor elke gebruiker afzonderlijk wordt uitgevoerd, hoewel de dienst vanaf dezelfde elektronische apparatuur wordt geleverd. De term "gedistribueerd" wordt gebruikt om die computerbronnen te beschrijven die zich op verschillende netwerkcomputers of -apparaten bevinden en die onderling communiceren en coördineren door berichten door te geven. De term "sterk gedistribueerd" wordt gebruikt om gegevensverwerkingsdiensten te beschrijven waarbij de gegevensverwerking dichter bij de plaats plaatsvindt waar de gegevens worden gegenereerd of verzameld, bijvoorbeeld in een aangesloten gegevensverwerkingsapparaat. Edge computing, een vorm van dergelijke hooggedistribueerde gegevensverwerking, zal naar verwachting nieuwe bedrijfsmodellen en modellen voor de levering van clouddiensten genereren, die vanaf het begin open en interoperabel moeten zijn.

(81) Het algemene concept "gegevensverwerkingsdiensten" omvat een aanzienlijk aantal diensten met een zeer breed scala aan verschillende doeleinden, functionaliteiten en technische configuraties. Zoals algemeen begrepen door aanbieders en gebruikers en in overeenstemming met algemeen gebruikte normen, vallen gegevensverwerkingsdiensten onder een of meer van de volgende drie modellen voor de levering van gegevensverwerkingsdiensten, namelijk Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS). Deze leveringsmodellen vertegenwoordigen een specifieke, voorverpakte combinatie van ICT-middelen die worden aangeboden door een leverancier van gegevensverwerkingsdiensten. Deze drie fundamentele leveringsmodellen voor gegevensverwerking worden verder aangevuld met opkomende varianten, die elk bestaan uit een andere combinatie van ICT-middelen, zoals Storage as a Service en Database as a Service. Gegevensverwerkingsdiensten kunnen op een meer granulaire manier worden gecategoriseerd en onderverdeeld in een niet-uitputtende lijst van reeksen gegevensverwerkingsdiensten die dezelfde primaire doelstelling en belangrijkste functionaliteiten delen, evenals hetzelfde type gegevensverwerkingsmodellen, die geen verband houden met de operationele kenmerken van de dienst (hetzelfde diensttype). Diensten die onder hetzelfde servicetype vallen, kunnen hetzelfde gegevensverwerkingsmodel hebben, maar twee databases kunnen dezelfde primaire doelstelling lijken te hebben, maar na afweging van hun gegevensverwerkingsmodel, distributiemodel en de gebruiksgevallen waarop ze gericht zijn, kunnen deze databases in een meer granulaire subcategorie van vergelijkbare diensten vallen. Diensten van hetzelfde type dienst kunnen verschillende en concurrerende kenmerken hebben, zoals prestaties, beveiliging, veerkracht en kwaliteit van de dienst.

(82) Het ondermijnen van de extractie van de exporteerbare gegevens van de klant bij de bronaanbieder van gegevensverwerkingsdiensten kan het herstel van de servicefuncties in de infrastructuur van de bestemmingsaanbieder van gegevensverwerkingsdiensten belemmeren. Om de exitstrategie van de klant te vergemakkelijken, onnodige en omslachtige taken te vermijden en ervoor te zorgen dat de klant geen gegevens verliest als gevolg van het overschakelingsproces, dient de bronaanbieder van gegevensverwerkingsdiensten de klant vooraf te informeren over de omvang van de gegevens die kunnen worden geëxporteerd zodra de klant besluit over te stappen op een andere dienst van een andere aanbieder van gegevensverwerkingsdiensten of over te stappen op een on-premises ICT-infrastructuur. De omvang van de exporteerbare gegevens dient minimaal de input- en outputgegevens te omvatten, met inbegrip van metadata, die direct of indirect worden gegenereerd, of gezamenlijk worden gegenereerd, door het gebruik van de gegevensverwerkingsdienst door de klant, met uitzondering van activa of gegevens van de aanbieder van gegevensverwerkingsdiensten of een derde partij. De exporteerbare gegevens dienen alle activa of gegevens van de aanbieder van gegevensverwerkingsdiensten of van de derde partij uit te sluiten die worden beschermd door intellectuele-eigendomsrechten of die bedrijfsgeheimen van die aanbieder of van die derde partij vormen, of gegevens met betrekking tot de integriteit en de beveiliging van de dienst, waarvan de export de aanbieders van gegevensverwerkingsdiensten blootstelt aan kwetsbaarheden op het gebied van cyberbeveiliging. Deze vrijstellingen mogen het overschakelingsproces niet belemmeren of vertragen.

(83) Digitale activa hebben betrekking op elementen in digitale vorm waarvoor de klant het gebruiksrecht heeft, met inbegrip van applicaties en metadata met betrekking tot de configuratie van instellingen, beveiliging en beheer van toegangs- en controlerechten, en andere elementen zoals manifestaties van virtualisatietechnologieën, met inbegrip van virtuele machines en containers. Digitale activa kunnen worden overgedragen als de klant het gebruiksrecht heeft onafhankelijk van de contractuele relatie met de gegevensverwerkingsdienst waar hij van wil overstappen. Deze andere elementen zijn essentieel voor het effectieve gebruik van de gegevens en toepassingen van de klant in de omgeving van de bestemmingsaanbieder van gegevensverwerkingsdiensten.

(84) Deze verordening heeft tot doel het overstappen tussen gegevensverwerkingsdiensten te vergemakkelijken, hetgeen de voorwaarden en acties omvat die een klant nodig heeft om een contract voor een gegevensverwerkingsdienst te beëindigen, een of meer nieuwe contracten te sluiten met verschillende aanbieders van gegevensverwerkingsdiensten, zijn exporteerbare gegevens en digitale activa over te dragen en, indien van toepassing, te profiteren van functionele gelijkwaardigheid.

(85) Overstappen is een door de klant gestuurde operatie die bestaat uit verschillende stappen, waaronder gegevensextractie, waarmee het downloaden van gegevens uit het ecosysteem van de bronaanbieder van gegevensverwerkingsdiensten wordt bedoeld; transformatie, waarbij de gegevens gestructureerd zijn op een manier die niet overeenkomt met het schema van de doellocatie; en het uploaden van de gegevens naar een nieuwe doellocatie. In een specifieke situatie die in deze verordening wordt beschreven, moet het loskoppelen van een bepaalde dienst van het contract en het overbrengen ervan naar een andere aanbieder ook als een overstap worden beschouwd. Het overstapproces wordt soms namens de klant beheerd door een derde partij. Derhalve dienen alle rechten en plichten van de klant die in deze verordening zijn vastgesteld, met inbegrip van de verplichting te goeder trouw samen te werken, te worden geacht in die omstandigheden op een dergelijke derde entiteit van toepassing te zijn. Aanbieders van gegevensverwerkingsdiensten en afnemers hebben verschillende niveaus van verantwoordelijkheden, afhankelijk van de stappen van het proces waarnaar wordt verwezen. De bronaanbieder van gegevensverwerkingsdiensten is bijvoorbeeld verantwoordelijk voor het extraheren van de gegevens naar een machinaal leesbaar formaat, maar het zijn de klant en de bestemmingsaanbieder van gegevensverwerkingsdiensten die de gegevens moeten uploaden naar de nieuwe omgeving, tenzij een specifieke professionele overgangsdienst is verkregen. Een klant die van plan is de in deze verordening vastgestelde rechten in verband met de overstap uit te oefenen, moet de bronaanbieder van gegevensverwerkingsdiensten op de hoogte brengen van zijn beslissing om over te stappen naar een andere aanbieder van gegevensverwerkingsdiensten, over te stappen op een on-premise ICT-infrastructuur of de activa van de klant te wissen en zijn exporteerbare gegevens te wissen.

(86) Functionele gelijkwaardigheid: het opnieuw tot stand brengen, op basis van de exporteerbare gegevens en digitale activa van de klant, van een minimaal functionaliteitsniveau in de omgeving van een nieuwe gegevensverwerkingsdienst van hetzelfde type dienst na de overstap, waarbij de gegevensverwerkingsdienst van bestemming een in wezen vergelijkbaar resultaat levert als antwoord op dezelfde input voor gedeelde kenmerken die krachtens het contract aan de klant worden geleverd. Van aanbieders van gegevensverwerkingsdiensten kan alleen worden verwacht dat zij functionele gelijkwaardigheid bevorderen voor de functies die de bron- en bestemmingsgegevensverwerkingsdiensten onafhankelijk aanbieden. Deze verordening houdt geen verplichting in om functionele gelijkwaardigheid te faciliteren voor andere verstrekkers van gegevensverwerkingsdiensten dan die welke diensten van het IaaS-leveringsmodel aanbieden.

(87) Gegevensverwerkingsdiensten worden in verschillende sectoren gebruikt en variëren in complexiteit en type dienstverlening. Dit is een belangrijke overweging met betrekking tot het overschakelingsproces en de termijnen. Een verlenging van de overgangsperiode op grond van technische onhaalbaarheid om de voltooiing van het omschakelingsproces binnen de gegeven termijn mogelijk te maken, mag echter alleen in naar behoren gemotiveerde gevallen worden ingeroepen. De bewijslast in dat verband dient volledig bij de aanbieder van de betrokken gegevensverwerkingsdienst te liggen. Dit doet geen afbreuk aan het exclusieve recht van de klant om de overgangsperiode eenmaal te verlengen met een periode die de klant voor zijn eigen doeleinden geschikter acht. De klant kan dat recht op verlenging vóór of tijdens de overgangsperiode inroepen, met dien verstande dat het contract tijdens de overgangsperiode van toepassing blijft.

(88) Overstapkosten zijn kosten die aanbieders van gegevensverwerkingsdiensten in rekening brengen aan klanten voor het overstapproces. Doorgaans zijn deze kosten bedoeld om de kosten die de bronaanbieder van gegevensverwerkingsdiensten kan maken als gevolg van het omschakelingsproces, door te berekenen aan de klant die wil omschakelen. Bekende voorbeelden van overstapkosten zijn de kosten voor de doorgifte van gegevens van de ene aanbieder van gegevensverwerkingsdiensten naar de andere of naar een ICT-infrastructuur op locatie (kosten voor data-egress) of de kosten voor specifieke ondersteuningsacties tijdens het overstapproces. Onnodig hoge tarieven voor data-egressie en andere ongerechtvaardigde tarieven die geen verband houden met de werkelijke overstapkosten, belemmeren klanten om over te stappen, beperken het vrije verkeer van gegevens, kunnen de concurrentie beperken en leiden tot lock-in-effecten voor klanten doordat zij minder gestimuleerd worden om een andere of aanvullende dienstverlener te kiezen. De overstapkosten moeten derhalve drie jaar na de datum van inwerkingtreding van deze verordening worden afgeschaft. Aanbieders van gegevensverwerkingsdiensten moeten tot die datum lagere overstaptarieven kunnen berekenen.

(89) A source provider of data processing services should be able to outsource certain tasks and compensate third-party entities in order to comply with the obligations provided for in this Regulation. A customer should not bear the costs arising from the outsourcing of services concluded by the source provider of data processing services during the switching process and such costs should be considered to be unjustified unless they cover work undertaken by the provider of data processing services at the customer’s request for additional support in the switching process which goes beyond the switching obligations of the provider as expressly provided for in this Regulation. Nothing in this Regulation prevents a customer from compensating third-party entities for support in the migration process or parties from agreeing on contracts for data processing services of a fixed duration, including proportionate early termination penalties to cover the early termination of such contracts, in accordance with Union or national law. In order to foster competition, the gradual withdrawal of the charges associated with switching between different providers of data processing services should specifically include data egress charges imposed by a provider of data processing services on a customer. StandaardStandaard Een technische specificatie die door een erkende normalisatie-instelling is aangenomen voor herhaalde of voortdurende toepassing, waarvan de inachtneming niet verplicht is en die tot een van de volgende categorieën behoort (a) "internationale norm": een norm die door een internationale normalisatie-instelling is vastgesteld; b) "Europese norm": een norm die door een Europese normalisatie-instelling is vastgesteld; c) "geharmoniseerde norm": een Europese norm die is vastgesteld op basis van een door de Commissie ingediend verzoek om toepassing van harmonisatiewetgeving van de Unie; d) "nationale norm": een norm die door een nationale normalisatie-instelling is vastgesteld - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad. service fees for the provision of the data processing services themselves are not switching charges. Those standard service fees are not subject to withdrawal and remain applicable until the contract for the provision of the relevant services ceases to apply. This Regulation allows the customer to request the provision of additional services that go beyond the provider’s switching obligations under this Regulation. Those additional services, can be performed and charged for by the provider when they are performed at the customer’s request and the customer agrees to the price of those services in advance.

(90) An ambitious and innovation-inspiring regulatory approach to interoperability is needed to overcome vendor lock-in, which undermines competition and the development of new services. Interoperability between data processing services involves multiple interfaces and layers of infrastructure and software and is rarely confined to a binary test of being achievable or not. Instead, the building of such interoperability is subject to a cost-benefit analysis which is necessary to establish whether it is worthwhile to pursue reasonably predictable results. The ISO/IEC 19941:2017 is an important international standard constituting a reference for the achievement of the objectives of this Regulation, as it contains technical considerations clarifying the complexity of such a process.

(91) Where providers of data processing services are in turn customers of data processing services provided by a third-party provider, they will benefit from more effective switching themselves while simultaneously remaining bound by this Regulation’s obligations regarding their own service offerings.

(92) Providers of data processing services should be required to offer all the assistance and support within their capacity, proportionate to their respective obligations, that is required to make the switching process to a service of a different provider of data processing services successful, effective and secure. This Regulation does not require providers of data processing services to develop new categories of data processing services, including within, or on the basis of, the ICT infrastructure of different providers of data processing services in order to guarantee functional equivalence in an environment other than their own systems. A source provider of data processing services does not have access to or insights into the environment of the destination provider of data processing services. Functional equivalence should not be understood to oblige the source provider of data processing services to rebuild the service in question within the infrastructure of the destination provider of data processing services. Instead, the source provider of data processing services should take all reasonable measures within its power to facilitate the process of achieving functional equivalence through the provision of capabilities, adequate information, documentation, technical support and, where appropriate, the necessary tools.

(93) Providers of data processing services should also be required to remove existing obstacles and not impose new ones, including for customers wishing to switch to an on-premises ICT infrastructure. Obstacles can, inter alia, be of a pre-commercial, commercial, technical, contractual or organisational nature. Providers of data processing services should also be required to remove obstacles to unbundling a specific individual service from other data processing services provided under a contract and make the relevant service available for switching, in the absence of major and demonstrated technical obstacles that prevent such unbundling.

(94) Throughout the switching process, a high level of security should be maintained. This means that the source provider of data processing services should extend the level of security to which it committed for the service to all technical arrangements for which such provider is responsible during the switching process, such as network connections or physical devices. Existing rights relating to the termination of contracts, including those introduced by Regulation (EU) 2016/679 and Directive (EU) 2019/770 of the European Parliament and of the Council (31) should not be affected. This Regulation should not be understood to prevent a provider of data processing services from providing to customers new and improved services, features and functionalities or from competing with other providers of data processing services on that basis.

(95) The information to be provided by providers of data processing services to the customer could support the customer’s exit strategy. That information should include procedures for initiating switching from the data processing service; the machine-readable data formats to which the user’s data can be exported; the tools intended to export data, including open interfaces as well as information on compatibility with harmonised standards or common specifications based on open interoperability specifications; information on known technical restrictions and limitations that could have an impact on the switching process; and the estimated time necessary to complete the switching process.

(96) To facilitate interoperability and switching between data processing services, users and providers of data processing services should consider the use of implementation and compliance tools, in particular those published by the Commission in the form of an EU Cloud Rulebook and a Guidance on public procurement of data processing services. In particular, standard contractual clauses are beneficial because they increase confidence in data processing services, create a more balanced relationship between users and providers of data processing services and improve legal certainty with regard to the conditions that apply for switching to other data processing services. In that context, users and providers of data processing services should consider the use of standard contractual clauses or other self-regulatory compliance tools provided that they fully comply with this Regulation, developed by relevant bodies or expert groups established under Union law.

(97) In order to facilitate switching between data processing services, all parties involved, including both source and destination providers of data processing services, should cooperate in good faith to make the switching process effective, enable the secure and timely transfer of necessary data in a commonly used, machine-readable format, and by means of open interfaces, while avoiding service disruptions and maintaining continuity of the service.

(98) Data processing services which concern services of which the majority of main features has been custom-built to respond to the specific demands of an individual customer or where all components have been developed for the purposes of an individual customer should be exempted from some of the obligations applicable to data processing service switching. This should not include services which the provider of data processing services offers at a broad commercial scale via its service catalogue. It is among the obligations of the provider of data processing services to duly inform prospective customers of such services, prior to the conclusion of a contract, of the obligations laid down in this Regulation that do not apply to the relevant services. Nothing prevents the provider of data processing services from eventually deploying such services at scale, in which case that provider would have to comply with all obligations for switching laid down in this Regulation.

(99) In line with the minimum requirement allowing switching between providers of data processing services, this Regulation also aims to improve interoperability for in-parallel use of multiple data processing services with complementary functionalities. This relates to situations in which customers do not terminate a contract to switch to a different provider of data processing services, but where multiple services of different providers are used in parallel, in an interoperable manner, to benefit from the complementary functionalities of the different services in the set-up of the customer’s system. However, it is recognised that the egress of data from one provider of data processing services to another in order to facilitate the in-parallel use of services can be an ongoing activity, in contrast with the one-off egress required as part of the switching process. Providers of data processing services should therefore continue to be able to impose data egress charges, not exceeding the costs incurred, for the purposes of in-parallel use after three years from the date of entry into force of this Regulation. This is important, inter alia, for the successful deployment of multi-cloud strategies, which allow customers to implement future-proof ICT strategies and which decrease dependence on individual providers of data processing services. Facilitating a multi-cloud approach for customers of data processing services can also contribute to increasing their digital operational resilience, as recognised for financial service institutions in Regulation (EU) 2022/2554 of the European Parliament and of the Council (32).

(100) Open interoperability specifications and standards developed in accordance with Annex II to Regulation (EU) No 1025/2012 of the European Parliament and of the Council (33) in the field of interoperability and portability are expected to enable a multi-vendor cloud environment, which is a key requirement for open innovation in the European data economy. As the market adoption of identified standards under the cloud standardisation coordination (CSC) initiative concluded in 2016 has been limited, it is also necessary that the Commission relies on parties in the market to develop relevant open interoperability specifications to keep up with the fast pace of technological development in this industry. Such open interoperability specifications can then be adopted by the Commission in the form of common specifications. In addition, where market-driven processes have not demonstrated a capacity to establish common specifications or standards that facilitate effective cloud interoperability at the PaaS and SaaS levels, the Commission should be able, on the basis of this Regulation and in accordance with Regulation (EU) No 1025/2012, to request European standardisation bodies to develop such standards for specific service types where such standards do not yet exist. In addition to this, the Commission will encourage parties in the market to develop relevant open interoperability specifications. After consulting stakeholders, the Commission, by means of implementing acts, should be able to mandate the use of harmonised standards for interoperability or common specifications for specific service types through a reference in a central Union standards repository for the interoperability of data processing services. Providers of data processing services should ensure compatibility with those harmonised standards and common specifications based on open interoperability specifications, which should not have an adverse impact on the security or integrity of data. Harmonised standards for the interoperability of data processing services and common specifications based on open interoperability specifications will be referenced only if they comply with the criteria specified in this Regulation, which have the same meaning as the requirements in Annex II to Regulation (EU) No 1025/2012 and the interoperability facets defined under the international standard ISO/IEC 19941:2017. In addition, standardisation should take into account the needs of SMEs.

(101) Third countries may adopt laws, regulations and other legal acts that aim to directly transfer or provide governmental access to non-personal data located outside their borders, including in the Union. Judgments of courts or tribunals or decisions of other judicial or administrative authorities, including law enforcement authorities in third countries requiring such transfer or access to non-personal data should be enforceable when based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. In other cases, situations may arise where a request to transfer or provide access to non-personal data arising from a third country law conflicts with an obligation to protect such data under Union law or under the national law of the relevant Member State, in particular regarding the protection of fundamental rights of the individual, such as the right to security and the right to an effective remedy, or the fundamental interests of a Member State related to national security or defence, as well as the protection of commercially sensitive data, including the protection of trade secrets, and the protection of intellectual property rights, including its contractual undertakings regarding confidentiality in accordance with such law. In the absence of international agreements regulating such matters, transfer of or access to non-personal data should be allowed only if it has been verified that the third country’s legal system requires the reasons and proportionality of the decision to be set out, that the court order or the decision is specific in character, and that the reasoned objection of the addressee is subject to a review by a competent third-country court or tribunal which is empowered to take duly into account the relevant legal interests of the provider of such data. Wherever possible under the terms of the data access request of the third country’s authority, the provider of data processing services should be able to inform the customer whose data are being requested before granting access to those data in order to verify the presence of a potential conflict of such access with Union or national law, such as that on the protection of commercially sensitive data, including the protection of trade secrets and intellectual property rights and the contractual undertakings regarding confidentiality.

(102) To foster further trust in data, it is important that safeguards to ensure control of their data by Union citizens, the public sector bodies and businesses are implemented to the extent possible. In addition, Union law, values and standards regarding, inter alia, security, data protection and privacy, and consumer protection should be upheld. In order to prevent unlawful governmental access to non-personal data by third-country authorities, providers of data processing services subject to this Regulation, such as cloud and edge services, should take all reasonable measures to prevent access to systems on which non-personal data are stored, including, where relevant, through the encryption of data, frequent submission to audits, verified adherence to relevant security reassurance certification schemes, and by the modification of corporate policies.

(103) Standardisation and semantic interoperability should play a key role to provide technical solutions to ensure interoperability within and among common European data spaces which are purpose or sector specific or cross-sectoral interoperable frameworks for common standards and practices to share or jointly process data for, inter alia, the development of new products and services, scientific research or civil society initiatives. This Regulation lays down certain essential requirements for interoperability. Participants in data spaces that offer data or data services to other participants, which are entities facilitating or engaging in data sharing within common European data spaces, including data holders, should comply with those requirements insofar as elements under their control are concerned. Compliance with those rules can be ensured by adhering to the essential requirements laid down in this Regulation, or presumed by complying with harmonised standards or common specifications via a presumption of conformity. In order to facilitate conformity with the requirements for interoperability, it is necessary to provide for a presumption of conformity of interoperability solutions that meet harmonised standards or parts thereof in accordance with Regulation (EU) No 1025/2012, which represents the framework by default to elaborate standards that provide for such presumptions. The Commission should assess barriers to interoperability and prioritise standardisation needs, on the basis of which it may request one or more European standardisation organisations, pursuant to Regulation (EU) No 1025/2012, to draft harmonised standards which satisfy the essential requirements laid down in this Regulation. Where such requests do not result in harmonised standards or such harmonised standards are insufficient to ensure conformity with the essential requirements of this Regulation, the Commission should be able to adopt common specifications in those areas provided that in so doing it duly respects the role and functions of standardisation organisations. Common specification should be adopted only as an exceptional fall-back solution to facilitate compliance with the essential requirements of this Regulation, or when the standardisation process is blocked, or when there are delays in the establishment of appropriate harmonised standards. Where a delay is due to the technical complexity of the standard in question, this should be considered by the Commission before contemplating the establishment of common specifications. Common specifications should be developed in an open and inclusive manner and take into account, where relevant, the advice of the European Data Innovation Board (EDIB) established by Regulation (EU) 2022/868. Additionally, common specifications in different sectors could be adopted, in accordance with Union or national law, on the basis of specific needs of those sectors. Furthermore, the Commission should be enabled to mandate the development of harmonised standards for the interoperability of data processing services.

(104) To promote the interoperability of tools for the automated execution of data sharing agreements, it is necessary to lay down essential requirements for smart contracts which professionals create for others or integrate in applications that support the implementation of agreements for data sharing. In order to facilitate the conformity of such smart contracts with those essential requirements, it is necessary to provide for a presumption of conformity of smart contracts that meet harmonised standards or parts thereof in accordance with Regulation (EU) No 1025/2012. The notion of ‘smart contract’ in this Regulation is technologically neutral. Smart contracts can, for example, be connected to an electronic ledger. The essential requirements should apply only to the vendors of smart contracts, although not where they develop smart contracts in-house exclusively for internal use. The essential requirement to ensure that smart contracts can be interrupted and terminated implies mutual consent by the parties to the data sharing agreement. The applicability of the relevant rules of civil, contractual and consumer protection law to data sharing agreements remains or should remain unaffected by the use of smart contracts for the automated execution of such agreements.

(105) To demonstrate fulfilment of the essential requirements of this Regulation, the vendor of a smart contract, or in the absence thereof, the person whose trade, business or profession involves the deployment of smart contracts for others in the context of executing an agreement or part of it, to make data available in the context of this Regulation, should perform a conformity assessment and issue an EU declaration of conformity. Such a conformity assessment should be subject to the general principles set out in Regulation (EC) No 765/2008 of the European Parliament and of the Council (34) and Decision No 768/2008/EC of the European Parliament and of the Council (35).

(106) Besides the obligation on professional developers of smart contracts to comply with essential requirements, it is also important to encourage those participants within data spaces that offer data or data-based services to other participants within and across common European data spaces to support interoperability of tools for data sharing including smart contracts.

(107) In order to ensure the application and enforcement of this Regulation, Member States should designate one or more competent authorities. If a Member State designates more than one competent authority, it should also designate from among them a data coordinator. Competent authorities should cooperate with each other. Through the exercise of their powers of investigation in accordance with applicable national procedures, competent authorities should be able to search for and obtain information, in particular in relation to the activities of entities within their competence and, including in the context of joint investigations, with due regard to the fact that oversight and enforcement measures concerning an entity under the competence of another Member State should be adopted by the competent authority of that other Member State, where relevant, in accordance with the procedures relating to cross-border cooperation. Competent authorities should assist each other in a timely manner, in particular when a competent authority in a Member State holds relevant information for an investigation carried out by the competent authorities in other Member States, or is able to gather such information to which the competent authorities in the Member State where the entity is established do not have access. Competent authorities and data coordinators should be identified in a public register maintained by the Commission. The data coordinator could be an additional means for facilitating cooperation in cross-border situations, such as when a competent authority from a given Member State does not know which authority it should approach in the data coordinator’s Member State, for example where the case is related to more than one competent authority or sector. The data coordinator should act, inter alia, as a single point of contact for all issues related to the application of this Regulation. Where no data coordinator has been designated, the competent authority should assume the tasks assigned to the data coordinator under this Regulation. The authorities responsible for the supervision of compliance with data protection law and competent authorities designated under Union or national law should be responsible for the application of this Regulation in their areas of competence. In order to avoid conflicts of interest, the competent authorities responsible for the application and enforcement of this Regulation in the area of making data available following a request on the basis of an exceptional need should not benefit from the right to submit such a request.

(108) In order to enforce their rights under this Regulation, natural and legal persons should be entitled to seek redress for infringements of their rights under this Regulation by lodging complaints. The data coordinator should, upon request, provide all the necessary information to natural and legal persons for the lodging of their complaints with the appropriate competent authority. Those authorities should be obliged to cooperate to ensure a complaint is appropriately handled and resolved effectively and in a timely manner. In order to make use of the consumer protection cooperation network mechanism and to enable vertegenwoordigerVertegenwoordiger Een in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om op te treden namens een DNS-dienstverlener, een TLD-naamregister, een entiteit die domeinnaamregistratiediensten levert, een aanbieder van cloud computing-diensten, een aanbieder van datacenterdiensten, een aanbieder van een content delivery network, een aanbieder van beheerde diensten, een aanbieder van beheerde beveiligingsdiensten of een aanbieder van een online marktplaats, een online zoekmachine of een platform voor sociale netwerkdiensten die niet in de Unie is gevestigd, die door een bevoegde autoriteit of een CSIRT in de plaats van de entiteit zelf kan worden aangesproken met betrekking tot de verplichtingen van die entiteit uit hoofde van deze richtlijn. - Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) actions, this Regulation amends the Annexes to Regulation (EU) 2017/2394 of the European Parliament and of the Council (36) and Directive (EU) 2020/1828 of the European Parliament and of the Council (37).

(109) Competent authorities should ensure that infringements of the obligations laid down in this Regulation are subject to penalties. Such penalties could include financial penalties, warnings, reprimands or orders to bring business practices into compliance with the obligations imposed by this Regulation. Penalties established by the Member States should be effective, proportionate and dissuasive, and should take into account the recommendations of the EDIB, thus contributing to achieving the greatest possible level of consistency in the establishment and application of penalties. Where appropriate, competent authorities should make use of interim measures to limit the effects of an alleged infringement while the investigation of that infringement is ongoing. In so doing, they should take into account, inter alia the nature, gravity, scale and duration of the infringement in view of the public interest at stake, the scope and kind of activities carried out, and the economic capacity of the infringing party. They should also take into account whether the infringing party systematically or recurrently fails to comply with its obligations under this Regulation. In order to ensure that the principle of ne bis in idem is respected, and in particular to avoid that the same infringement of the obligations laid down in this Regulation is penalised more than once, a Member State that intends to exercise its competence in relation to an infringing party that is not established and has not designated a legal representative in the Union should, without undue delay, inform all data coordinators as well as the Commission.

(110) The EDIB should advise and assist the Commission in coordinating national practices and policies on the topics covered by this Regulation as well as in delivering on its objectives in relation to technical standardisation to enhance interoperability. It should also play a key role in facilitating comprehensive discussions between competent authorities concerning the application and enforcement of this Regulation. That exchange of information is designed to increase effective access to justice as well as enforcement and judicial cooperation across the Union. Among other functions, the competent authorities should make use of the EDIB as a platform to evaluate, coordinate and adopt recommendations on the setting of penalties for infringements of this Regulation. It should allow for competent authorities, with the assistance of the Commission, to coordinate the optimal approach to determining and imposing such penalties. That approach prevents fragmentation while allowing for Member State’s flexibility and should lead to effective recommendations that support the consistent application of this Regulation. The EDIB should also have an advisory role in the standardisation processes and the adoption of common specifications by means of implementing acts, in the adoption of delegated acts to establish a monitoring mechanism for switching charges, imposed by providers of data processing services and to further specify the essential requirements for the interoperability of data, of data sharing mechanisms and services, as well as of the common European data spaces. It should also advise and assist the Commission in the adoption of the guidelines laying down interoperability specifications for the functioning of the common European data spaces.

(111) In order to help enterprises to draft and negotiate contracts, the Commission should develop and recommend non-binding model contractual terms for business-to-business data sharing contracts, where necessary taking into account the conditions in specific sectors and the existing practices with voluntary data sharing mechanisms. Those model contractual terms should be primarily a practical tool to help in particular SMEs to conclude a contract. When used widely and integrally, those model contractual terms should also have the beneficial effect of influencing the design of contracts regarding access to and the use of data and therefore lead more broadly towards fairer contractual relations when accessing and sharing data.

(112) In order to eliminate the risk that holders of data in databases obtained or generated by means of physical components, such as sensors, of a connected product and a related service or other machine-generated data, claim the sui generis right under Article 7 of Directive 96/9/EC, and in so doing hinder, in particular, the effective exercise of the right of users to access and use data and the right to share data with third parties under this Regulation, it should be clarified that the sui generis right does not apply to such databases. That does not affect the possible application of the sui generis right under Article 7 of Directive 96/9/EC to databases containing data falling outside the scope of this Regulation, provided that the requirements for protection pursuant to paragraph 1 of that Article are fulfilled.

(113) In order to take account of technical aspects of data processing services, the power to adopt acts in accordance with Article 290 TFEU should be delegated to the Commission in respect of supplementing this Regulation in order to establish a monitoring mechanism on switching charges imposed by providers of data processing services on the market, and to further specify the essential requirements in respect of interoperability for participants in data spaces that offer data or data services to other participants. It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level, and that those consultations be conducted in accordance with the principles laid down in the Interinstitutional Agreement of 13 April 2016 on Better Law-Making (38). In particular, to ensure equal participation in the preparation of delegated acts, the European Parliament and the Council receive all documents at the same time as Member States’ experts, and their experts systematically have access to meetings of Commission expert groups dealing with the preparation of delegated acts.

(114) In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission in respect of the adoption of common specifications to ensure the interoperability of data, of data sharing mechanisms and services, as well as of common European data spaces, common specifications on the interoperability of data processing services, and common specifications on the interoperability of smart contracts. Implementing powers should also be conferred on the Commission for the purpose of publishing the references of harmonised standards and common specifications for the interoperability of data processing services in a central Union standards repository for the interoperability of data processing services. Those powers should be exercised in accordance with Regulation (EU) No 182/2011 of the European Parliament and of the Council (39).

(115) This Regulation should be without prejudice to rules addressing needs specific to individual sectors or areas of public interest. Such rules may include additional requirements on the technical aspects of data access, such as interfaces for data access, or how data access could be provided, for example directly from the product or via data intermediation services. Such rules may also include limits on the rights of data holders to access or use user data, or other aspects beyond data access and use, such as governance aspects or security requirements, including cybersecurity requirements. This Regulation should also be without prejudice to more specific rules in the context of the development of common European data spaces or, subject to the exceptions provided for in this Regulation, to Union and national law providing for access to and authorising the use of data for scientific research purposes.

(116) This Regulation should not affect the application of the rules of competition, in particular Articles 101 and 102 TFEU. The measures provided for in this Regulation should not be used to restrict competition in a manner contrary to the TFEU.

(117) In order to allow actors within the scope of this Regulation to adapt to the new rules provided for herein, and to make the necessary technical arrangements, those rules should apply from 12 September 2025.

(118) The European Data Protection Supervisor and the European Data Protection Board were consulted in accordance with Article 42(1) and (2) of Regulation (EU) 2018/1725 and delivered their opinion on 4 May 2022.

(119) Since the objectives of this Regulation, namely ensuring fairness in the allocation of value from data among actors in the data economy and fostering fair access to and use of data in order to contribute to establishing a genuine internal market for data, cannot be sufficiently achieved by the Member States but can rather, by reason of the scale or effects of the action and cross-border use of data, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union. In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve those objectives,

HEBBEN DEZE VERORDENING AANGENOMEN: