Preambule

Overwegende hetgeen volgt:

(1) De afgelopen jaren hebben gegevensgestuurde technologieën een transformerend effect gehad op alle sectoren van de economie. Met name door de proliferatie van op het internet aangesloten producten is het volume en de potentiële waarde van gegevens voor consumenten, bedrijven en de samenleving toegenomen. Hoogwaardige en interoperabele gegevens uit verschillende domeinen vergroten het concurrentievermogen en de innovatie en zorgen voor duurzame economische groei. Dezelfde gegevens kunnen worden gebruikt en hergebruikt voor verschillende doeleinden en in onbeperkte mate, zonder verlies van kwaliteit of kwantiteit.

(2) Belemmeringen voor het delen van gegevens staan een optimale toewijzing van gegevens ten behoeve van de samenleving in de weg. Deze belemmeringen omvatten een gebrek aan prikkels voor houders van gegevens om vrijwillig overeenkomsten voor gegevensuitwisseling te sluiten, onzekerheid over rechten en plichten met betrekking tot gegevens, de kosten van het sluiten en implementeren van technische interfaces, de hoge mate van fragmentatie van informatie in gegevenssilo's, slecht beheer van metadata, het ontbreken van normen voor semantische en technische interoperabiliteit, knelpunten die de toegang tot gegevens belemmeren, een gebrek aan gemeenschappelijke praktijken voor gegevensuitwisseling en misbruik van contractuele onevenwichtigheden met betrekking tot de toegang tot en het gebruik van gegevens.

(3) In sectoren die worden gekenmerkt door de aanwezigheid van micro-ondernemingen, kleine ondernemingen en middelgrote ondernemingen zoals gedefinieerd in artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie (5 ) (kmo's), is er vaak een gebrek aan digitale capaciteiten en vaardigheden om gegevens te verzamelen, te analyseren en te gebruiken, en is de toegang vaak beperkt wanneer één actor ze in het systeem heeft of door een gebrek aan interoperabiliteit tussen gegevens, tussen datadiensten of over de grenzen heen.

(4) Om in te spelen op de behoeften van de digitale economie en belemmeringen voor een goed functionerende interne markt voor gegevens weg te nemen, is het noodzakelijk een geharmoniseerd kader vast te stellen waarin wordt gespecificeerd wie het recht heeft productgegevens of gerelateerde dienstgegevens te gebruiken, onder welke voorwaarden en op welke basis. De lidstaten mogen derhalve geen aanvullende nationale vereisten vaststellen of handhaven met betrekking tot aangelegenheden die binnen de werkingssfeer van deze verordening vallen, tenzij hierin uitdrukkelijk is voorzien, aangezien dit afbreuk zou doen aan de rechtstreekse en uniforme toepassing ervan. Bovendien mogen maatregelen op het niveau van de Unie geen afbreuk doen aan verplichtingen en verbintenissen in de door de Unie gesloten internationale handelsovereenkomsten.

(5) Deze verordening zorgt ervoor dat gebruikers van een verbonden product of een verbonden dienst in de Unie tijdig toegang hebben tot de gegevens die door het gebruik van dat verbonden product of die verbonden dienst worden gegenereerd en dat die gebruikers de gegevens kunnen gebruiken, onder meer door ze te delen met derden van hun keuze. De verordening legt de verplichting op aan de houders van de gegevens om de gegevens in bepaalde omstandigheden ter beschikking te stellen van de gebruikers en derden naar keuze van de gebruiker. De richtlijn zorgt er ook voor dat de houders van de gegevens de gegevens onder eerlijke, redelijke en niet-discriminerende voorwaarden en op transparante wijze ter beschikking stellen van de ontvangers van de gegevens in de Unie. De privaatrechtelijke regels spelen een sleutelrol in het algemene kader voor het delen van gegevens. Daarom past deze verordening de regels van het verbintenissenrecht aan en voorkomt zij dat misbruik wordt gemaakt van contractuele onevenwichtigheden die een eerlijke toegang tot en een eerlijk gebruik van gegevens belemmeren. Deze verordening zorgt er ook voor dat de houders van gegevens aan openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie de gegevens ter beschikking stellen die nodig zijn voor de uitvoering van een specifieke taak van algemeen belang, wanneer er sprake is van een uitzonderlijke behoefte. Daarnaast beoogt deze verordening het overstappen tussen gegevensverwerkingsdiensten te vergemakkelijken en de interoperabiliteit van gegevens en van mechanismen en diensten voor gegevensuitwisseling in de Unie te vergroten. Deze verordening mag niet worden geïnterpreteerd als een erkenning of toekenning van een nieuw recht aan houders van gegevens om gegevens te gebruiken die zijn gegenereerd door het gebruik van een verbonden product of een verbonden dienst.

(6) Het genereren van gegevens is het resultaat van de handelingen van ten minste twee actoren, met name de ontwerper of fabrikant van een aangesloten product, die in veel gevallen ook een aanbieder van verbonden diensten kan zijn, en de gebruiker van het aangesloten product of de verbonden dienst. Dit geeft aanleiding tot vragen over billijkheid in de digitale economie, aangezien de gegevens die worden geregistreerd door verbonden producten of gerelateerde diensten een belangrijke input vormen voor de vervolgmarkt, aanvullende en andere diensten. Om de belangrijke economische voordelen van gegevens te realiseren, onder meer door het delen van gegevens op basis van vrijwillige overeenkomsten en de ontwikkeling van gegevensgestuurde waardecreatie door ondernemingen in de Unie, is een algemene aanpak van het toekennen van rechten met betrekking tot de toegang tot en het gebruik van gegevens te verkiezen boven het toekennen van exclusieve toegangs- en gebruiksrechten. Deze verordening voorziet in horizontale regels die kunnen worden gevolgd door wetgeving van de Unie of nationale wetgeving die is afgestemd op de specifieke situaties van de desbetreffende sectoren.

(7) Het fundamentele recht op bescherming van persoonsgegevens wordt met name gewaarborgd door Verordening (EU) 2016/679 (6 ) en Verordening (EU) 2018/1725 (7 ) van het Europees Parlement en de Raad. Richtlijn 2002/58/EG van het Europees Parlement en de Raad (8 ) beschermt bovendien het privéleven en de vertrouwelijkheid van communicatie, onder meer door voorwaarden te stellen aan persoonlijke en niet-persoonlijke gegevens die worden opgeslagen in en toegankelijk zijn vanaf eindapparatuur. Deze wetgevingshandelingen van de Unie vormen de basis voor duurzame en verantwoorde gegevensverwerking, ook wanneer gegevensreeksen een mix van persoonsgegevens en niet-persoonsgebonden gegevens bevatten. Deze verordening vormt een aanvulling op en doet geen afbreuk aan de wetgeving van de Unie inzake de bescherming van persoonsgegevens en de persoonlijke levenssfeer, met name de Verordeningen (EU) 2016/679 en (EU) 2018/1725 en Richtlijn 2002/58/EG. Geen enkele bepaling van deze verordening mag zodanig worden toegepast of geïnterpreteerd dat het recht op bescherming van persoonsgegevens of het recht op privacy en vertrouwelijkheid van communicatie wordt verminderd of beperkt. Elke verwerking van persoonsgegevens op grond van deze verordening moet voldoen aan de EU-wetgeving inzake gegevensbescherming, met inbegrip van het vereiste van een geldige rechtsgrondslag voor verwerking op grond van artikel 6 van Verordening (EU) 2016/679 en, voor zover relevant, de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG. Deze verordening vormt geen rechtsgrondslag voor het verzamelen of genereren van persoonsgegevens door de houder van de gegevens. Deze verordening verplicht de houders van persoonsgegevens om persoonsgegevens op verzoek van de gebruiker beschikbaar te stellen aan gebruikers of derden naar keuze van de gebruiker. Deze toegang moet worden verleend tot persoonsgegevens die door de gegevenshouder worden verwerkt op basis van een van de in artikel 6 van Verordening (EU) 2016/679 genoemde rechtsgrondslagen. Wanneer de gebruiker niet de betrokkene is, creëert deze verordening geen rechtsgrondslag voor het verlenen van toegang tot persoonsgegevens of voor het beschikbaar stellen van persoonsgegevens aan een derde partij en mag deze verordening niet worden opgevat als het verlenen van een nieuw recht aan de houder van de gegevens om gebruik te maken van persoonsgegevens die zijn gegenereerd door het gebruik van een verbonden product of een verbonden dienst. In die gevallen kan het in het belang van de gebruiker zijn om het voldoen aan de vereisten van artikel 6 van Verordening (EU) 2016/679 te vergemakkelijken. Aangezien deze verordening geen negatieve gevolgen mag hebben voor de gegevensbeschermingsrechten van betrokkenen, kan de gegevenshouder in die gevallen aan verzoeken voldoen door onder andere persoonsgegevens te anonimiseren of, wanneer de direct beschikbare gegevens persoonsgegevens van meerdere betrokkenen bevatten, alleen persoonsgegevens met betrekking tot de gebruiker door te geven.

(8) De beginselen van gegevensminimalisering en privacy by design en by default zijn essentieel wanneer verwerking aanzienlijke risico's inhoudt voor de grondrechten van personen. Rekening houdend met de stand van de techniek moeten alle partijen die gegevens uitwisselen, met inbegrip van gegevensuitwisseling die onder het toepassingsgebied van deze verordening valt, technische en organisatorische maatregelen nemen om deze rechten te beschermen. Dergelijke maatregelen omvatten niet alleen pseudonimisering en versleuteling, maar ook het gebruik van steeds meer beschikbare technologie waarmee algoritmen op de gegevens kunnen worden toegepast en waardevolle inzichten kunnen worden verkregen zonder dat de ruwe of gestructureerde gegevens zelf tussen partijen hoeven te worden overgedragen of onnodig hoeven te worden gekopieerd.

(9) Tenzij in deze verordening anders is bepaald, laat zij het nationale verbintenissenrecht, met inbegrip van de regels inzake de totstandkoming, geldigheid of rechtsgevolgen van overeenkomsten, of de gevolgen van de beëindiging van een overeenkomst, onverlet. Deze verordening vormt een aanvulling op en doet geen afbreuk aan de wetgeving van de Unie ter bevordering van de belangen van de consumenten en ter waarborging van een hoog niveau van consumentenbescherming, en ter bescherming van hun gezondheid, veiligheid en economische belangen, in het bijzonder Richtlijn 93/13/EEG van de Raad (9 ) en Richtlijnen 2005/29/EG (10 ) en 2011/83/EU (11 ) van het Europees Parlement en de Raad.

(10) Deze verordening laat de rechtshandelingen van de Unie en de lidstaten onverlet die voorzien in de uitwisseling van, de toegang tot en het gebruik van gegevens met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen, dan wel voor douane- en belastingdoeleinden, ongeacht de rechtsgrondslag op grond van het Verdrag betreffende de werking van de Europese Unie (VWEU) op basis waarvan dergelijke rechtshandelingen van de Unie zijn vastgesteld, alsmede op internationale samenwerking op dat gebied, met name op basis van het Verdrag inzake cybercriminaliteit van de Raad van Europa (ETS nr. 185), gedaan te Boedapest op 23 november 2001. Dergelijke besluiten zijn onder meer de Verordeningen (EU) 2021/784 (12), (EU) 2022/2065 (13) en (EU) 2023/1543 (14 ) van het Europees Parlement en de Raad en Richtlijn (EU) 2023/1544 van het Europees Parlement en de Raad (15). Deze verordening is niet van toepassing op het verzamelen of delen van, de toegang tot of het gebruik van gegevens op grond van Verordening (EU) 2015/847 van het Europees Parlement en de Raad (16 ) en Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad (17). Deze verordening is niet van toepassing op gebieden die buiten het toepassingsgebied van het recht van de Unie vallen en laat in ieder geval de bevoegdheden van de lidstaten inzake openbare veiligheid, defensie of nationale veiligheid, douane en belastingadministratie of de gezondheid en veiligheid van burgers onverlet, ongeacht het type entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) door de lidstaten belast met de uitvoering van taken in verband met deze bevoegdheden.

(11) Tenzij in deze verordening specifiek anders is bepaald, moet de EU-wetgeving tot vaststelling van fysieke ontwerp- en gegevenseisen voor producten die in de Unie in de handel worden gebracht, onverlet worden gelaten.

(12) Deze verordening vormt een aanvulling op en doet geen afbreuk aan de EU-wetgeving die tot doel heeft toegankelijkheidsvereisten vast te stellen voor bepaalde producten en diensten, met name Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad (18).

(13) Deze verordening laat uniale en nationale rechtshandelingen onverlet die voorzien in de bescherming van intellectuele-eigendomsrechten, met inbegrip van Richtlijn 2001/29/EG (19 ), Richtlijn 2004/48/EG (20 ) en Richtlijn 2019/790 (21 ) van het Europees Parlement en de Raad.

(14) Aangesloten producten die door middel van hun componenten of besturingssystemen gegevens verkrijgen, genereren of verzamelen over hun prestaties, gebruik of omgeving en die in staat zijn deze gegevens te communiceren via een elektronische communicatiedienstElektronische communicatiedienst Een dienst die gewoonlijk tegen vergoeding via elektronischecommunicatienetwerken wordt geleverd en die, met uitzondering van diensten waarbij inhoud wordt geleverd of redactioneel toezicht wordt uitgeoefend op inhoud die met behulp van elektronischecommunicatienetwerken en -diensten wordt overgebracht, de volgende soorten diensten omvat: a) "internettoegangsdienst" zoals gedefinieerd in artikel 2, tweede alinea, punt 2, van Verordening (EU) 2015/2120; b) interpersoonlijke communicatiedienst; en c) diensten die geheel of hoofdzakelijk bestaan in het overbrengen van signalen, zoals transmissiediensten die worden gebruikt voor het aanbieden van machine-tot-machinediensten en voor omroep. - Definitie overeenkomstig artikel 2, punt 4, van Richtlijn (EU) 2018/1972, een fysieke verbinding, of toegang op het apparaat, vaak het internet van dingen genoemd, moet binnen het toepassingsgebied van deze verordening vallen, met uitzondering van prototypes. Voorbeelden van dergelijke elektronische communicatiediensten zijn met name landgebonden telefoonnetwerken, televisiekabelnetwerken, satellietnetwerken en near-field communicatienetwerken. Aangesloten producten worden aangetroffen in alle aspecten van de economie en de samenleving, inclusief in particuliere, civiele of commerciële infrastructuur, voertuigen, gezondheids- en lifestyle-apparatuur, schepen, vliegtuigen, huishoudelijke apparatuur en consumentengoederen, medische en gezondheidsapparatuur of landbouw- en industriële machines. De ontwerpkeuzes van de fabrikanten en, indien relevant, de wetgeving van de Unie of van een lidstaat met betrekking tot sectorspecifieke behoeften en doelstellingen of relevante besluiten van bevoegde autoriteiten, moeten bepalen welke gegevens een aangesloten product beschikbaar kan maken.

(15) De gegevens vertegenwoordigen de digitalisering van gebruikershandelingen en -gebeurtenissen en moeten bijgevolg toegankelijk zijn voor de gebruiker. De regels voor de toegang tot en het gebruik van gegevens van verbonden producten en gerelateerde diensten op grond van deze verordening hebben betrekking op zowel productgegevens als gerelateerde dienstgegevens. Productgegevens zijn gegevens die worden gegenereerd door het gebruik van een aangesloten product en die volgens het ontwerp van de fabrikant kunnen worden opgevraagd uit het aangesloten product door een gebruiker, een gegevenshouder of een derde partij, waaronder, indien relevant, de fabrikant. Gegevens over verbonden diensten zijn gegevens die ook de digitalisering vertegenwoordigen van gebruikershandelingen of gebeurtenissen met betrekking tot het verbonden product die worden gegenereerd tijdens het verlenen van een verbonden dienst door de aanbieder. Gegevens die worden gegenereerd door het gebruik van een verbonden product of een verbonden dienst moeten worden opgevat als gegevens die opzettelijk worden geregistreerd of gegevens die indirect voortvloeien uit de handelingen van de gebruiker, zoals gegevens over de omgeving van het verbonden product of interacties. Dit omvat gegevens over het gebruik van een aangesloten product die worden gegenereerd door een gebruikersinterface of via een verwante dienst, en mag niet beperkt blijven tot de informatie dat een dergelijk gebruik heeft plaatsgevonden, maar moet alle gegevens omvatten die het aangesloten product genereert als gevolg van een dergelijk gebruik, zoals gegevens die automatisch worden gegenereerd door sensoren en gegevens die worden geregistreerd door ingebedde toepassingen, waaronder toepassingen die de hardwarestatus en storingen aangeven. Dit omvat ook gegevens die door het aangesloten product of de verbonden dienst worden gegenereerd wanneer de gebruiker niets doet, bijvoorbeeld wanneer de gebruiker ervoor kiest om een aangesloten product gedurende een bepaalde tijd niet te gebruiken en het in plaats daarvan in de stand-bymodus te zetten of zelfs uit te schakelen, aangezien de status van een aangesloten product of de onderdelen ervan, bijvoorbeeld de batterijen, kan variëren wanneer het aangesloten product in de stand-bymodus staat of is uitgeschakeld. Gegevens die niet wezenlijk zijn gewijzigd, d.w.z. gegevens in ruwe vorm, ook bekend als brongegevens of primaire gegevens die verwijzen naar gegevenspunten die automatisch zijn gegenereerd zonder enige verdere vorm van verwerking, evenals gegevens die zijn voorbewerkt om ze begrijpelijk en bruikbaar te maken voorafgaand aan verdere verwerking en analyse, vallen binnen het toepassingsgebied van deze verordening. Dergelijke gegevens omvatten gegevens die zijn verzameld van een enkele sensor of een gekoppelde groep sensoren met het doel de verzamelde gegevens begrijpelijk te maken voor bredere gebruiksdoeleinden door het bepalen van een fysische grootheid of kwaliteit of de verandering in een fysische grootheid, zoals temperatuur, druk, stroomsnelheid, geluid, pH-waarde, vloeistofniveau, positie, versnelling of snelheid. De term "voorbewerkte gegevens" mag niet zo worden geïnterpreteerd dat de houder van de gegevens verplicht wordt om aanzienlijke investeringen te doen in het opschonen en transformeren van de gegevens. De beschikbaar te stellen gegevens moeten de relevante metagegevens bevatten, inclusief de basiscontext en tijdstempel, om de gegevens bruikbaar te maken, gecombineerd met andere gegevens, zoals gegevens die zijn gesorteerd en geclassificeerd met andere gegevenspunten die daarop betrekking hebben, of opnieuw geformatteerd in een algemeen gebruikt formaat. Dergelijke gegevens zijn potentieel waardevol voor de gebruiker en ondersteunen innovatie en de ontwikkeling van digitale en andere diensten om het milieu, de gezondheid en de circulaire economie te beschermen, onder andere door het onderhoud en de reparatie van de verbonden producten in kwestie te vergemakkelijken. Daarentegen mag informatie die uit dergelijke gegevens wordt afgeleid of afgeleid en die het resultaat is van extra investeringen in het toekennen van waarden of inzichten uit de gegevens, in het bijzonder door middel van bedrijfseigen, complexe algoritmen, met inbegrip van die welke deel uitmaken van bedrijfseigen software, niet worden geacht binnen het toepassingsgebied van deze verordening te vallen en bijgevolg niet onderworpen te zijn aan de verplichting van een gegevenshouder om deze ter beschikking te stellen van een gebruiker of een ontvanger van gegevens, tenzij anders overeengekomen tussen de gebruiker en de gegevenshouder. Dergelijke gegevens kunnen met name informatie omvatten die is afgeleid door middel van sensorfusie, waarbij gegevens van meerdere sensoren, verzameld in het aangesloten product, worden afgeleid of afgeleid met behulp van eigen complexe algoritmen en waarop intellectuele-eigendomsrechten van toepassing kunnen zijn.

(16) Deze verordening stelt gebruikers van verbonden producten in staat te profiteren van aftermarket-, neven- en andere diensten die gebaseerd zijn op gegevens die worden verzameld door sensoren die in dergelijke producten zijn ingebouwd, waarbij het verzamelen van deze gegevens van potentiële waarde is voor het verbeteren van de prestaties van de verbonden producten. Het is belangrijk om een onderscheid te maken tussen enerzijds markten voor de levering van dergelijke met sensoren uitgeruste verbonden producten en aanverwante diensten en anderzijds markten voor niet-verwante software en inhoud zoals tekstuele, audio- of audiovisuele inhoud waarop vaak intellectuele eigendomsrechten rusten. Bijgevolg mogen gegevens die dergelijke met sensoren uitgeruste aangesloten producten genereren wanneer de gebruiker inhoud opneemt, doorgeeft, weergeeft of afspeelt, alsook de inhoud zelf, waarop vaak intellectuele-eigendomsrechten rusten, onder meer voor gebruik door een onlinedienst, niet onder deze verordening vallen. Deze verordening dient evenmin van toepassing te zijn op gegevens die werden verkregen, gegenereerd of geraadpleegd vanuit het aangesloten product, of die daarheen werden verzonden, met het oog op opslag of andere verwerkingshandelingen ten behoeve van andere partijen die niet de gebruiker zijn, zoals het geval kan zijn met betrekking tot servers of cloudinfrastructuur die door de eigenaars ervan volledig ten behoeve van derden worden geëxploiteerd, onder meer voor gebruik door een onlinedienst.

(17) Er moeten regels worden vastgesteld voor producten die bij aankoop, huur of leasing op zodanige wijze met een verbonden dienst zijn verbonden dat het verbonden product zonder die dienst een of meer van zijn functies niet zou kunnen uitvoeren, of die later door de fabrikant of een derde op het product worden aangesloten om de functionaliteit van het verbonden product uit te breiden of aan te passen. Dergelijke verbonden diensten omvatten de uitwisseling van gegevens tussen het verbonden product en de dienstverlener en moeten worden beschouwd als expliciet verbonden met de werking van de functies van het verbonden product, zoals diensten die, indien van toepassing, opdrachten doorgeven aan het verbonden product die een impact kunnen hebben op de actie of het gedrag van het product. Diensten die geen invloed hebben op de werking van het verbonden product en waarbij de dienstverlener geen gegevens of opdrachten doorgeeft aan het verbonden product, mogen niet als verbonden diensten worden beschouwd. Dergelijke diensten kunnen bijvoorbeeld ondersteunend advies, analytische of financiële diensten of regelmatige reparatie en onderhoud zijn. Verwante diensten kunnen worden aangeboden als onderdeel van een koop-, huur- of leasecontract. Verwante diensten kunnen ook worden aangeboden voor producten van hetzelfde type en gebruikers kunnen redelijkerwijs verwachten dat ze worden aangeboden, rekening houdend met de aard van het verbonden product en alle publieke verklaringen van of namens de verkoper, huurder, verhuurder of andere personen in eerdere schakels van de transactieketen, met inbegrip van de fabrikant. Deze verbonden diensten kunnen zelf gegevens genereren die waardevol zijn voor de gebruiker, onafhankelijk van de gegevensverzamelingsmogelijkheden van het verbonden product waarmee zij verbonden zijn. Deze verordening moet ook van toepassing zijn op verbonden diensten die niet door de verkoper, de huurder of de verhuurder zelf, maar door een derde partij worden verleend. In geval van twijfel over de vraag of de dienst wordt geleverd als onderdeel van het koop-, huur- of leasecontract, moet deze verordening van toepassing zijn. Noch de stroomvoorziening, noch de levering van de connectiviteit moeten worden geïnterpreteerd als verbonden diensten in de zin van deze verordening.

(18) Onder de gebruiker van een aangesloten product moet worden verstaan een natuurlijke of rechtspersoon, zoals een bedrijf, een consument of een overheidsinstantie, die eigenaar is van een aangesloten product, bepaalde tijdelijke rechten heeft gekregen, bijvoorbeeld door middel van een huur- of leaseovereenkomst, om toegang te krijgen tot gegevens die zijn verkregen via het aangesloten product of deze te gebruiken, of die verbonden diensten ontvangt voor het aangesloten product. Deze toegangsrechten mogen op geen enkele wijze de rechten van betrokkenen wijzigen of doorkruisen die mogelijk in interactie zijn met een aangesloten product of een verbonden dienst met betrekking tot persoonsgegevens die zijn gegenereerd door het aangesloten product of tijdens de levering van de verbonden dienst. De gebruiker draagt de risico's en geniet de voordelen van het gebruik van het verbonden product en moet ook toegang hebben tot de gegevens die het genereert. De gebruiker moet daarom het recht hebben om voordeel te halen uit gegevens die door dat verbonden product en een verbonden dienst worden gegenereerd. Een eigenaar, huurder of lessee moet ook als gebruiker worden beschouwd, ook wanneer meerdere entiteiten als gebruiker kunnen worden beschouwd. In de context van meerdere gebruikers kan elke gebruiker op een andere manier bijdragen aan het genereren van gegevens en belang hebben bij verschillende vormen van gebruik, zoals wagenparkbeheer voor een leasemaatschappij of mobiliteitsoplossingen voor particulieren die gebruik maken van een autodeeldienst.

(19) Datageletterdheid heeft betrekking op de vaardigheden, de kennis en het inzicht die gebruikers, consumenten en bedrijven, met name kmo's die onder het toepassingsgebied van deze verordening vallen, in staat stellen zich bewust te worden van de potentiële waarde van de gegevens die zij genereren, produceren en delen en die zij gemotiveerd zijn aan te bieden en toegankelijk te maken overeenkomstig de toepasselijke wettelijke regels. Datageletterdheid moet verder gaan dan het leren over instrumenten en technologieën en erop gericht zijn burgers en bedrijven toe te rusten en in staat te stellen te profiteren van een inclusieve en eerlijke gegevensmarkt. De verspreiding van maatregelen op het gebied van datageletterdheid en de invoering van passende follow-upacties kunnen bijdragen tot betere arbeidsomstandigheden en uiteindelijk de consolidatie en het innovatietraject van de gegevenseconomie in de Unie ondersteunen. De bevoegde autoriteiten moeten instrumenten bevorderen en maatregelen vaststellen om de datageletterdheid van gebruikers en entiteiten die onder het toepassingsgebied van deze verordening vallen, te vergroten en hen bewuster te maken van hun rechten en plichten uit hoofde van deze verordening.

(20) In de praktijk zijn niet alle gegevens die worden gegenereerd door aangesloten producten of aanverwante diensten gemakkelijk toegankelijk voor de gebruikers ervan en zijn de mogelijkheden met betrekking tot de overdraagbaarheid van gegevens die worden gegenereerd door op het internet aangesloten producten vaak beperkt. Gebruikers kunnen de gegevens die nodig zijn om een beroep te doen op aanbieders van reparatie- en andere diensten niet verkrijgen en bedrijven kunnen geen innovatieve, handige en efficiëntere diensten lanceren. In veel sectoren kunnen fabrikanten, door hun controle over het technische ontwerp van de verbonden producten of gerelateerde diensten, bepalen welke gegevens worden gegenereerd en hoe deze toegankelijk zijn, ondanks het feit dat ze geen wettelijk recht op deze gegevens hebben. Daarom moet ervoor worden gezorgd dat verbonden producten zodanig worden ontworpen en vervaardigd en dat verbonden diensten zodanig worden ontworpen en geleverd dat productgegevens en gegevens over verbonden diensten, met inbegrip van de relevante metagegevens die nodig zijn om deze gegevens te interpreteren en te gebruiken, onder meer om ze op te vragen, te gebruiken of te delen, altijd gemakkelijk en veilig gratis toegankelijk zijn voor een gebruiker in een volledig, gestructureerd, algemeen gebruikt en machineleesbaar formaat. Productgegevens en gegevens over verbonden diensten die een gegevenshouder rechtmatig verkrijgt of rechtmatig kan verkrijgen uit het verbonden product of de verbonden dienst, bijvoorbeeld door middel van het ontwerp van het verbonden product, het contract van de gegevenshouder met de gebruiker voor de levering van verbonden diensten en zijn technische middelen voor gegevenstoegang, zonder onevenredige inspanningen, worden "direct beschikbare gegevens" genoemd. Gemakkelijk beschikbare gegevens omvatten geen gegevens die worden gegenereerd door het gebruik van een verbonden product wanneer het ontwerp van het verbonden product niet voorziet in de opslag of doorgifte van dergelijke gegevens buiten het onderdeel waarin ze worden gegenereerd of het verbonden product als geheel. Deze verordening mag derhalve niet worden geïnterpreteerd als een verplichting om gegevens op te slaan in de centrale verwerkingseenheid van een aangesloten product. Het ontbreken van een dergelijke verplichting mag de fabrikant of de gegevenshouder er niet van weerhouden vrijwillig met de gebruiker overeen te komen dergelijke aanpassingen aan te brengen. De ontwerpverplichtingen in deze verordening laten ook het gegevensminimaliseringsbeginsel van artikel 5, lid 1, onder c), van Verordening (EU) 2016/679 onverlet en mogen niet worden opgevat als een verplichting om verbonden producten en gerelateerde diensten zodanig te ontwerpen dat zij andere persoonsgegevens opslaan of anderszins verwerken dan de persoonsgegevens die noodzakelijk zijn in verband met de doeleinden waarvoor zij worden verwerkt. Er zou uniaal of nationaal recht kunnen worden ingevoerd om nadere bijzonderheden vast te stellen, zoals de productgegevens die toegankelijk moeten zijn vanuit aangesloten producten of verbonden diensten, aangezien dergelijke gegevens essentieel kunnen zijn voor de efficiënte werking, de reparatie of het onderhoud van die aangesloten producten of verbonden diensten. Wanneer latere updates of wijzigingen van een aangesloten product of een verbonden dienst, door de fabrikant of een andere partij, leiden tot aanvullende toegankelijke gegevens of een beperking van aanvankelijk toegankelijke gegevens, moeten dergelijke wijzigingen in de context van de update of wijziging aan de gebruiker worden meegedeeld.

(21) Wanneer verschillende personen of entiteiten als gebruikers worden beschouwd, bijvoorbeeld in het geval van mede-eigendom of wanneer een eigenaar, huurder of lessee de rechten op toegang tot of gebruik van gegevens deelt, moet het ontwerp van het verbonden product of de verbonden dienst, of de relevante interface, elke gebruiker toegang geven tot de gegevens die hij genereert. Voor het gebruik van verbonden producten die gegevens genereren, moet meestal een gebruikersaccount worden ingesteld. Met zo'n account kan de gebruiker worden geïdentificeerd door de gegevenshouder, die de fabrikant kan zijn. Het kan ook worden gebruikt als communicatiemiddel en om verzoeken om toegang tot gegevens in te dienen en te verwerken. Wanneer verschillende fabrikanten of verbonden dienstverleners verbonden producten hebben verkocht, verhuurd of geleased of verbonden diensten hebben verleend, die samen geïntegreerd zijn, aan dezelfde gebruiker, moet de gebruiker zich wenden tot elk van de partijen waarmee hij een contract heeft. Fabrikanten of ontwerpers van een verbonden product dat gewoonlijk door meerdere personen wordt gebruikt, moeten de nodige mechanismen invoeren om afzonderlijke gebruikersaccounts voor individuele personen mogelijk te maken, voor zover van toepassing, of om het mogelijk te maken dat meerdere personen dezelfde gebruikersaccount gebruiken. Accountoplossingen moeten gebruikers in staat stellen hun accounts te wissen en de gegevens die ermee verband houden te wissen, en kunnen gebruikers in staat stellen de toegang tot en het gebruik of delen van gegevens te beëindigen of een verzoek tot beëindiging in te dienen, met name rekening houdend met situaties waarin de eigendom of het gebruik van het verbonden product verandert. Toegang moet aan de gebruiker worden verleend op basis van een eenvoudig verzoekmechanisme dat automatisch wordt uitgevoerd en waarvoor geen onderzoek of goedkeuring door de fabrikant of de gegevenshouder nodig is. Dit betekent dat de gegevens alleen beschikbaar moeten worden gesteld wanneer de gebruiker daadwerkelijk toegang wil. Wanneer automatische uitvoering van het verzoek om toegang tot de gegevens niet mogelijk is, bijvoorbeeld via een gebruikersaccount of een bijbehorende mobiele applicatie die bij het verbonden product of de verbonden dienst wordt geleverd, moet de fabrikant de gebruiker informeren over de manier waarop toegang tot de gegevens kan worden verkregen.

(22) Aangesloten producten kunnen zo zijn ontworpen dat bepaalde gegevens rechtstreeks toegankelijk zijn vanaf de gegevensopslag op het apparaat of vanaf een externe server waarnaar de gegevens worden verzonden. Toegang tot gegevensopslag op het apparaat kan mogelijk worden gemaakt via kabelgebaseerde of draadloze lokale netwerken die verbonden zijn met een openbaar beschikbare elektronische communicatiedienst of mobiel netwerk. De server kan de eigen lokale servercapaciteit van de fabrikant zijn of die van een derde partij of een aanbieder van clouddiensten. Verwerkers zoals gedefinieerd in artikel 4, punt 8, van Verordening (EU) 2016/679 worden niet beschouwd als houders van gegevens. Zij kunnen echter wel specifiek worden belast met het beschikbaar stellen van gegevens door de verwerkingsverantwoordelijke zoals gedefinieerd in artikel 4, punt 7, van Verordening (EU) 2016/679. Aangesloten producten kunnen zo zijn ontworpen dat de gebruiker of een derde de gegevens kan verwerken op het aangesloten product, op een computerinstantie van de fabrikant of binnen een door de gebruiker of de derde gekozen informatie- en communicatietechnologie (ICT)-omgeving.

(23) Virtuele assistenten spelen een steeds grotere rol in de digitalisering van consumenten- en professionele omgevingen en dienen als een gebruiksvriendelijke interface om inhoud af te spelen, informatie te verkrijgen of op het internet aangesloten producten te activeren. Virtuele assistenten kunnen fungeren als een enkele gateway in bijvoorbeeld een slimme thuisomgeving en registreren aanzienlijke hoeveelheden relevante gegevens over de manier waarop gebruikers omgaan met op het internet aangesloten producten, waaronder producten die door andere partijen zijn geproduceerd, en kunnen het gebruik van door de fabrikant geleverde interfaces zoals aanraakschermen of smartphone-apps vervangen. De gebruiker kan dergelijke gegevens beschikbaar willen stellen aan externe fabrikanten en nieuwe slimme diensten mogelijk willen maken. Virtuele assistenten moeten vallen onder de rechten inzake gegevenstoegang waarin deze verordening voorziet. Gegevens die worden gegenereerd wanneer een gebruiker interageert met een aangesloten product via een virtuele assistent die wordt geleverd door een andere entiteit dan de fabrikant van het aangesloten product, moeten ook vallen onder de in deze verordening vastgestelde rechten inzake gegevenstoegang. Deze verordening mag echter alleen gelden voor gegevens die voortvloeien uit de interactie tussen de gebruiker en een verbonden product of een verbonden dienst via de virtuele assistent. Door de virtuele assistent geproduceerde gegevens die geen verband houden met het gebruik van een aangesloten product of een verbonden dienst, vallen niet onder deze verordening.

(24) Alvorens een koop-, huur- of leasecontract voor een aangesloten product te sluiten, moet de verkoper, huurder of verhuurder, die ook de fabrikant kan zijn, de gebruiker op duidelijke en begrijpelijke wijze informatie verstrekken over de productgegevens die het aangesloten product kan genereren, met inbegrip van het type, het formaat en het geschatte volume van die gegevens. Dit kan informatie omvatten over gegevensstructuren, gegevensformaten, vocabulaires, classificatieschema's, taxonomieën en codelijsten, indien beschikbaar, evenals duidelijke en toereikende informatie die relevant is voor de uitoefening van de rechten van de gebruiker over de manier waarop de gegevens kunnen worden opgeslagen, opgehaald of geraadpleegd, met inbegrip van de gebruiksvoorwaarden en de kwaliteit van de dienst van toepassingsprogramma-interfaces of, indien van toepassing, de levering van softwareontwikkelingskits. Deze verplichting zorgt voor transparantie over de gegenereerde productgegevens en verbetert de gemakkelijke toegang voor de gebruiker. Aan de informatieverplichting kan bijvoorbeeld worden voldaan door het onderhouden van een stabiele uniform resource locator (URL) op het web, die kan worden verspreid als een weblink of QR-code, die verwijst naar de relevante informatie die door de verkoper, huurder of verhuurder, die de fabrikant kan zijn, aan de gebruiker kan worden verstrekt voordat het contract voor de aankoop, huur of lease van een verbonden product wordt gesloten. Het is in ieder geval noodzakelijk dat de gebruiker de informatie kan opslaan op een manier die toegankelijk is voor toekomstig gebruik en die een ongewijzigde reproductie van de opgeslagen informatie mogelijk maakt. Van de gegevenshouder kan niet worden verwacht dat hij de gegevens voor onbepaalde tijd opslaat met het oog op de behoeften van de gebruiker van het verbonden product, maar hij moet, indien van toepassing, een redelijk beleid inzake gegevensbewaring ten uitvoer leggen, in overeenstemming met het beginsel van opslagbeperking overeenkomstig artikel 5, lid 1, onder e), van Verordening (EU) 2016/679, dat een doeltreffende toepassing van de in deze verordening vastgestelde rechten inzake toegang tot gegevens mogelijk maakt. De verplichting om informatie te verstrekken doet geen afbreuk aan de verplichting van de verwerkingsverantwoordelijke om informatie te verstrekken aan de betrokkene op grond van de artikelen 12, 13 en 14 van Verordening (EU) 2016/679. De verplichting om informatie te verstrekken voordat een contract voor de verlening van een verbonden dienst wordt gesloten, dient bij de toekomstige houder van de gegevens te liggen, ongeacht of de houder van de gegevens een contract voor de aankoop, huur of lease van een verbonden product sluit. Wanneer informatie tijdens de levensduur van het verbonden product of de contractperiode voor de verbonden dienst verandert, onder meer wanneer het doel waarvoor die gegevens zullen worden gebruikt, verandert ten opzichte van het oorspronkelijk gespecificeerde doel, moet die informatie ook aan de gebruiker worden verstrekt.

(25) Deze verordening verleent de houders van gegevens geen nieuw recht om productgegevens of aanverwante dienstengegevens te gebruiken. Wanneer de fabrikant van een aangesloten product een gegevenshouder is, dient de basis voor het gebruik van niet-persoonsgebonden gegevens door de fabrikant een contract tussen de fabrikant en de gebruiker te zijn. Een dergelijk contract kan deel uitmaken van een overeenkomst voor de levering van de verbonden dienst, die samen met de koop-, huur- of leaseovereenkomst met betrekking tot het verbonden product kan worden gesloten. Elke contractuele voorwaarde die bepaalt dat de gegevenshouder productgegevens of gerelateerde dienstgegevens mag gebruiken, moet transparant zijn voor de gebruiker, ook met betrekking tot de doeleinden waarvoor de gegevenshouder de gegevens wil gebruiken. Dergelijke doeleinden kunnen onder meer zijn het verbeteren van de werking van het aangesloten product of verwante diensten, het ontwikkelen van nieuwe producten of diensten, of het samenvoegen van gegevens met als doel de daaruit afgeleide gegevens beschikbaar te stellen aan derden, op voorwaarde dat deze afgeleide gegevens het niet mogelijk maken specifieke gegevens te identificeren die door het aangesloten product aan de gegevenshouder zijn doorgegeven, of een derde in staat stellen deze gegevens uit de dataset af te leiden. Elke wijziging van het contract dient afhankelijk te zijn van de geïnformeerde toestemming van de gebruiker. Deze verordening belet partijen niet contractuele voorwaarden overeen te komen die tot gevolg hebben dat het gebruik van niet-persoonsgebonden gegevens, of bepaalde categorieën niet-persoonsgebonden gegevens, door een gegevenshouder wordt uitgesloten of beperkt. Evenmin belet deze verordening partijen overeen te komen productgegevens of daarmee verband houdende dienstgegevens direct of indirect, waaronder, indien van toepassing, via een andere gegevenshouder, aan derden ter beschikking te stellen. Bovendien staat deze verordening niet in de weg aan sectorspecifieke wettelijke vereisten op grond van het recht van de Unie of op grond van nationale wetgeving die verenigbaar is met het recht van de Unie, op grond waarvan het gebruik van bepaalde dergelijke gegevens door de houder van de gegevens wordt uitgesloten of beperkt om welomschreven redenen van openbare orde. Deze verordening belet gebruikers niet om in het geval van business-to-business relaties gegevens beschikbaar te stellen aan derden of gegevenshouders op grond van een rechtmatige contractuele bepaling, onder meer door ermee in te stemmen het verder delen van dergelijke gegevens te beperken of te beperken, of om een evenredige compensatie te ontvangen, bijvoorbeeld in ruil voor het afstand doen van hun recht om dergelijke gegevens te gebruiken of te delen. Hoewel het begrip "houder" over het algemeen geen overheidsinstanties omvat, kan het wel overheidsbedrijven omvatten.

(26) Om het ontstaan van liquide, eerlijke en efficiënte markten voor niet-persoonsgebonden gegevens te bevorderen, moeten gebruikers van aangesloten producten gegevens met anderen kunnen delen, ook voor commerciële doeleinden, met minimale juridische en technische inspanningen. Op dit moment is het voor bedrijven vaak moeilijk om de personeels- of computerkosten te rechtvaardigen die nodig zijn om niet-persoonlijke datasets of dataproducten voor te bereiden en aan te bieden aan potentiële tegenpartijen via gegevensbemiddelingsdiensten, waaronder datamarkten. Een belangrijke belemmering voor het delen van niet-persoonlijke gegevens door bedrijven is daarom het gebrek aan voorspelbaarheid van de economische opbrengsten van investeringen in het cureren en beschikbaar stellen van datasets of dataproducten. Om het ontstaan van liquide, eerlijke en efficiënte markten voor niet-persoonsgebonden gegevens in de Unie mogelijk te maken, moet worden verduidelijkt welke partij het recht heeft om dergelijke gegevens op een markt aan te bieden. Gebruikers moeten daarom het recht hebben om niet-persoonsgebonden gegevens te delen met ontvangers van gegevens voor commerciële en niet-commerciële doeleinden. Dergelijke gegevensuitwisseling kan rechtstreeks door de gebruiker gebeuren, op verzoek van de gebruiker via een gegevenshouder, of via gegevensbemiddelingsdiensten. Gegevensbemiddelingsdiensten, zoals geregeld bij Verordening (EU) nr. 2022/868 van het Europees Parlement en de Raad (22 ), kunnen een gegevenseconomie vergemakkelijken door commerciële relaties tot stand te brengen tussen gebruikers, ontvangers van gegevens en derden en kunnen gebruikers ondersteunen bij de uitoefening van hun recht om gegevens te gebruiken, bijvoorbeeld door te zorgen voor de anonimisering van persoonsgegevens of de aggregatie van de toegang tot gegevens van meerdere individuele gebruikers. Wanneer gegevens zijn uitgesloten van de verplichting van een gegevenshouder om ze beschikbaar te stellen aan gebruikers of derden, kan de reikwijdte van dergelijke gegevens worden gespecificeerd in het contract tussen de gebruiker en de gegevenshouder voor de levering van een gerelateerde dienst, zodat gebruikers gemakkelijk kunnen bepalen welke gegevens voor hen beschikbaar zijn om te delen met ontvangers van gegevens of derden. Gegevenshouders dienen niet-persoonlijke productgegevens niet beschikbaar te stellen aan derden voor andere commerciële of niet-commerciële doeleinden dan de uitvoering van hun contract met de gebruiker, onverminderd de wettelijke vereisten op grond van het recht van de Unie of het nationale recht voor een gegevenshouder om gegevens beschikbaar te stellen. In voorkomend geval dienen de gegevenshouders derden contractueel te verplichten de van hen ontvangen gegevens niet verder te delen.

(27) In sectoren die worden gekenmerkt door de concentratie van een klein aantal fabrikanten die aangesloten producten leveren aan eindgebruikers, zijn er voor gebruikers mogelijk slechts beperkte opties beschikbaar voor de toegang tot en het gebruik en delen van gegevens. In dergelijke omstandigheden kunnen contracten ontoereikend zijn om de doelstelling van 'user empowerment' te bereiken, waardoor het voor gebruikers moeilijk wordt om waarde te halen uit de gegevens die worden gegenereerd door het aangesloten product dat ze kopen, huren of leasen. Bijgevolg is er een beperkt potentieel voor innovatieve kleinere bedrijven om op gegevens gebaseerde oplossingen op een concurrerende manier aan te bieden en voor een diverse gegevenseconomie in de Unie. Deze verordening moet daarom voortbouwen op recente ontwikkelingen in specifieke sectoren, zoals de gedragscode voor het contractueel delen van landbouwgegevens. Er kan uniale of nationale wetgeving worden vastgesteld om tegemoet te komen aan sectorspecifieke behoeften en doelstellingen. Voorts mogen houders van gegevens geen direct beschikbare niet-persoonsgebonden gegevens gebruiken om inzichten te verkrijgen over de economische situatie van de gebruiker of zijn activa of productiemethoden of over een dergelijk gebruik door de gebruiker op een andere manier die de commerciële positie van die gebruiker op de markten waarop hij actief is, zou kunnen ondermijnen. Dit kan onder meer inhouden dat kennis over de algemene prestaties van een bedrijf of een landbouwbedrijf wordt gebruikt bij contractuele onderhandelingen met de gebruiker over de mogelijke aankoop van de producten of landbouwproducten van de gebruiker ten nadele van de gebruiker, of dat dergelijke informatie wordt gebruikt als input voor grotere databases over bepaalde markten in het algemeen, bijvoorbeeld databases over oogstopbrengsten voor het komende oogstseizoen, aangezien dergelijk gebruik de gebruiker op indirecte wijze negatief zou kunnen beïnvloeden. De gebruiker moet de nodige technische interface krijgen om toestemmingen te beheren, bij voorkeur met granulaire toestemmingsopties zoals "eenmalig toestaan" of "toestaan tijdens het gebruik van deze app of dienst", inclusief de optie om dergelijke toestemmingen in te trekken.

(28) In overeenkomsten tussen een gegevenshouder en een consument als gebruiker van een verbonden product of een verbonden dienst die gegevens genereert, is het consumentenrecht van de Unie, met name de Richtlijnen 93/13/EEG en 2005/29/EG, van toepassing om ervoor te zorgen dat een consument niet wordt onderworpen aan oneerlijke contractvoorwaarden. Voor de toepassing van deze verordening mogen oneerlijke, eenzijdig aan een onderneming opgelegde contractvoorwaarden niet bindend zijn voor die onderneming.

(29) Gegevenshouders kunnen passende identificatie van de gebruiker verlangen om te controleren of de gebruiker recht heeft op toegang tot de gegevens. In het geval van persoonsgegevens die namens de voor de verwerking verantwoordelijke door een verwerker worden verwerkt, dienen de datahouders ervoor te zorgen dat het verzoek om toegang door de verwerker wordt ontvangen en behandeld.

(30) De gebruiker moet de gegevens voor elk rechtmatig doel kunnen gebruiken. Dit omvat het verstrekken van de gegevens die de gebruiker heeft ontvangen bij de uitoefening van zijn rechten op grond van deze verordening aan een derde die een dienst op de secundaire markt aanbiedt die mogelijk concurreert met een dienst van een gegevenshouder, of om de gegevenshouder opdracht te geven dit te doen. Het verzoek moet worden ingediend door de gebruiker of door een gemachtigde derde die namens een gebruiker optreedt, met inbegrip van een aanbieder van een gegevensbemiddelingsdienst. Gegevenshouders moeten ervoor zorgen dat de gegevens die beschikbaar worden gesteld aan de derde partij even nauwkeurig, volledig, betrouwbaar, relevant en actueel zijn als de gegevens waartoe de gegevenshouder zelf toegang kan of mag krijgen door het gebruik van het verbonden product of de verbonden dienst. Alle intellectuele eigendomsrechten moeten worden gerespecteerd bij de behandeling van de gegevens. Het is belangrijk om prikkels te behouden om te investeren in producten met functionaliteiten die gebaseerd zijn op het gebruik van gegevens van sensoren die in die producten zijn ingebouwd.

(31) Richtlijn (EU) 2016/943 van het Europees Parlement en de Raad (23 ) bepaalt dat de verkrijging, het gebruik of de openbaarmaking van een handelsgeheim als rechtmatig wordt beschouwd, onder meer wanneer die verkrijging, dat gebruik of die openbaarmaking wordt voorgeschreven of toegestaan door het recht van de Unie of het nationale recht. Hoewel deze verordening de houders van gegevens verplicht om bepaalde gegevens bekend te maken aan gebruikers, of derden naar keuze van een gebruiker, zelfs wanneer deze gegevens in aanmerking komen voor bescherming als bedrijfsgeheim, moet zij zo worden geïnterpreteerd dat de bescherming die krachtens Richtlijn (EU) 2016/943 aan bedrijfsgeheimen wordt geboden, behouden blijft. In dit verband moeten de houders van gegevens kunnen eisen dat gebruikers, of derden naar keuze van een gebruiker, de vertrouwelijkheid van gegevens die als bedrijfsgeheim worden beschouwd, bewaren. Daartoe moeten de houders van gegevens de bedrijfsgeheimen identificeren voordat ze openbaar worden gemaakt, en moeten ze de mogelijkheid hebben om met de gebruikers, of derden naar keuze van de gebruiker, de nodige maatregelen overeen te komen om de vertrouwelijkheid ervan te bewaren, onder meer door het gebruik van modelcontractbepalingen, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes. Naast het gebruik van modelcontractbepalingen die door de Commissie moeten worden ontwikkeld en aanbevolen, kan de vaststelling van gedragscodes en technische normen in verband met de bescherming van bedrijfsgeheimen bij de verwerking van gegevens bijdragen tot de verwezenlijking van het doel van deze verordening en dient zij te worden aangemoedigd. Indien er geen overeenkomst is over de noodzakelijke maatregelen of indien een gebruiker, of derden naar keuze van de gebruiker, overeengekomen maatregelen niet ten uitvoer leggen of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnen, moet de houder van de gegevens de uitwisseling van gegevens die als bedrijfsgeheimen zijn aangemerkt, kunnen tegenhouden of opschorten. In dergelijke gevallen moet de houder van de gegevens het besluit zonder onnodige vertraging schriftelijk aan de gebruiker of de derde meedelen en de bevoegde autoriteit van de lidstaat waar de houder van de gegevens is gevestigd ervan in kennis stellen dat hij de uitwisseling van gegevens heeft ingehouden of opgeschort en aangeven welke maatregelen niet zijn overeengekomen of uitgevoerd en, voor zover relevant, welke bedrijfsgeheimen hun vertrouwelijkheid hebben ondermijnd. Gegevenshouders kunnen in beginsel een verzoek om toegang tot gegevens op grond van deze verordening niet weigeren louter op grond van het feit dat bepaalde gegevens als een bedrijfsgeheim worden beschouwd, aangezien dit het beoogde effect van deze verordening zou ondermijnen. In uitzonderlijke omstandigheden moet een houder van een handelsgeheim echter per geval een verzoek om toegang tot de specifieke gegevens in kwestie kunnen weigeren indien hij tegenover de gebruiker of de derde kan aantonen dat, ondanks de technische en organisatorische maatregelen die de gebruiker of de derde heeft genomen, ernstige economische schade zeer waarschijnlijk zal voortvloeien uit de openbaarmaking van dat handelsgeheim. Ernstige economische schade houdt ernstige en onherstelbare economische schade in. De houder van de gegevens moet zijn weigering zonder onnodige vertraging schriftelijk aan de gebruiker of de derde motiveren en de bevoegde autoriteit op de hoogte stellen. Een dergelijke onderbouwing moet gebaseerd zijn op objectieve elementen, waaruit de concrete risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) de verwachte ernstige economische schade als gevolg van de openbaarmaking van specifieke gegevens en de redenen waarom de maatregelen ter bescherming van de gevraagde gegevens niet toereikend worden geacht. Een mogelijk negatief effect op cyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881; kan in die context in aanmerking worden genomen. Onverminderd het recht om beroep in te stellen bij een rechterlijke instantie van een lidstaat, kan de gebruiker of een derde, wanneer hij het besluit van de houder van de gegevens om de gegevensuitwisseling te weigeren of op te schorten, wil aanvechten, een klacht indienen bij de bevoegde autoriteit, die zonder onnodige vertraging moet beslissen of en onder welke voorwaarden de gegevensuitwisseling moet beginnen of worden hervat, of met de houder van de gegevens kan overeenkomen de zaak voor te leggen aan een instantie voor geschillenbeslechting. De uitzonderingen op het recht op toegang tot gegevens in deze verordening mogen in geen geval het recht op toegang en het recht op gegevensoverdraagbaarheid van betrokkenen op grond van Verordening (EU) 2016/679 beperken.

(32) Het doel van deze verordening is niet alleen om de ontwikkeling van nieuwe, innovatieve verbonden producten of gerelateerde diensten te stimuleren, innovatie op secundaire markten te bevorderen, maar ook om de ontwikkeling van geheel nieuwe diensten te stimuleren waarbij gebruik wordt gemaakt van de betrokken gegevens, onder meer op basis van gegevens van een verscheidenheid aan verbonden producten of gerelateerde diensten. Tegelijkertijd beoogt deze verordening te voorkomen dat de investeringsstimulansen voor het type aangesloten product waarvan de gegevens worden verkregen, worden ondermijnd, bijvoorbeeld door het gebruik van gegevens voor de ontwikkeling van een concurrerend aangesloten product dat door gebruikers als onderling verwisselbaar of substitueerbaar wordt beschouwd, met name op basis van de kenmerken, de prijs en het beoogde gebruik van het aangesloten product. Deze verordening voorziet niet in een verbod op de ontwikkeling van een verbonden dienst waarbij gebruik wordt gemaakt van gegevens die krachtens deze verordening zijn verkregen, aangezien dit een ongewenst ontmoedigend effect op innovatie zou hebben. Een verbod op het gebruik van gegevens waartoe krachtens deze verordening toegang is verkregen voor de ontwikkeling van een concurrerend verbonden product beschermt de innovatie-inspanningen van de gegevenshouders. Of een verbonden product concurreert met het verbonden product waarvan de gegevens afkomstig zijn, hangt af van de vraag of de twee verbonden producten concurreren op dezelfde productmarkt. Dit moet worden bepaald op basis van de gevestigde beginselen van het mededingingsrecht van de Unie voor het definiëren van de relevante productmarkt. Wettige doeleinden voor het gebruik van de gegevens kunnen echter reverse engineering omvatten, op voorwaarde dat dit in overeenstemming is met de vereisten die in deze verordening en in de wetgeving van de Unie of de nationale wetgeving zijn vastgelegd. Dit kan het geval zijn voor het repareren of verlengen van de levensduur van een aangesloten product of voor het leveren van aftermarket-diensten voor aangesloten producten.

(33) Een derde aan wie gegevens ter beschikking worden gesteld, kan een natuurlijke of rechtspersoon zijn, zoals een consument, een onderneming, een onderzoeksorganisatieOnderzoeksorganisatie Een entiteit die als hoofddoel heeft toegepast onderzoek of experimentele ontwikkeling uit te voeren met het oog op het exploiteren van de resultaten van dat onderzoek voor commerciële doeleinden, met uitzondering van onderwijsinstellingen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)een organisatie zonder winstoogmerk of een entiteit die beroepsmatig optreedt. Bij het beschikbaar stellen van de gegevens aan de derde partij mag een gegevenshouder zijn positie niet misbruiken om een concurrentievoordeel te behalen op markten waar de gegevenshouder en de derde partij mogelijk rechtstreeks concurreren. De gegevenshouder mag daarom geen direct beschikbare gegevens gebruiken om inzichten af te leiden over de economische situatie, activa of productiemethoden van, of het gebruik door, de derde partij op een andere manier die de commerciële positie van de derde partij zou kunnen ondermijnen op de markten waarop de derde partij actief is. De gebruiker moet niet-persoonlijke gegevens kunnen delen met derden voor commerciële doeleinden. Met instemming van de gebruiker en met inachtneming van de bepalingen van deze verordening moeten derden de door de gebruiker verleende toegangsrechten tot de gegevens kunnen overdragen aan andere derden, ook in ruil voor een vergoeding. Business-to-business gegevensintermediairs en systemen voor het beheer van persoonlijke informatie (PIMS), in Verordening (EU) nr. 2022/868 gegevensbemiddelingsdiensten genoemd, kunnen gebruikers of derden ondersteunen bij het aangaan van commerciële betrekkingen met een onbepaald aantal potentiële tegenpartijen voor elk rechtmatig doel dat binnen het toepassingsgebied van deze verordening valt. Zij kunnen een instrumentele rol spelen bij het aggregeren van toegang tot gegevens zodat big data-analyses of machinaal leren kunnen worden vergemakkelijkt, op voorwaarde dat gebruikers de volledige controle behouden over het al dan niet verstrekken van hun gegevens aan een dergelijke aggregatie en over de commerciële voorwaarden waaronder hun gegevens worden gebruikt.

(34) Het gebruik van een verbonden product of een verbonden dienst kan, met name wanneer de gebruiker een natuurlijke persoon is, gegevens genereren die betrekking hebben op de betrokkene. Op de verwerking van dergelijke gegevens zijn de regels van Verordening (EU) 2016/679 van toepassing, ook wanneer persoonsgegevens en niet-persoonsgebonden gegevens in een dataset onlosmakelijk met elkaar verbonden zijn. De betrokkene kan de gebruiker of een andere natuurlijke persoon zijn. Persoonsgegevens kunnen alleen worden opgevraagd door een verwerkingsverantwoordelijke of een betrokkene. Een gebruiker die de betrokkene is, heeft onder bepaalde omstandigheden op grond van Verordening (EU) 2016/679 recht op toegang tot persoonsgegevens over die gebruiker en die rechten worden door deze verordening onverlet gelaten. Krachtens deze verordening heeft de gebruiker die een natuurlijke persoon is, verder recht op toegang tot alle gegevens die worden gegenereerd door het gebruik van een aangesloten product, ongeacht of deze persoonlijk of niet-persoonlijk zijn. Wanneer de gebruiker niet de betrokkene is, maar een onderneming, met inbegrip van een eenmanszaak, en niet in gevallen van gedeeld huishoudelijk gebruik van het aangesloten product, wordt de gebruiker beschouwd als een voor de verwerking verantwoordelijke. Dienovereenkomstig moet een dergelijke gebruiker die als verwerkingsverantwoordelijke persoonsgegevens wil opvragen die worden gegenereerd door het gebruik van een aangesloten product of een gerelateerde dienst, een rechtsgrondslag hebben voor de verwerking van de gegevens zoals vereist door artikel 6, lid 1, van Verordening (EU) 2016/679, zoals de toestemming van de betrokkene of de uitvoering van een overeenkomst waarbij de betrokkene partij is. Een dergelijke gebruiker moet ervoor zorgen dat de betrokkene naar behoren wordt geïnformeerd over de gespecificeerde, expliciete en gerechtvaardigde doeleinden voor de verwerking van deze gegevens en over de manier waarop de betrokkene zijn rechten effectief kan uitoefenen. Wanneer de houder van de gegevens en de gebruiker gezamenlijk verantwoordelijken voor de verwerking zijn in de zin van artikel 26 van Verordening (EU) 2016/679, moeten zij hun respectieve verantwoordelijkheden voor de naleving van die verordening op transparante wijze vaststellen door middel van een onderlinge regeling. Er dient te worden begrepen dat een dergelijke gebruiker, zodra gegevens beschikbaar zijn gesteld, op zijn beurt een houder van gegevens kan worden indien die gebruiker voldoet aan de criteria van deze verordening en aldus onderworpen wordt aan de verplichtingen om gegevens beschikbaar te stellen op grond van deze verordening.

(35) Productgegevens of gerelateerde dienstgegevens mogen alleen op verzoek van de gebruiker aan een derde ter beschikking worden gesteld. Deze verordening vormt dienovereenkomstig een aanvulling op het in artikel 20 van Verordening (EU) 2016/679 vastgelegde recht van betrokkenen om persoonsgegevens over hen te ontvangen in een gestructureerd, algemeen gebruikt en machineleesbaar formaat, alsook om deze gegevens over te dragen aan een andere voor de verwerking verantwoordelijke, wanneer deze gegevens langs geautomatiseerde weg worden verwerkt op grond van artikel 6, lid 1, onder a), of artikel 9, lid 2, onder a), of van een overeenkomst op grond van artikel 6, lid 1, onder b), van die verordening. Betrokkenen hebben ook het recht om de persoonsgegevens rechtstreeks van de ene voor de verwerking verantwoordelijke aan de andere te laten verstrekken, maar alleen als dat technisch haalbaar is. Artikel 20 van Verordening (EU) 2016/679 specificeert dat het betrekking heeft op gegevens die door de betrokkene worden verstrekt, maar specificeert niet of dit actief gedrag van de betrokkene vereist of dat het ook van toepassing is op situaties waarin een verbonden product of een verbonden dienst door zijn ontwerp het gedrag van een betrokkene of andere informatie met betrekking tot een betrokkene op passieve wijze observeert. De rechten waarin deze verordening voorziet, vormen in een aantal opzichten een aanvulling op het recht om persoonsgegevens te ontvangen en over te dragen op grond van artikel 20 van Verordening (EU) 2016/679. Deze verordening verleent gebruikers het recht op toegang tot en terbeschikkingstelling aan een derde van alle productgegevens of gerelateerde dienstgegevens, ongeacht hun aard als persoonsgegevens, ongeacht het onderscheid tussen actief verstrekte of passief waargenomen gegevens, en ongeacht de rechtsgrondslag van de verwerking. In tegenstelling tot artikel 20 van Verordening (EU) 2016/679, verplicht deze verordening derden toegang te verlenen tot alle soorten gegevens die binnen haar toepassingsgebied vallen, ongeacht of het om persoonsgegevens of niet-persoonsgegevens gaat, en zorgt zij ervoor dat technische obstakels de toegang tot dergelijke gegevens niet langer belemmeren of verhinderen. De richtlijn biedt houders van gegevens ook de mogelijkheid om een redelijke vergoeding vast te stellen die door derden, maar niet door de gebruiker, moet worden betaald voor de kosten die worden gemaakt voor het verlenen van rechtstreekse toegang tot de gegevens die worden gegenereerd door het aangesloten product van de gebruiker. Indien een gegevenshouder en een derde geen overeenstemming kunnen bereiken over de voorwaarden voor dergelijke rechtstreekse toegang, mag het de betrokkene op geen enkele wijze worden belet om de in Verordening (EU) 2016/679 vastgestelde rechten uit te oefenen, met inbegrip van het recht op gegevensoverdraagbaarheid, door rechtsmiddelen aan te wenden in overeenstemming met die verordening. In dit verband moet worden begrepen dat, in overeenstemming met Verordening (EU) 2016/679, een contract geen verwerking van bijzondere categorieën persoonsgegevens door de houder van de gegevens of de derde toestaat.

(36) De toegang tot gegevens die zijn opgeslagen in en toegankelijk zijn via eindapparatuur valt onder Richtlijn 2002/58/EG en vereist de toestemming van de abonnee of gebruiker in de zin van die richtlijn, tenzij de toegang strikt noodzakelijk is voor de levering van een uitdrukkelijk door de gebruiker of abonnee gevraagde dienst van de informatiemaatschappij of voor het enkele doel van de transmissie van een communicatie. Richtlijn 2002/58/EG beschermt de integriteit van de eindapparatuur van een gebruiker met betrekking tot het gebruik van verwerkings- en opslagmogelijkheden en het verzamelen van informatie. Apparatuur voor het internet van dingen wordt beschouwd als eindapparatuur als deze direct of indirect is aangesloten op een openbaar communicatienetwerk.

(37) Om uitbuiting van gebruikers te voorkomen, mogen derden aan wie op verzoek van de gebruiker gegevens ter beschikking zijn gesteld, deze gegevens alleen verwerken voor de met de gebruiker overeengekomen doeleinden en alleen met toestemming van de gebruiker delen met een andere derde.

(38) Overeenkomstig het beginsel van gegevensminimalisering mogen derden alleen toegang krijgen tot informatie die noodzakelijk is voor het verlenen van de door de gebruiker gevraagde dienst. Als de derde toegang heeft gekregen tot de gegevens, moet hij deze verwerken voor de doeleinden die met de gebruiker zijn overeengekomen, zonder tussenkomst van de houder van de gegevens. Het moet voor de gebruiker net zo gemakkelijk zijn om de toegang van de derde tot de gegevens te weigeren of stop te zetten als het voor de gebruiker is om de toegang toe te staan. Derden noch gegevenshouders mogen het de gebruiker onnodig moeilijk maken om keuzes te maken of rechten uit te oefenen, onder meer door de gebruiker keuzes aan te bieden op een niet-neutrale manier, of door de gebruiker te dwingen, te misleiden of te manipuleren, of door de autonomie, de besluitvorming of de keuzes van de gebruiker te ondermijnen of te beperken, onder meer door middel van een digitale gebruikersinterface of een onderdeel daarvan. In die context mogen derden of houders van gegevens niet vertrouwen op zogenaamde "dark patterns" bij het ontwerpen van hun digitale interfaces. Donkere patronen zijn ontwerptechnieken die consumenten dwingen of misleiden tot beslissingen die negatieve gevolgen voor hen hebben. Deze manipulatietechnieken kunnen worden gebruikt om gebruikers, in het bijzonder kwetsbare consumenten, over te halen tot ongewenst gedrag, om gebruikers te misleiden door hen te dwingen beslissingen te nemen over transacties in verband met de openbaarmaking van gegevens of om de besluitvorming van de gebruikers van de dienst op onredelijke wijze te beïnvloeden op een manier die hun autonomie, besluitvorming en keuze ondermijnt of beperkt. Gangbare en legitieme handelspraktijken die in overeenstemming zijn met de EU-wetgeving mogen op zichzelf niet als dark patterns worden beschouwd. Derden en houders van gegevens moeten voldoen aan hun verplichtingen uit hoofde van het toepasselijke recht van de Unie, in het bijzonder aan de vereisten die zijn vastgelegd in Richtlijn 98/6/EG (24 ) en Richtlijn 2000/31/EG (25 ) van het Europees Parlement en de Raad en in Richtlijnen 2005/29/EG en 2011/83/EU.

(39) Derden dienen zich ook te onthouden van het gebruik van gegevens die onder het toepassingsgebied van deze verordening vallen om profielen op te stellen van personen, tenzij dergelijke verwerkingsactiviteiten strikt noodzakelijk zijn om de door de gebruiker gevraagde dienst te verlenen, onder meer in het kader van geautomatiseerde besluitvorming. De eis om gegevens te wissen wanneer ze niet langer nodig zijn voor het met de gebruiker overeengekomen doel, tenzij anders overeengekomen met betrekking tot niet-persoonsgebonden gegevens, vormt een aanvulling op het recht op wissen van de betrokkene op grond van artikel 17 van Verordening (EU) 2016/679. Wanneer een derde een aanbieder van een gegevensbemiddelingsdienst is, zijn de waarborgen voor de betrokkene waarin Verordening (EU) 2022/868 voorziet, van toepassing. De derde partij mag de gegevens gebruiken om een nieuw en innovatief verbonden product of een gerelateerde dienst te ontwikkelen, maar niet om een concurrerend verbonden product te ontwikkelen.

(40) Startende ondernemingen, kleine ondernemingen, ondernemingen die overeenkomstig artikel 2 van de bijlage bij Aanbeveling 2003/361/EG als middelgrote onderneming kunnen worden aangemerkt en ondernemingen uit traditionele sectoren met minder ontwikkelde digitale capaciteiten hebben moeite om toegang te krijgen tot relevante gegevens. Deze verordening heeft tot doel de toegang tot gegevens voor deze entiteiten te vergemakkelijken en er tegelijkertijd voor te zorgen dat de overeenkomstige verplichtingen zo evenredig mogelijk zijn om een te grote reikwijdte te voorkomen. Tegelijkertijd is een klein aantal zeer grote ondernemingen ontstaan met aanzienlijke economische macht in de digitale economie door de accumulatie en aggregatie van enorme hoeveelheden gegevens en de technologische infrastructuur om deze te gelde te maken. Tot deze zeer grote ondernemingen behoren ondernemingen die kernplatformdiensten aanbieden en hele platformecosystemen in de digitale economie controleren en die bestaande of nieuwe marktdeelnemers niet kunnen uitdagen of betwisten. Verordening (EU) 2022/1925 van het Europees Parlement en de Raad (26 ) beoogt deze inefficiënties en onevenwichtigheden te corrigeren door de Commissie in staat te stellen een onderneming als "poortwachter" aan te wijzen, en legt deze poortwachters een aantal verplichtingen op, waaronder een verbod om bepaalde gegevens zonder toestemming te combineren en een verplichting om effectieve rechten op gegevensportabiliteit te waarborgen op grond van artikel 20 van Verordening (EU) 2016/679. In overeenstemming met Verordening (EU) nr. 2022/1925 en gezien de ongeëvenaarde mogelijkheden van deze ondernemingen om gegevens te verwerven, is het niet noodzakelijk om de doelstelling van deze verordening te verwezenlijken en zou het daarom onevenredig zijn om poortwachters op te nemen als begunstigden van het recht op toegang tot gegevens. Een dergelijke opname zou waarschijnlijk ook de voordelen van deze verordening voor kmo's beperken, die verband houden met de eerlijke verdeling van de waarde van gegevens over marktdeelnemers. Dit betekent dat een onderneming die kernplatformdiensten aanbiedt en die is aangewezen als poortwachter, geen toegang kan vragen of krijgen tot de gegevens van gebruikers die worden gegenereerd door het gebruik van een aangesloten product of een verbonden dienst of door een virtuele assistent overeenkomstig deze verordening. Bovendien mogen derden aan wie op verzoek van de gebruiker gegevens ter beschikking worden gesteld, deze gegevens niet ter beschikking stellen van een gatekeeper. De derde partij mag bijvoorbeeld de dienstverlening niet uitbesteden aan een poortwachter. Dit belet derden echter niet gebruik te maken van gegevensverwerkingsdiensten die door een gatekeeper worden aangeboden. Het belet deze ondernemingen evenmin om dezelfde gegevens via andere rechtmatige middelen te verkrijgen en te gebruiken. De toegangsrechten waarin deze verordening voorziet, dragen bij tot een ruimere keuze aan diensten voor de consument. Aangezien vrijwillige overeenkomsten tussen poortwachters en houders van gegevens onaangetast blijven, zou de beperking op het verlenen van toegang aan poortwachters hen niet uitsluiten van de markt of hen verhinderen hun diensten aan te bieden.

(41) Gezien de huidige stand van de technologie zou het voor micro-ondernemingen en kleine ondernemingen te belastend zijn om verdere ontwerpverplichtingen op te leggen met betrekking tot verbonden producten die door hen worden vervaardigd of ontworpen, of verbonden diensten die door hen worden verleend. Dit is echter niet het geval wanneer een micro-onderneming of een kleine onderneming een partneronderneming of een verbonden onderneming in de zin van artikel 3 van de bijlage bij Aanbeveling 2003/361/EG heeft die niet als micro-onderneming of kleine onderneming kan worden aangemerkt en die de vervaardiging of het ontwerp van een verbonden product of de verlening van een verbonden dienst uitbesteedt. In dergelijke situaties kan de onderneming die de fabricage of het ontwerp aan een micro-onderneming of een kleine onderneming heeft uitbesteed, de onderaannemer op passende wijze compenseren. Een micro-onderneming of een kleine onderneming kan niettemin worden onderworpen aan de in deze verordening vastgestelde voorschriften als houder van de gegevens wanneer zij niet de fabrikant van het verbonden product of een verlener van verbonden diensten is. Er moet een overgangsperiode gelden voor een onderneming die minder dan een jaar als middelgrote onderneming is gekwalificeerd en voor verbonden producten gedurende een jaar na de datum waarop zij door een middelgrote onderneming in de handel zijn gebracht. Een dergelijke periode van één jaar stelt een dergelijke middelgrote onderneming in staat zich aan te passen en voor te bereiden alvorens op de markt voor diensten concurrentie te ondervinden met betrekking tot de verbonden producten die zij vervaardigt op basis van de toegangsrechten waarin deze verordening voorziet. Een dergelijke overgangsperiode is niet van toepassing wanneer een dergelijke middelgrote onderneming een partneronderneming of een verbonden onderneming heeft die niet als micro-onderneming of kleine onderneming kan worden aangemerkt, of wanneer een dergelijke middelgrote onderneming het vervaardigen of ontwerpen van het verbonden product of het leveren van de verbonden dienst heeft uitbesteed.

(42) Rekening houdend met de verscheidenheid aan onderling verbonden producten die gegevens van verschillende aard, omvang en frequentie produceren, verschillende risico's voor gegevens en cyberbeveiliging met zich meebrengen en economische kansen van verschillende waarde bieden, en om te zorgen voor consistentie van de gegevensuitwisselingspraktijken op de interne markt, ook tussen sectoren, en om eerlijke gegevensuitwisselingspraktijken aan te moedigen en te bevorderen, zelfs op gebieden waar niet in een dergelijk recht op toegang tot gegevens is voorzien, voorziet deze verordening in horizontale regels voor de regelingen voor toegang tot gegevens telkens wanneer een houder van gegevens krachtens het recht van de Unie of krachtens nationale wetgeving die in overeenstemming met het recht van de Unie is vastgesteld, verplicht is gegevens beschikbaar te stellen aan een ontvanger van gegevens. Deze toegang moet worden gebaseerd op eerlijke, redelijke, niet-discriminerende en transparante voorwaarden. Deze algemene toegangsregels zijn niet van toepassing op verplichtingen om gegevens beschikbaar te stellen op grond van Verordening (EU) 2016/679. Vrijwillige gegevensuitwisseling blijft onaangetast door deze regels. De door de Commissie te ontwikkelen en aan te bevelen niet-bindende modelcontractvoorwaarden voor de uitwisseling van gegevens tussen bedrijven kunnen partijen helpen contracten te sluiten die eerlijke, redelijke en niet-discriminerende voorwaarden bevatten en die op transparante wijze moeten worden uitgevoerd. Het sluiten van contracten, die de niet-bindende modelcontractbepalingen kunnen omvatten, mag niet betekenen dat het recht om gegevens met derden te delen op enigerlei wijze afhankelijk is van het bestaan van een dergelijk contract. Mochten partijen er niet in slagen een contract over gegevensuitwisseling te sluiten, ook niet met de steun van organen voor geschillenbeslechting, dan is het recht om gegevens met derden uit te wisselen afdwingbaar voor nationale rechtbanken of tribunalen.

(43) Op basis van het beginsel van contractvrijheid dienen partijen de vrijheid te behouden om binnen het kader van de algemene toegangsregels voor het beschikbaar stellen van gegevens in hun contracten te onderhandelen over de precieze voorwaarden voor het beschikbaar stellen van gegevens. De voorwaarden van dergelijke contracten kunnen technische en organisatorische maatregelen omvatten, onder meer met betrekking tot gegevensbeveiliging.

(44) Teneinde te waarborgen dat de voorwaarden voor verplichte toegang tot gegevens billijk zijn voor beide partijen bij een overeenkomst, dienen de algemene regels betreffende het recht op toegang tot gegevens te verwijzen naar de regel betreffende het vermijden van oneerlijke bedingen in overeenkomsten.

(45) Alle in business-to-business-betrekkingen gesloten overeenkomsten voor de beschikbaarstelling van gegevens dienen niet-discriminerend te zijn tussen vergelijkbare categorieën ontvangers van gegevens, ongeacht of de partijen grote ondernemingen of kmo's zijn. Ter compensatie van het gebrek aan informatie over de voorwaarden in verschillende overeenkomsten, waardoor de ontvanger van de gegevens moeilijk kan beoordelen of de voorwaarden voor het beschikbaar stellen van de gegevens niet-discriminerend zijn, dient het de verantwoordelijkheid van de houders van de gegevens te zijn om aan te tonen dat een contractueel beding niet discriminerend is. Het is geen onwettige discriminatie wanneer een houder van gegevens verschillende contractuele voorwaarden voor de beschikbaarstelling van gegevens hanteert indien die verschillen door objectieve redenen worden gerechtvaardigd. Deze verplichtingen laten Verordening (EU) 2016/679 onverlet.

(46) Teneinde te bevorderen dat er geïnvesteerd blijft worden in het genereren en beschikbaar stellen van waardevolle gegevens, met inbegrip van investeringen in relevante technische instrumenten, en tegelijkertijd buitensporige lasten voor de toegang tot en het gebruik van gegevens te vermijden die het delen van gegevens commercieel niet langer haalbaar maken, is in deze verordening het beginsel opgenomen dat de houders van gegevens in business-to-businessbetrekkingen een redelijke vergoeding mogen vragen wanneer zij op grond van het recht van de Unie of nationale wetgeving die in overeenstemming met het recht van de Unie is vastgesteld, verplicht zijn gegevens beschikbaar te stellen aan een ontvanger van gegevens. Een dergelijke vergoeding mag niet worden beschouwd als een betaling voor de gegevens zelf. De Commissie dient richtsnoeren vast te stellen voor de berekening van een redelijke vergoeding in de gegevenseconomie.

(47) In de eerste plaats kan een redelijke vergoeding om te voldoen aan de verplichting krachtens het recht van de Unie of krachtens nationale wetgeving die in overeenstemming met het recht van de Unie is vastgesteld, om in te gaan op een verzoek om gegevens beschikbaar te stellen, een vergoeding omvatten voor de kosten die zijn gemaakt om de gegevens beschikbaar te stellen. Deze kosten kunnen technische kosten zijn, zoals de kosten die nodig zijn voor de reproductie, verspreiding langs elektronische weg en opslag van gegevens, maar niet voor het verzamelen of produceren van gegevens. Dergelijke technische kosten kunnen ook de verwerkingskosten omvatten die nodig zijn om de gegevens beschikbaar te stellen, met inbegrip van de kosten voor het opmaken van de gegevens. De kosten voor het beschikbaar stellen van gegevens kunnen ook de kosten omvatten voor het faciliteren van concrete verzoeken om gegevensuitwisseling. Ze kunnen ook variëren afhankelijk van het volume van de gegevens en de regelingen die zijn getroffen om de gegevens beschikbaar te stellen. Langetermijnafspraken tussen gegevenshouders en ontvangers van gegevens, bijvoorbeeld via een abonnementsmodel of het gebruik van slimme contracten, kunnen de kosten verlagen bij regelmatige of repetitieve transacties in een zakelijke relatie. De kosten voor het beschikbaar stellen van gegevens zijn specifiek voor een bepaald verzoek of worden gedeeld met andere verzoeken. In het laatste geval zou een enkele ontvanger van gegevens niet de volledige kosten van het beschikbaar stellen van de gegevens moeten betalen. Ten tweede mag een redelijke vergoeding ook een marge omvatten, behalve voor kmo's en onderzoeksorganisaties zonder winstoogmerk. Een marge kan variëren afhankelijk van factoren die verband houden met de gegevens zelf, zoals volume, formaat of aard van de gegevens. Er kan rekening worden gehouden met de kosten voor het verzamelen van de gegevens. Een marge kan daarom dalen wanneer de gegevenshouder de gegevens zonder aanzienlijke investeringen voor zijn eigen bedrijf heeft verzameld, of kan stijgen wanneer de investeringen in het verzamelen van gegevens voor het bedrijf van de gegevenshouder hoog zijn. De marge kan beperkt of zelfs uitgesloten zijn in situaties waarin het gebruik van de gegevens door de ontvanger geen invloed heeft op de eigen activiteiten van de gegevenshouder. Het feit dat de gegevens mede worden gegenereerd door een verbonden product dat eigendom is van de gebruiker of door hem wordt gehuurd of geleased, kan het compensatiebedrag ook verlagen in vergelijking met andere situaties waarin de gegevens worden gegenereerd door de gegevenshouder, bijvoorbeeld tijdens het verlenen van een verbonden dienst.

(48) Het is niet nodig tussenbeide te komen in het geval van gegevensuitwisseling tussen grote ondernemingen of wanneer de houder van de gegevens een kleine of middelgrote onderneming is en de ontvanger van de gegevens een grote onderneming. In dergelijke gevallen worden de ondernemingen geacht in staat te zijn over de vergoeding te onderhandelen binnen de grenzen van wat redelijk en niet-discriminerend is.

(49) Om kmo's te beschermen tegen buitensporige economische lasten die het voor hen commercieel te moeilijk zouden maken om innovatieve bedrijfsmodellen te ontwikkelen en toe te passen, mag de door hen te betalen redelijke vergoeding voor het beschikbaar stellen van gegevens niet hoger zijn dan de kosten die rechtstreeks verband houden met het beschikbaar stellen van de gegevens. Rechtstreeks gerelateerde kosten zijn de kosten die kunnen worden toegeschreven aan individuele verzoeken, rekening houdend met het feit dat de noodzakelijke technische interfaces of gerelateerde software en connectiviteit permanent door de houder van de gegevens moeten worden geïnstalleerd. Dezelfde regeling moet gelden voor onderzoeksorganisaties zonder winstoogmerk.

(50) In naar behoren gemotiveerde gevallen, onder meer wanneer de participatie van de consument en de mededinging moeten worden gewaarborgd of wanneer de innovatie op bepaalde markten moet worden bevorderd, kan in het Unierecht of in overeenkomstig het Unierecht vastgestelde nationale wetgeving worden voorzien in een gereglementeerde vergoeding voor het beschikbaar stellen van specifieke soorten gegevens.

(51) Transparantie is een belangrijk beginsel om ervoor te zorgen dat de door een gegevenshouder gevraagde vergoeding redelijk is of, indien de ontvanger van de gegevens een kmo of een onderzoeksorganisatie zonder winstoogmerk is, dat de vergoeding niet hoger is dan de kosten die rechtstreeks verband houden met het ter beschikking stellen van de gegevens aan de ontvanger van de gegevens en toerekenbaar zijn aan het desbetreffende individuele verzoek. Om ontvangers van gegevens in staat te stellen te beoordelen en te controleren of de vergoeding voldoet aan de eisen van deze verordening, dient de houder van de gegevens de ontvanger van de gegevens voldoende gedetailleerde informatie te verstrekken voor de berekening van de vergoeding.

(52) Het waarborgen van de toegang tot alternatieve manieren om binnenlandse en grensoverschrijdende geschillen op te lossen die ontstaan in verband met het beschikbaar stellen van gegevens, moet ten goede komen aan de houders en ontvangers van gegevens en daardoor het vertrouwen in gegevensuitwisseling versterken. Wanneer de partijen het niet eens kunnen worden over billijke, redelijke en niet-discriminerende voorwaarden voor het beschikbaar stellen van gegevens, moeten organen voor geschillenbeslechting de partijen een eenvoudige, snelle en goedkope oplossing bieden. Hoewel deze verordening alleen de voorwaarden vaststelt waaraan organen voor geschillenbeslechting moeten voldoen om te worden gecertificeerd, staat het de lidstaten vrij om specifieke regels voor de certificeringsprocedure vast te stellen, waaronder regels voor het vervallen of intrekken van de certificering. De bepalingen van deze verordening betreffende geschillenbeslechting mogen de lidstaten er niet toe verplichten organen voor geschillenbeslechting op te richten.

(53) De geschillenbeslechtingsprocedure in het kader van deze verordening is een vrijwillige procedure die gebruikers, houders en ontvangers van gegevens de mogelijkheid biedt overeen te komen hun geschillen aan geschillenbeslechtingsinstanties voor te leggen. Daarom moet het de partijen vrij staan zich tot een geschillenbeslechtingsorgaan van hun keuze te wenden, binnen of buiten de lidstaten waar die partijen gevestigd zijn.

(54) Om te voorkomen dat twee of meer organen voor geschillenbeslechting worden aangezocht voor hetzelfde geschil, met name in een grensoverschrijdende situatie, moet een orgaan voor geschillenbeslechting kunnen weigeren een verzoek om beslechting van een geschil dat al bij een ander orgaan voor geschillenbeslechting of bij een rechterlijke instantie van een lidstaat aanhangig is gemaakt, in behandeling te nemen.

(55) Teneinde de eenvormige toepassing van deze verordening te waarborgen, dienen de organen voor geschillenbeslechting rekening te houden met de door de Commissie op te stellen en aan te bevelen niet-bindende modelcontractbepalingen en met het recht van de Unie of het nationale recht waarin de verplichtingen inzake gegevensuitwisseling zijn gespecificeerd, of met de door de sectorale autoriteiten uitgevaardigde richtsnoeren voor de toepassing van dat recht.

(56) Partijen bij procedures voor geschillenbeslechting mogen niet worden belet hun grondrechten op een doeltreffende voorziening in rechte en op een onpartijdig gerecht uit te oefenen. Daarom mag de beslissing om een geschil aan een instantie voor geschillenbeslechting voor te leggen, die partijen niet het recht ontnemen verhaal te zoeken voor een rechterlijke instantie van een lidstaat. Organen voor geschillenbeslechting moeten jaarlijkse activiteitenverslagen openbaar maken.

(57) De houders van gegevens mogen passende technische beschermingsmaatregelen nemen om de onrechtmatige bekendmaking van of toegang tot gegevens te voorkomen. Deze maatregelen mogen echter geen onderscheid maken tussen ontvangers van gegevens en de toegang tot of het gebruik van gegevens voor gebruikers of ontvangers van gegevens niet belemmeren. In het geval van misbruik door een ontvanger van gegevens, zoals het misleiden van de houder van de gegevens door het verstrekken van onjuiste informatie met de bedoeling om de gegevens te gebruiken voor onwettige doeleinden, waaronder het ontwikkelen van een concurrerend verbonden product op basis van de gegevens, kan de houder van de gegevens en, indien van toepassing en indien zij niet dezelfde persoon zijn, de houder van het handelsgeheim of de gebruiker de derde partij of ontvanger van de gegevens verzoeken om zonder onnodige vertraging corrigerende of herstelmaatregelen te treffen. Dergelijke verzoeken, en met name verzoeken tot beëindiging van de productie, het aanbieden of het in de handel brengen van goederen, afgeleide gegevens of diensten, alsmede verzoeken tot beëindiging van de invoer, uitvoer, opslag of vernietiging van inbreukmakende goederen, moeten worden beoordeeld in het licht van hun evenredigheid ten opzichte van de belangen van de houder van de gegevens, de houder van het fabrieksgeheim of de gebruiker.

(58) Wanneer één partij in een sterkere onderhandelingspositie verkeert, bestaat het risico dat die partij die positie ten nadele van de andere contractpartij kan aanwenden bij de onderhandelingen over toegang tot gegevens, met als gevolg dat toegang tot gegevens commercieel minder haalbaar is en soms economisch onmogelijk wordt. Dergelijke contractuele onevenwichtigheden schaden alle ondernemingen die geen zinvolle mogelijkheid hebben om te onderhandelen over de voorwaarden voor toegang tot gegevens en die mogelijk geen andere keuze hebben dan het accepteren van take-it-or-leave-it contractvoorwaarden. Oneerlijke contractuele voorwaarden die de toegang tot en het gebruik van gegevens reguleren, of aansprakelijkheid en rechtsmiddelen voor de schending of de beëindiging van gegevensgerelateerde verplichtingen, mogen daarom niet bindend zijn voor ondernemingen wanneer die voorwaarden eenzijdig aan die ondernemingen zijn opgelegd.

(59) Regels inzake contractuele bedingen moeten rekening houden met het beginsel van contractuele vrijheid als een essentieel concept in relaties tussen ondernemingen. Daarom moeten niet alle contractuele bedingen aan een oneerlijkheidstoets worden onderworpen, maar alleen die bedingen die eenzijdig worden opgelegd. Dit betreft take-it-or-leave-it-situaties waarbij de ene partij een bepaalde contractvoorwaarde levert en de andere onderneming de inhoud van die voorwaarde niet kan beïnvloeden ondanks een poging om erover te onderhandelen. Een contractvoorwaarde die eenvoudigweg door de ene partij wordt verstrekt en door de andere onderneming wordt geaccepteerd of een voorwaarde waarover is onderhandeld en die vervolgens in gewijzigde vorm tussen de contracterende partijen is overeengekomen, mag niet worden beschouwd als eenzijdig opgelegd.

(60) Voorts dienen de regels betreffende oneerlijke bedingen in overeenkomsten alleen van toepassing te zijn op die onderdelen van een overeenkomst die verband houden met het beschikbaar stellen van gegevens, d.w.z. contractuele bedingen betreffende de toegang tot en het gebruik van de gegevens alsmede aansprakelijkheid of rechtsmiddelen in geval van schending en beëindiging van verplichtingen in verband met gegevens. Andere onderdelen van hetzelfde contract, die geen verband houden met het beschikbaar stellen van gegevens, dienen niet te worden onderworpen aan de oneerlijkheidstoets van deze verordening.

(61) Criteria voor het vaststellen van oneerlijke bedingen in overeenkomsten dienen alleen te worden toegepast op buitensporige bedingen waarbij misbruik is gemaakt van een sterkere onderhandelingspositie. De overgrote meerderheid van contractuele bedingen die commercieel gunstiger zijn voor de ene partij dan voor de andere, met inbegrip van bedingen die gebruikelijk zijn in overeenkomsten tussen ondernemingen, zijn een normale uitdrukking van het beginsel van contractvrijheid en blijven van toepassing. Voor de toepassing van deze verordening houdt een grove afwijking van goede handelspraktijken onder meer in dat de partij aan wie het beding eenzijdig is opgelegd, objectief wordt beperkt in haar mogelijkheden om haar rechtmatige commerciële belang bij de gegevens in kwestie te beschermen.

(62) Met het oog op de rechtszekerheid bevat deze verordening een lijst van bedingen die altijd als oneerlijk worden beschouwd en een lijst van bedingen die als oneerlijk worden beschouwd. In het laatste geval moet de onderneming die het contractuele beding oplegt, het vermoeden van oneerlijkheid kunnen weerleggen door aan te tonen dat het in deze verordening genoemde contractuele beding in het specifieke geval in kwestie niet oneerlijk is. Indien een contractueel beding niet is opgenomen in de lijst van bedingen die altijd als oneerlijk worden beschouwd of die verondersteld worden oneerlijk te zijn, is de algemene bepaling inzake oneerlijkheid van toepassing. In dat opzicht moeten de bedingen die in deze verordening als oneerlijke bedingen in overeenkomsten zijn opgenomen, dienen als maatstaf voor de interpretatie van de algemene bepaling inzake oneerlijkheid. Ten slotte kunnen niet-bindende modelcontractbepalingen voor business-to-business gegevensuitwisselingscontracten, die door de Commissie zullen worden ontwikkeld en aanbevolen, ook nuttig zijn voor commerciële partijen bij de onderhandelingen over contracten. Als een contractueel beding oneerlijk wordt verklaard, moet het betrokken contract zonder dat beding van toepassing blijven, tenzij het oneerlijke contractuele beding niet scheidbaar is van de andere bedingen van het contract.

(63) In situaties van uitzonderlijke noodzaak kan het voor openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie noodzakelijk zijn om bij de uitvoering van hun wettelijke taken in het algemeen belang gebruik te maken van bestaande gegevens, met inbegrip van, in voorkomend geval, begeleidende metagegevens, om te reageren op openbare noodsituaties of in andere uitzonderlijke gevallen. Uitzonderlijke behoeften zijn omstandigheden die onvoorspelbaar en van beperkte duur zijn, in tegenstelling tot andere omstandigheden die gepland, gepland, periodiek of frequent kunnen zijn. Hoewel het begrip "houder van gegevens" over het algemeen geen overheidsinstanties omvat, kan het wel overheidsbedrijven omvatten. Organisaties die onderzoek uitvoeren en organisaties die onderzoek financieren zouden ook kunnen worden georganiseerd als organen van de publieke sector of publiekrechtelijke instellingen. Om de lasten voor het bedrijfsleven te beperken, mogen micro-ondernemingen en kleine ondernemingen alleen worden verplicht gegevens te verstrekken aan openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie in situaties van buitengewone noodzaak, wanneer deze gegevens nodig zijn om te reageren op een noodsituatie en het openbare lichaam, de Commissie, de Europese Centrale Bank of het orgaan van de Unie deze gegevens niet op een andere wijze tijdig en doeltreffend onder gelijkwaardige voorwaarden kan verkrijgen.

(64) In het geval van openbare noodsituaties, zoals noodsituaties op het gebied van de volksgezondheid, noodsituaties die het gevolg zijn van natuurrampen, waaronder die welke worden verergerd door klimaatverandering en aantasting van het milieu, en door de mens veroorzaakte grote rampen, zoals ernstige cyberbeveiligingsincidenten, weegt het algemeen belang dat voortvloeit uit het gebruik van de gegevens zwaarder dan het belang van de houders van de gegevens om vrij te beschikken over de gegevens waarover zij beschikken. In een dergelijk geval dienen de houders van de gegevens verplicht te worden de gegevens op hun verzoek beschikbaar te stellen aan openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie. Het bestaan van een noodsituatie dient te worden vastgesteld of afgekondigd overeenkomstig het recht van de Unie of het nationale recht en op basis van de relevante procedures, met inbegrip van die van de relevante internationale organisaties. In dergelijke gevallen moet het openbare lichaam aantonen dat de gegevens waarop het verzoek betrekking heeft, niet anderszins tijdig, doeltreffend en onder gelijkwaardige voorwaarden kunnen worden verkregen, bijvoorbeeld door vrijwillige verstrekking van gegevens door een andere onderneming of door raadpleging van een openbare databank.

(65) Een uitzonderlijke behoefte kan ook voortvloeien uit niet-spoedeisende situaties. In dergelijke gevallen dient het een openbaar lichaam, de Commissie, de Europese Centrale Bank of een orgaan van de Unie te zijn toegestaan uitsluitend niet-persoonsgebonden gegevens op te vragen. Het openbare lichaam moet aantonen dat de gegevens noodzakelijk zijn voor de vervulling van een specifieke taak van algemeen belang waarin de wet uitdrukkelijk voorziet, zoals de productie van officiële statistieken of de beperking van of het herstel na een noodsituatie. Bovendien kan een dergelijk verzoek alleen worden gedaan wanneer het openbare lichaam, de Commissie, de Europese Centrale Bank of een orgaan van de Unie specifieke gegevens heeft geïdentificeerd die anders niet tijdig en doeltreffend onder gelijkwaardige voorwaarden zouden kunnen worden verkregen, en alleen wanneer alle andere middelen waarover het beschikt om dergelijke gegevens te verkrijgen, zijn uitgeput, zoals het verkrijgen van de gegevens door middel van vrijwillige overeenkomsten, met inbegrip van de aankoop van niet-persoonsgebonden gegevens op de markt door middel van het aanbieden van markttarieven, of door een beroep te doen op bestaande verplichtingen om gegevens beschikbaar te stellen of de aanneming van nieuwe wetgevende maatregelen die de tijdige beschikbaarheid van gegevens zouden kunnen waarborgen. De voorwaarden en beginselen voor verzoeken, zoals doelbinding, evenredigheid, transparantie en beperking in de tijd, moeten ook van toepassing zijn. Bij verzoeken om gegevens die nodig zijn voor de productie van officiële statistieken, moet het verzoekende openbare lichaam ook aantonen of de nationale wetgeving het toestaat niet-persoonsgebonden gegevens op de markt te kopen.

(66) Deze verordening dient niet van toepassing te zijn op, of vooruit te lopen op, vrijwillige regelingen voor de uitwisseling van gegevens tussen particuliere en openbare entiteiten, met inbegrip van de verstrekking van gegevens door kmo's, en laat rechtshandelingen van de Unie onverlet die voorzien in verplichte informatieverzoeken van openbare entiteiten aan particuliere entiteiten. Deze verordening dient geen afbreuk te doen aan verplichtingen van houders van gegevens om gegevens te verstrekken die zijn ingegeven door behoeften van niet-uitzonderlijke aard, met name wanneer de reeks gegevens en de houders van de gegevens bekend is of wanneer het gebruik van gegevens op regelmatige basis kan plaatsvinden, zoals in het geval van rapportageverplichtingen en verplichtingen betreffende de interne markt. Deze verordening dient evenmin afbreuk te doen aan eisen inzake toegang tot gegevens om de naleving van toepasselijke regels te controleren, ook wanneer openbare lichamen de taak van de controle op de naleving aan andere entiteiten dan openbare lichamen toevertrouwen.

(67) Deze verordening vormt een aanvulling op en doet geen afbreuk aan het recht van de Unie en het nationale recht dat voorziet in toegang tot en gebruik van gegevens voor statistische doeleinden, met name Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad (27 ) en nationale rechtshandelingen met betrekking tot officiële statistieken.

(68) Voor de uitoefening van hun taken op het gebied van preventie, onderzoek, opsporing en vervolging van strafrechtelijke of administratieve inbreuken of de tenuitvoerlegging van strafrechtelijke en administratieve sancties, alsmede voor het verzamelen van gegevens voor belasting- of douanedoeleinden, dienen overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie zich te baseren op hun bevoegdheden op grond van de wetgeving van de Unie of de nationale wetgeving. Deze verordening laat derhalve de wetgevingshandelingen betreffende het delen van, de toegang tot en het gebruik van gegevens op die gebieden onverlet.

(69) Overeenkomstig artikel 6, leden 1 en 3, van Verordening (EU) 2016/679 is een evenredig, beperkt en voorspelbaar kader op het niveau van de Unie noodzakelijk bij het vaststellen van de rechtsgrondslag voor de beschikbaarstelling van gegevens door gegevenshouders, in gevallen van buitengewone behoeften, aan openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie, zowel om rechtszekerheid te waarborgen als om de administratieve lasten voor ondernemingen tot een minimum te beperken. Daartoe moeten verzoeken van overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie aan houders van gegevens specifiek, transparant en evenredig zijn wat betreft de reikwijdte van de inhoud en de mate van granulariteit. Het doel van het verzoek en het beoogde gebruik van de gevraagde gegevens moeten specifiek zijn en duidelijk worden toegelicht, waarbij de verzoekende entiteit de nodige flexibiliteit moet worden gelaten om haar specifieke taken in het algemeen belang uit te voeren. Het verzoek moet ook de legitieme belangen respecteren van de houder van de gegevens aan wie het verzoek wordt gericht. De last voor de houders van gegevens moet tot een minimum worden beperkt door verzoekende entiteiten te verplichten het eenmaligheidsbeginsel in acht te nemen, dat voorkomt dat dezelfde gegevens meer dan eens worden opgevraagd door meer dan één openbare instantie of door de Commissie, de Europese Centrale Bank of organen van de Unie. Met het oog op transparantie moeten verzoeken van de Commissie, de Europese Centrale Bank of organen van de Unie om gegevens zonder onnodige vertraging openbaar worden gemaakt door de entiteit die om de gegevens verzoekt. De Europese Centrale Bank en de organen van de Unie dienen de Commissie van hun verzoeken in kennis te stellen. Indien het verzoek om gegevens is gedaan door een openbaar lichaam, dient dat lichaam ook de gegevenscoördinator van de lidstaat waar het openbare lichaam is gevestigd, op de hoogte te stellen. Alle verzoeken moeten online beschikbaar zijn voor het publiek. Na ontvangst van een kennisgeving van een gegevensverzoek kan de bevoegde autoriteit besluiten de rechtmatigheid van het verzoek te beoordelen en haar taken in verband met de handhaving en toepassing van deze verordening uit te oefenen. De gegevenscoördinator moet ervoor zorgen dat alle verzoeken van openbare lichamen online beschikbaar zijn voor het publiek.

(70) Het doel van de verplichting om de gegevens te verstrekken is ervoor te zorgen dat openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie over de nodige kennis beschikken om te reageren op noodsituaties, deze te voorkomen of zich daarvan te herstellen, of om de capaciteit in stand te houden om specifieke taken uit te voeren waarin uitdrukkelijk bij wet is voorzien. De door deze entiteiten verkregen gegevens kunnen commercieel gevoelig zijn. Daarom mogen noch Verordening (EU) 2022/868 noch Richtlijn (EU) 2019/1024 van het Europees Parlement en de Raad (28 ) van toepassing zijn op gegevens die krachtens deze verordening beschikbaar worden gesteld en mogen zij niet worden beschouwd als open gegevens die beschikbaar zijn voor hergebruik door derden. Dit mag echter geen invloed hebben op de toepasselijkheid van Richtlijn (EU) 2019/1024 op het hergebruik van officiële statistieken voor de productie waarvan krachtens deze verordening verkregen gegevens zijn gebruikt, mits het hergebruik geen betrekking heeft op de onderliggende gegevens. Bovendien mag geen afbreuk worden gedaan aan de mogelijkheid om de gegevens te delen voor het uitvoeren van onderzoek of voor de ontwikkeling, productie en verspreiding van officiële statistieken, mits aan de voorwaarden van deze verordening is voldaan. Openbare lichamen moeten ook gegevens die krachtens deze verordening zijn verkregen, kunnen uitwisselen met andere openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie om te voorzien in de uitzonderlijke behoeften waarvoor de gegevens zijn gevraagd.

(71) De houders van gegevens dienen de mogelijkheid te hebben een verzoek van een overheidsorgaan, de Commissie, de Europese Centrale Bank of een orgaan van de Unie af te wijzen of te verzoeken het zonder onnodige vertraging en in elk geval niet later dan binnen een termijn van vijf of dertig werkdagen, afhankelijk van de aard van de in het verzoek aangevoerde uitzonderlijke noodzaak, te wijzigen. In voorkomend geval dient de houder van de gegevens over deze mogelijkheid te beschikken wanneer hij geen controle heeft over de gevraagde gegevens, dat wil zeggen wanneer hij niet onmiddellijk toegang heeft tot de gegevens en de beschikbaarheid ervan niet kan vaststellen. Er dient sprake te zijn van een geldige reden om de gegevens niet beschikbaar te stellen indien kan worden aangetoond dat het verzoek vergelijkbaar is met een eerder ingediend verzoek voor hetzelfde doel van een ander overheidsorgaan of de Commissie, de Europese Centrale Bank of een orgaan van de Unie en de houder van de gegevens niet in kennis is gesteld van het wissen van de gegevens overeenkomstig deze verordening. Een houder van gegevens die het verzoek afwijst of om wijziging ervan verzoekt, dient het openbare lichaam, de Commissie, de Europese Centrale Bank of een orgaan van de Unie dat om de gegevens verzoekt, in kennis te stellen van de onderliggende rechtvaardiging. Indien de rechten sui generis van Richtlijn 96/9/EG van het Europees Parlement en de Raad (29 ) van toepassing zijn op de gevraagde gegevensreeksen, dienen de houders van de gegevens hun rechten zodanig uit te oefenen dat het openbare lichaam, de Commissie, de Europese Centrale Bank of een orgaan van de Unie niet wordt belet de gegevens te verkrijgen of te delen overeenkomstig deze verordening.

(72) In het geval van een uitzonderlijke behoefte in verband met een noodsituatie moeten openbare lichamen waar mogelijk niet-persoonsgebonden gegevens gebruiken. Bij verzoeken op grond van een uitzonderlijke behoefte die geen verband houdt met een noodsituatie kunnen geen persoonsgegevens worden gevraagd. Wanneer persoonsgegevens binnen de reikwijdte van het verzoek vallen, moet de houder van de gegevens de gegevens anonimiseren. Wanneer het strikt noodzakelijk is om persoonsgegevens op te nemen in de gegevens die ter beschikking moeten worden gesteld van een overheidsorgaan, de Commissie, de Europese Centrale Bank of een orgaan van de Unie of wanneer anonimisering onmogelijk blijkt, moet de entiteit die om de gegevens verzoekt, de strikte noodzaak en de specifieke en beperkte doeleinden van de verwerking aantonen. De toepasselijke regels inzake de bescherming van persoonsgegevens moeten worden nageleefd. Het beschikbaar stellen van de gegevens en het daaropvolgende gebruik ervan moeten gepaard gaan met waarborgen voor de rechten en belangen van de personen op wie deze gegevens betrekking hebben.

(73) Gegevens die op grond van een uitzonderlijke behoefte aan openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie ter beschikking zijn gesteld, dienen uitsluitend te worden gebruikt voor de doeleinden waarvoor zij werden opgevraagd, tenzij de houder van de gegevens die de gegevens ter beschikking heeft gesteld, uitdrukkelijk heeft ingestemd met het gebruik van de gegevens voor andere doeleinden. De gegevens dienen te worden gewist zodra ze niet langer nodig zijn voor de in het verzoek vermelde doeleinden, tenzij anders overeengekomen, en de houder van de gegevens dient daarvan in kennis te worden gesteld. Deze verordening bouwt voort op de bestaande toegangsregelingen in de Unie en de lidstaten en houdt geen wijziging in van de nationale wetgeving inzake de toegang van het publiek tot documenten in het kader van de transparantieverplichtingen. Gegevens moeten worden gewist zodra ze niet langer nodig zijn om aan dergelijke transparantieverplichtingen te voldoen.

(74) Wanneer openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie door gegevenshouders verstrekte gegevens hergebruiken, dienen zij zowel het bestaande toepasselijke recht van de Unie of de lidstaten als de contractuele verplichtingen waaraan de gegevenshouder is onderworpen, in acht te nemen. Zij dienen zich te onthouden van de ontwikkeling of verbetering van een verbonden product of een verbonden dienst die concurreert met het verbonden product of de verbonden dienst van de gegevenshouder, alsook van het delen van de gegevens met een derde voor die doeleinden. Ze moeten ook publiekelijk erkenning geven aan de gegevenshouders op hun verzoek en moeten verantwoordelijk zijn voor de beveiliging van de ontvangen gegevens. Wanneer de bekendmaking van bedrijfsgeheimen van de gegevenshouder aan openbare lichamen, de Commissie, de Europese Centrale Bank of organen van de Unie strikt noodzakelijk is voor het doel waarvoor de gegevens zijn gevraagd, dient de vertrouwelijkheid van die bekendmaking te worden gewaarborgd voordat de gegevens worden bekendgemaakt.

(75) Wanneer de bescherming van een belangrijk openbaar goed op het spel staat, zoals bij het reageren op noodsituaties, mag van het betrokken openbare lichaam, de Commissie, de Europese Centrale Bank of het orgaan van de Unie niet worden verwacht dat zij ondernemingen vergoeden voor de verkregen gegevens. Openbare noodsituaties zijn zeldzame gebeurtenissen en niet al deze noodsituaties vereisen het gebruik van gegevens waarover ondernemingen beschikken. Tegelijkertijd kan de verplichting om gegevens te verstrekken een aanzienlijke last vormen voor micro-ondernemingen en kleine ondernemingen. Zij moeten daarom compensatie kunnen eisen, zelfs in het kader van een reactie op een noodsituatie. De bedrijfsactiviteiten van de houders van de gegevens zullen daarom waarschijnlijk niet negatief worden beïnvloed doordat de openbare lichamen, de Commissie, de Europese Centrale Bank of de organen van de Unie een beroep doen op deze verordening. Aangezien gevallen van uitzonderlijke noodzaak, met uitzondering van gevallen waarin moet worden gereageerd op een noodsituatie, echter vaker kunnen voorkomen, dienen de houders van gegevens in dergelijke gevallen recht te hebben op een redelijke vergoeding die niet hoger mag zijn dan de technische en organisatorische kosten om aan het verzoek te voldoen en de redelijke marge die nodig is om de gegevens beschikbaar te stellen aan het openbare lichaam, de Commissie, de Europese Centrale Bank of het orgaan van de Unie. De vergoeding mag niet worden beschouwd als een betaling voor de gegevens zelf of als een verplichting. Gegevenshouders mogen geen compensatie kunnen eisen wanneer de nationale wetgeving nationale bureaus voor de statistiek of andere nationale instanties die verantwoordelijk zijn voor de productie van statistieken, verbiedt gegevenshouders te compenseren voor het beschikbaar stellen van gegevens. Het betrokken overheidsorgaan, de Commissie, de Europese Centrale Bank of het orgaan van de Unie moet de hoogte van de door de gegevenshouder gevraagde vergoeding kunnen aanvechten door de zaak voor te leggen aan de bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.

(76) Een openbaar lichaam, de Commissie, de Europese Centrale Bank of een orgaan van de Unie dient gerechtigd te zijn de gegevens die het op grond van het verzoek heeft verkregen, met andere entiteiten of personen te delen wanneer dit noodzakelijk is voor de uitvoering van wetenschappelijk onderzoek of analytische activiteiten die het zelf niet kan verrichten, mits deze activiteiten verenigbaar zijn met het doel waarvoor de gegevens werden opgevraagd. Zij dient de houder van de gegevens tijdig op de hoogte te stellen van een dergelijke uitwisseling. Dergelijke gegevens mogen onder dezelfde omstandigheden ook worden gedeeld met de nationale bureaus voor de statistiek en Eurostat voor de ontwikkeling, productie en verspreiding van officiële statistieken. Dergelijke onderzoeksactiviteiten moeten echter verenigbaar zijn met het doel waarvoor de gegevens zijn opgevraagd en de gegevenshouder moet worden geïnformeerd over het verder delen van de door hem verstrekte gegevens. Personen die onderzoek doen of onderzoeksorganisaties waarmee deze gegevens kunnen worden gedeeld, moeten handelen zonder winstoogmerk of in het kader van een taak van algemeen belang die door de staat is erkend. Organisaties waarop commerciële ondernemingen een aanzienlijke invloed hebben, waardoor deze ondernemingen controle kunnen uitoefenen als gevolg van structurele situaties die kunnen leiden tot preferentiële toegang tot de resultaten van het onderzoek, dienen voor de toepassing van deze verordening niet als onderzoeksinstellingen te worden beschouwd.

(77) Teneinde het hoofd te bieden aan een grensoverschrijdende noodsituatie of aan een andere buitengewone behoefte, kunnen verzoeken om gegevens worden gericht aan houders van gegevens in andere lidstaten dan die van het verzoekende openbare lichaam. In dat geval dient het verzoekende openbare lichaam de bevoegde autoriteit van de lidstaat waar de houder van de gegevens is gevestigd, daarvan in kennis te stellen, zodat deze het verzoek kan toetsen aan de in deze verordening vastgestelde criteria. Hetzelfde geldt voor verzoeken van de Commissie, de Europese Centrale Bank of een orgaan van de Unie. Wanneer om persoonsgegevens wordt verzocht, dient het openbare lichaam de toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de toepassing van Verordening (EU) 2016/679 in de lidstaat waar het openbare lichaam is gevestigd, daarvan in kennis te stellen. De betrokken bevoegde autoriteit dient gerechtigd te zijn het openbare lichaam, de Commissie, de Europese Centrale Bank of het orgaan van de Unie te adviseren samen te werken met de openbare lichamen van de lidstaat waar de houder van de gegevens is gevestigd, met betrekking tot de noodzaak ervoor te zorgen dat de administratieve lasten voor de houder van de gegevens tot een minimum worden beperkt. Wanneer de bevoegde autoriteit gegronde bezwaren heeft wat de overeenstemming van het verzoek met deze verordening betreft, dient zij het verzoek van het openbare lichaam, de Commissie, de Europese Centrale Bank of het orgaan van de Unie af te wijzen, dat rekening dient te houden met deze bezwaren alvorens verdere maatregelen te nemen, waaronder het opnieuw indienen van het verzoek.

(78) De mogelijkheid voor afnemers van gegevensverwerkingsdiensten, waaronder cloud- en edge-diensten, om over te schakelen van de ene gegevensverwerkingsdienst naar de andere met behoud van een minimale functionaliteit van de dienst en zonder onderbreking van de dienstverlening, of om de diensten van verschillende aanbieders tegelijkertijd te gebruiken zonder onnodige belemmeringen en kosten voor gegevensoverdracht, is een essentiële voorwaarde voor een meer concurrerende markt met lagere toetredingsdrempels voor nieuwe aanbieders van gegevensverwerkingsdiensten, en voor het waarborgen van verdere veerkracht voor de gebruikers van deze diensten. Afnemers die profiteren van "free-tier"-aanbiedingen moeten ook kunnen profiteren van de bepalingen voor het veranderen van aanbieder die in deze verordening zijn vastgelegd, zodat deze aanbiedingen niet leiden tot een "lock-in"-situatie voor afnemers.

(79) Verordening (EU) 2018/1807 van het Europees Parlement en de Raad (30 ) moedigt aanbieders van gegevensverwerkingsdiensten aan om zelfregulerende gedragscodes te ontwikkelen en effectief toe te passen die beste praktijken omvatten voor onder meer het vergemakkelijken van het veranderen van aanbieder van gegevensverwerkingsdiensten en het overdragen van gegevens. Gezien de beperkte toepassing van de zelfreguleringskaders die in reactie hierop zijn ontwikkeld, en de algemene onbeschikbaarheid van open normen en interfaces, is het noodzakelijk een reeks wettelijke minimumverplichtingen voor aanbieders van gegevensverwerkingsdiensten vast te stellen om precommerciële, commerciële, technische, contractuele en organisatorische belemmeringen weg te nemen, die niet beperkt blijven tot een verminderde snelheid van gegevensoverdracht bij het vertrek van de klant, en die een doeltreffende overstap tussen gegevensverwerkingsdiensten in de weg staan.

(80) Gegevensverwerkingsdiensten moeten diensten omvatten die alomtegenwoordige netwerktoegang op verzoek tot een configureerbare, schaalbare en elastische gedeelde pool van gedistribueerde computerhulpbronnen mogelijk maken. Deze computermiddelen omvatten middelen zoals netwerken, servers of andere virtuele of fysieke infrastructuur, software, met inbegrip van softwareontwikkelingsinstrumenten, opslag, toepassingen en diensten. Het vermogen van de klant van de gegevensverwerkingsdienst om eenzijdig zelf computermogelijkheden beschikbaar te stellen, zoals servertijd of netwerkopslag, zonder enige menselijke interactie door de aanbieder van gegevensverwerkingsdiensten, kan worden omschreven als een dienst die minimale beheerinspanning vereist en minimale interactie tussen aanbieder en klant met zich meebrengt. De term 'alomtegenwoordig' wordt gebruikt om de rekenmogelijkheden te beschrijven die via het netwerk worden aangeboden en toegankelijk zijn via mechanismen die het gebruik van heterogene thin of thick client platforms bevorderen (van webbrowsers tot mobiele apparaten en werkstations). De term 'schaalbaar' verwijst naar computermiddelen die flexibel worden toegewezen door de leverancier van gegevensverwerkingsdiensten, ongeacht de geografische locatie van de middelen, om schommelingen in de vraag op te vangen. De term "elastisch" wordt gebruikt om die computerbronnen te beschrijven die worden geleverd en vrijgegeven op basis van de vraag om de beschikbare bronnen snel te verhogen of te verlagen, afhankelijk van de werklast. De term "gedeelde pool" wordt gebruikt om die IT-middelen te beschrijven die ter beschikking worden gesteld van meerdere gebruikers die een gemeenschappelijke toegang tot de dienst hebben, maar waarbij de verwerking voor elke gebruiker afzonderlijk wordt uitgevoerd, hoewel de dienst vanaf dezelfde elektronische apparatuur wordt geleverd. De term "gedistribueerd" wordt gebruikt om die computerbronnen te beschrijven die zich op verschillende netwerkcomputers of -apparaten bevinden en die onderling communiceren en coördineren door berichten door te geven. De term "sterk gedistribueerd" wordt gebruikt om gegevensverwerkingsdiensten te beschrijven waarbij de gegevensverwerking dichter bij de plaats plaatsvindt waar de gegevens worden gegenereerd of verzameld, bijvoorbeeld in een aangesloten gegevensverwerkingsapparaat. Edge computing, een vorm van dergelijke hooggedistribueerde gegevensverwerking, zal naar verwachting nieuwe bedrijfsmodellen en modellen voor de levering van clouddiensten genereren, die vanaf het begin open en interoperabel moeten zijn.

(81) Het algemene concept "gegevensverwerkingsdiensten" omvat een aanzienlijk aantal diensten met een zeer breed scala aan verschillende doeleinden, functionaliteiten en technische configuraties. Zoals algemeen begrepen door aanbieders en gebruikers en in overeenstemming met algemeen gebruikte normen, vallen gegevensverwerkingsdiensten onder een of meer van de volgende drie modellen voor de levering van gegevensverwerkingsdiensten, namelijk Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS). Deze leveringsmodellen vertegenwoordigen een specifieke, voorverpakte combinatie van ICT-middelen die worden aangeboden door een leverancier van gegevensverwerkingsdiensten. Deze drie fundamentele leveringsmodellen voor gegevensverwerking worden verder aangevuld met opkomende varianten, die elk bestaan uit een andere combinatie van ICT-middelen, zoals Storage as a Service en Database as a Service. Gegevensverwerkingsdiensten kunnen op een meer granulaire manier worden gecategoriseerd en onderverdeeld in een niet-uitputtende lijst van reeksen gegevensverwerkingsdiensten die dezelfde primaire doelstelling en belangrijkste functionaliteiten delen, evenals hetzelfde type gegevensverwerkingsmodellen, die geen verband houden met de operationele kenmerken van de dienst (hetzelfde diensttype). Diensten die onder hetzelfde servicetype vallen, kunnen hetzelfde gegevensverwerkingsmodel hebben, maar twee databases kunnen dezelfde primaire doelstelling lijken te hebben, maar na afweging van hun gegevensverwerkingsmodel, distributiemodel en de gebruiksgevallen waarop ze gericht zijn, kunnen deze databases in een meer granulaire subcategorie van vergelijkbare diensten vallen. Diensten van hetzelfde type dienst kunnen verschillende en concurrerende kenmerken hebben, zoals prestaties, beveiliging, veerkracht en kwaliteit van de dienst.

(82) Het ondermijnen van de extractie van de exporteerbare gegevens van de klant bij de bronaanbieder van gegevensverwerkingsdiensten kan het herstel van de servicefuncties in de infrastructuur van de bestemmingsaanbieder van gegevensverwerkingsdiensten belemmeren. Om de exitstrategie van de klant te vergemakkelijken, onnodige en omslachtige taken te vermijden en ervoor te zorgen dat de klant geen gegevens verliest als gevolg van het overschakelingsproces, dient de bronaanbieder van gegevensverwerkingsdiensten de klant vooraf te informeren over de omvang van de gegevens die kunnen worden geëxporteerd zodra de klant besluit over te stappen op een andere dienst van een andere aanbieder van gegevensverwerkingsdiensten of over te stappen op een on-premises ICT-infrastructuur. De omvang van de exporteerbare gegevens dient minimaal de input- en outputgegevens te omvatten, met inbegrip van metadata, die direct of indirect worden gegenereerd, of gezamenlijk worden gegenereerd, door het gebruik van de gegevensverwerkingsdienst door de klant, met uitzondering van activa of gegevens van de aanbieder van gegevensverwerkingsdiensten of een derde partij. De exporteerbare gegevens dienen alle activa of gegevens van de aanbieder van gegevensverwerkingsdiensten of van de derde partij uit te sluiten die worden beschermd door intellectuele-eigendomsrechten of die bedrijfsgeheimen van die aanbieder of van die derde partij vormen, of gegevens met betrekking tot de integriteit en de beveiliging van de dienst, waarvan de export de aanbieders van gegevensverwerkingsdiensten blootstelt aan kwetsbaarheden op het gebied van cyberbeveiliging. Deze vrijstellingen mogen het overschakelingsproces niet belemmeren of vertragen.

(83) Digitale activa hebben betrekking op elementen in digitale vorm waarvoor de klant het gebruiksrecht heeft, met inbegrip van applicaties en metadata met betrekking tot de configuratie van instellingen, beveiliging en beheer van toegangs- en controlerechten, en andere elementen zoals manifestaties van virtualisatietechnologieën, met inbegrip van virtuele machines en containers. Digitale activa kunnen worden overgedragen als de klant het gebruiksrecht heeft onafhankelijk van de contractuele relatie met de gegevensverwerkingsdienst waar hij van wil overstappen. Deze andere elementen zijn essentieel voor het effectieve gebruik van de gegevens en toepassingen van de klant in de omgeving van de bestemmingsaanbieder van gegevensverwerkingsdiensten.

(84) Deze verordening heeft tot doel het overstappen tussen gegevensverwerkingsdiensten te vergemakkelijken, hetgeen de voorwaarden en acties omvat die een klant nodig heeft om een contract voor een gegevensverwerkingsdienst te beëindigen, een of meer nieuwe contracten te sluiten met verschillende aanbieders van gegevensverwerkingsdiensten, zijn exporteerbare gegevens en digitale activa over te dragen en, indien van toepassing, te profiteren van functionele gelijkwaardigheid.

(85) Overstappen is een door de klant gestuurde operatie die bestaat uit verschillende stappen, waaronder gegevensextractie, waarmee het downloaden van gegevens uit het ecosysteem van de bronaanbieder van gegevensverwerkingsdiensten wordt bedoeld; transformatie, waarbij de gegevens gestructureerd zijn op een manier die niet overeenkomt met het schema van de doellocatie; en het uploaden van de gegevens naar een nieuwe doellocatie. In een specifieke situatie die in deze verordening wordt beschreven, moet het loskoppelen van een bepaalde dienst van het contract en het overbrengen ervan naar een andere aanbieder ook als een overstap worden beschouwd. Het overstapproces wordt soms namens de klant beheerd door een derde partij. Derhalve dienen alle rechten en plichten van de klant die in deze verordening zijn vastgesteld, met inbegrip van de verplichting te goeder trouw samen te werken, te worden geacht in die omstandigheden op een dergelijke derde entiteit van toepassing te zijn. Aanbieders van gegevensverwerkingsdiensten en afnemers hebben verschillende niveaus van verantwoordelijkheden, afhankelijk van de stappen van het proces waarnaar wordt verwezen. De bronaanbieder van gegevensverwerkingsdiensten is bijvoorbeeld verantwoordelijk voor het extraheren van de gegevens naar een machinaal leesbaar formaat, maar het zijn de klant en de bestemmingsaanbieder van gegevensverwerkingsdiensten die de gegevens moeten uploaden naar de nieuwe omgeving, tenzij een specifieke professionele overgangsdienst is verkregen. Een klant die van plan is de in deze verordening vastgestelde rechten in verband met de overstap uit te oefenen, moet de bronaanbieder van gegevensverwerkingsdiensten op de hoogte brengen van zijn beslissing om over te stappen naar een andere aanbieder van gegevensverwerkingsdiensten, over te stappen op een on-premise ICT-infrastructuur of de activa van de klant te wissen en zijn exporteerbare gegevens te wissen.

(86) Functionele gelijkwaardigheid: het opnieuw tot stand brengen, op basis van de exporteerbare gegevens en digitale activa van de klant, van een minimaal functionaliteitsniveau in de omgeving van een nieuwe gegevensverwerkingsdienst van hetzelfde type dienst na de overstap, waarbij de gegevensverwerkingsdienst van bestemming een in wezen vergelijkbaar resultaat levert als antwoord op dezelfde input voor gedeelde kenmerken die krachtens het contract aan de klant worden geleverd. Van aanbieders van gegevensverwerkingsdiensten kan alleen worden verwacht dat zij functionele gelijkwaardigheid bevorderen voor de functies die de bron- en bestemmingsgegevensverwerkingsdiensten onafhankelijk aanbieden. Deze verordening houdt geen verplichting in om functionele gelijkwaardigheid te faciliteren voor andere verstrekkers van gegevensverwerkingsdiensten dan die welke diensten van het IaaS-leveringsmodel aanbieden.

(87) Gegevensverwerkingsdiensten worden in verschillende sectoren gebruikt en variëren in complexiteit en type dienstverlening. Dit is een belangrijke overweging met betrekking tot het overschakelingsproces en de termijnen. Een verlenging van de overgangsperiode op grond van technische onhaalbaarheid om de voltooiing van het omschakelingsproces binnen de gegeven termijn mogelijk te maken, mag echter alleen in naar behoren gemotiveerde gevallen worden ingeroepen. De bewijslast in dat verband dient volledig bij de aanbieder van de betrokken gegevensverwerkingsdienst te liggen. Dit doet geen afbreuk aan het exclusieve recht van de klant om de overgangsperiode eenmaal te verlengen met een periode die de klant voor zijn eigen doeleinden geschikter acht. De klant kan dat recht op verlenging vóór of tijdens de overgangsperiode inroepen, met dien verstande dat het contract tijdens de overgangsperiode van toepassing blijft.

(88) Overstapkosten zijn kosten die aanbieders van gegevensverwerkingsdiensten in rekening brengen aan klanten voor het overstapproces. Doorgaans zijn deze kosten bedoeld om de kosten die de bronaanbieder van gegevensverwerkingsdiensten kan maken als gevolg van het omschakelingsproces, door te berekenen aan de klant die wil omschakelen. Bekende voorbeelden van overstapkosten zijn de kosten voor de doorgifte van gegevens van de ene aanbieder van gegevensverwerkingsdiensten naar de andere of naar een ICT-infrastructuur op locatie (kosten voor data-egress) of de kosten voor specifieke ondersteuningsacties tijdens het overstapproces. Onnodig hoge tarieven voor data-egressie en andere ongerechtvaardigde tarieven die geen verband houden met de werkelijke overstapkosten, belemmeren klanten om over te stappen, beperken het vrije verkeer van gegevens, kunnen de concurrentie beperken en leiden tot lock-in-effecten voor klanten doordat zij minder gestimuleerd worden om een andere of aanvullende dienstverlener te kiezen. De overstapkosten moeten derhalve drie jaar na de datum van inwerkingtreding van deze verordening worden afgeschaft. Aanbieders van gegevensverwerkingsdiensten moeten tot die datum lagere overstaptarieven kunnen berekenen.

Een bronprovider van gegevensverwerkingsdiensten moet bepaalde taken kunnen uitbesteden en derden kunnen compenseren om te voldoen aan de verplichtingen die in deze verordening worden uiteengezet. Een klant mag niet de kosten dragen die voortvloeien uit de uitbesteding van diensten die door de bronprovider van gegevensverwerkingsdiensten zijn aangegaan tijdens het overstapproces, en dergelijke kosten moeten als ongerechtvaardigd worden beschouwd, tenzij ze werkzaamheden dekken die door de provider van gegevensverwerkingsdiensten op verzoek van de klant zijn verricht voor aanvullende ondersteuning bij het overstapproces dat verder gaat dan de overstapverplichtingen van de provider zoals expliciet uiteengezet in deze verordening. Niets in deze verordening verhindert een klant om derden te compenseren voor ondersteuning bij het migratieproces of partijen om overeenkomsten voor gegevensverwerkingsdiensten met een vaste duur aan te gaan, inclusief proportionele boetes voor vervroegde beëindiging om de vervroegde beëindiging van dergelijke overeenkomsten te dekken, in overeenstemming met het Unie- of nationale recht. Om de concurrentie te bevorderen, moet de geleidelijke afschaffing van de kosten die gepaard gaan met het overstappen tussen verschillende providers van gegevensverwerkingsdiensten specifiek betrekking hebben op de kosten voor data-uitvoer die door een provider van gegevensverwerkingsdiensten aan een klant worden opgelegd. StandaardStandaard Een technische specificatie die door een erkende normalisatie-instelling is aangenomen voor herhaalde of voortdurende toepassing, waarvan de inachtneming niet verplicht is en die tot een van de volgende categorieën behoort (a) "internationale norm": een norm die door een internationale normalisatie-instelling is vastgesteld; b) "Europese norm": een norm die door een Europese normalisatie-instelling is vastgesteld; c) "geharmoniseerde norm": een Europese norm die is vastgesteld op basis van een door de Commissie ingediend verzoek om toepassing van harmonisatiewetgeving van de Unie; d) "nationale norm": een norm die door een nationale normalisatie-instelling is vastgesteld - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad. De dịch vụ voor het leveren van de gegevensverwerkingsdiensten zelf zijn geen wisselkosten. Deze standaard dịch vụ zijn niet onderworpen aan intrekking en blijven van toepassing totdat de overeenkomst betreffende de levering van de betreffende dịch vụ niet meer van kracht is. Deze Verordening staat de klant toe de levering van aanvullende dịch vụ te vragen die verder gaan dan de wisseldiensten van de leverancier krachtens deze Verordening. Deze aanvullende dịch vụ kunnen door de leverancier worden uitgevoerd en in rekening gebracht wanneer ze op verzoek van de klant worden uitgevoerd en de klant vooraf akkoord gaat met de prijs van deze dịch vụ.

Er is een ambitieuze en innovatie-inspirerende regelgevende aanpak voor interoperabiliteit nodig om vendor lock-in te overwinnen, wat concurrentie en de ontwikkeling van nieuwe diensten ondermijnt. Interoperabiliteit tussen gegevensverwerkende diensten omvat meerdere interfaces en lagen van infrastructuur en software en is zelden beperkt tot een binaire test van maakbaarheid of niet. In plaats daarvan is het realiseren van dergelijke interoperabiliteit onderworpen aan een kosten-batenanalyse die nodig is om te bepalen of het de moeite waard is om redelijk voorspelbare resultaten na te streven. De ISO/IEC 19941:2017 is een belangrijke internationale standaard die dient als referentie voor het bereiken van de doelstellingen van deze Verordening, aangezien deze technische overwegingen bevat die de complexiteit van een dergelijk proces verduidelijken.

(91) Indien aanbieders van gegevensverwerkingsdiensten op hun beurt klant zijn van gegevensverwerkingsdiensten die door een externe aanbieder worden geleverd, zullen zij profiteren van een efficiëntere overstap in hun eigen bedrijfsvoering en tegelijkertijd gebonden blijven aan de verplichtingen van deze verordening met betrekking tot hun eigen dienstenaanbod.

(92) Aanbieders van gegevensverwerkingsdiensten zouden ertoe gehouden moeten zijn alle bijstand en ondersteuning te verlenen binnen hun mogelijkheden, naar evenredigheid van hun respectieve verplichtingen, die nodig is om de overstap naar een dienst van een andere aanbieder van gegevensverwerkingsdiensten succesvol, effectief en veilig te maken. Deze Verordening verplicht aanbieders van gegevensverwerkingsdiensten niet om nieuwe categorieën van gegevensverwerkingsdiensten te ontwikkelen, onder meer binnen of op basis van de ICT-infrastructuur van andere aanbieders van gegevensverwerkingsdiensten teneinde functionele equivalentie te garanderen in een omgeving die anders is dan hun eigen systemen. Een bron-aanbieder van gegevensverwerkingsdiensten heeft geen toegang tot of inzicht in de omgeving van de doel-aanbieder van gegevensverwerkingsdiensten. Functionele equivalentie mag niet zo worden geïnterpreteerd dat zij de bron-aanbieder van gegevensverwerkingsdiensten verplicht de betrokken dienst binnen de infrastructuur van de doel-aanbieder van gegevensverwerkingsdiensten te herbouwen. In plaats daarvan zou de bron-aanbieder van gegevensverwerkingsdiensten alle redelijke maatregelen binnen zijn macht moeten nemen om het proces ter verkrijging van functionele equivalentie te vergemakkelijken door het verstrekken van mogelijkheden, adequate informatie, documentatie, technische ondersteuning en, waar passend, de nodige instrumenten.

(93) Aanbieders van gegevensverwerkingsdiensten moeten ook worden verplicht bestaande belemmeringen weg te nemen en geen nieuwe op te werpen, onder meer voor klanten die willen overschakelen naar een on-premises ICT-infrastructuur. Belemmeringen kunnen onder meer vanprecontractuele, commerciële, technische, contractuele of organisatorische aard zijn. Aanbieders van gegevensverwerkingsdiensten moeten ook belemmeringen wegwerken voor het ontkoppelen van een specifieke individuele dienst van andere gegevensverwerkingsdiensten die onder een contract worden geleverd en de betreffende dienst beschikbaar maken voor overstap, bij afwezigheid van grote en aangetoonde technische belemmeringen die een dergelijke ontkoppeling verhinderen.

Gedurende het overdrachtsproces dient een hoog niveau van beveiliging te worden gehandhaafd. Dit betekent dat de bronleverancier van gegevensverwerkingsdiensten het beveiligingsniveau waartoe hij zich voor de dienst heeft verbonden, dient uit te breiden tot alle technische arrangementen waarvoor die leverancier tijdens het overdrachtsproces verantwoordelijk is, zoals netwerkverbindingen of fysieke apparaten. Bestaande rechten met betrekking tot de beëindiging van contracten, met inbegrip van die welke zijn ingevoerd bij Verordening (EU) 2016/679 en Richtlijn (EU) 2019/770 van het Europees Parlement en de Raad (31), mogen niet worden aangetast. Deze verordening mag er niet toe leiden dat een leverancier van gegevensverwerkingsdiensten klanten nieuwe en verbeterde diensten, functies en functionaliteiten aanbiedt of om die reden concurreert met andere leveranciers van gegevensverwerkingsdiensten.

(95) De informatie die verstrekt moet worden door de aanbieders van gegevensverwerkingsdiensten aan de klant, kan de exitstrategie van de klant ondersteunen. Die informatie moet omvatten: procedures voor het initiëren van de overstap van de gegevensverwerkingsdienst; de machineleesbare gegevensformaten waarnaar de gegevens van de gebruiker kunnen worden geëxporteerd; de middelen die bedoeld zijn voor het exporteren van gegevens, met inbegrip van open interfaces alsook informatie over de compatibiliteit met geharmoniseerde normen of gemeenschappelijke specificaties op basis van open interoperabiliteitsspecificaties; informatie over bekende technische beperkingen en hinderpalen die een invloed kunnen hebben op het overstapproces; en de geschatte tijd die nodig is om het overstapproces te voltooien.

(96) Om interoperabiliteit en het overstappen tussen gegevensverwerkingsdiensten te vergemakkelijken, dienen gebruikers en aanbieders van gegevensverwerkingsdiensten het gebruik van instrumenten voor implementatie en naleving te overwegen, met name die welke door de Commissie zijn gepubliceerd in de vorm van een EU Cloud Rulebook en een Guidance on public procurement of data processing services. Met name standaardcontractuele clausules zijn gunstig omdat ze het vertrouwen in gegevensverwerkingsdiensten vergroten, een evenwichtigere relatie creëren tussen gebruikers en aanbieders van gegevensverwerkingsdiensten en de rechtszekerheid verbeteren met betrekking tot de voorwaarden die van toepassing zijn op het overstappen naar andere gegevensverwerkingsdiensten. In die context dienen gebruikers en aanbieders van gegevensverwerkingsdiensten het gebruik van standaardcontractuele clausules of andere zelfregulerende instrumenten voor naleving te overwegen, mits deze volledig in overeenstemming zijn met deze Verordening, ontwikkeld door relevante instanties of deskundigengroepen die zijn opgericht krachtens het recht van de Unie.

(97) Om het wisselen tussen gegevensverwerkende diensten te vergemakkelijken, moeten alle betrokken partijen, waaronder zowel de bron- als de bestemmingsaanbieders van gegevensverwerkende diensten, te goeder trouw samenwerken om het wisselen effectief te maken, de veilige en tijdige overdracht van noodzakelijke gegevens in een veelgebruikt, machinaal leesbaar formaat mogelijk te maken en met behulp van open interfaces, terwijl serviceonderbrekingen worden vermeden en de continuïteit van de dienst wordt gehandhaafd.

(98) Gegevensverwerkingsdiensten die bestaan uit diensten waarvan het merendeel van de hoofdfuncties is gebouwd om te voldoen aan de specifieke eisen van een individuele klant, of waarbij alle componenten zijn ontwikkeld voor de specifieke behoeften van een individuele klant, moeten worden vrijgesteld van bepaalde verplichtingen met betrekking tot het wisselen van gegevensverwerkingsdiensten. Dit is niet van toepassing op diensten die de aanbieder van gegevensverwerkingsdiensten op brede commerciële schaal aanbiedt via zijn dienstenkatalogus. Het is de verantwoordelijkheid van de aanbieder van gegevensverwerkingsdiensten om potentiële klanten van dergelijke diensten, vóór het sluiten van een contract, behoorlijk te informeren over de in dit reglement vastgelegde verplichtingen die niet van toepassing zijn op de betreffende diensten. Niets verhindert de aanbieder van gegevensverwerkingsdiensten om dergelijke diensten uiteindelijk op grote schaal te implementeren, in welk geval die aanbieder zou moeten voldoen aan alle verplichtingen met betrekking tot het wisselen van gegevensverwerkingsdiensten die in dit reglement zijn vastgelegd.

(99) In lijn met de minimumeis die het mogelijk maakt over te schakelen tussen leveranciers van gegevensverwerkingsdiensten, beoogt deze Verordening ook de interoperabiliteit te verbeteren voor het parallel gebruik van meerdere gegevensverwerkingsdiensten met complementaire functionaliteiten. Dit betreft situaties waarin klanten een contract niet beëindigen om over te schakelen naar een andere leverancier van gegevensverwerkingsdiensten, maar waarbij meerdere diensten van verschillende leveranciers parallel, op een interoperabele manier, worden gebruikt om te profiteren van de complementaire functionaliteiten van de verschillende diensten in de opstelling van het systeem van de klant. Er wordt echter erkend dat het uitstromen van gegevens van de ene leverancier van gegevensverwerkingsdiensten naar de andere, teneinde het parallel gebruik van diensten mogelijk te maken, een doorlopende activiteit kan zijn, in tegenstelling tot de eenmalige uitstroom die deel uitmaakt van het overstapverwerkingsproces. Leveranciers van gegevensverwerkingsdiensten moeten daarom in staat blijven om kosten voor gegevensuitstroom op te leggen, die de gemaakte kosten niet overschrijden, voor het parallel gebruik na drie jaar vanaf de datum van inwerkingtreding van deze Verordening. Dit is, onder meer, belangrijk voor de succesvolle uitrol van multi-cloudstrategieën, die klanten in staat stellen toekomstgerichte ICT-strategieën te implementeren en die de afhankelijkheid van individuele leveranciers van gegevensverwerkingsdiensten verminderen. Het faciliteren van een multi-cloudbenadering voor klanten van gegevensverwerkingsdiensten kan tevens bijdragen aan het verhogen van hun operationele digitale veerkracht, zoals erkend voor financiële dienstverleners in Verordening (EU) 2022/2554 van het Europees Parlement en de Raad (32).

(100) Open interoperabiliteitsspecificaties en -normen die zijn ontwikkeld overeenkomstig bijlage II bij Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad (33) op het gebied van interoperabiliteit en overdraagbaarheid, zullen naar verwachting een cloudomgeving met meerdere leveranciers mogelijk maken, wat een essentiële voorwaarde is voor open innovatie in de Europese data-economie. Aangezien de marktacceptatie van de vastgestelde normen in het kader van het in 2016 afgeronde initiatief voor de coördinatie van cloudstandaardisatie (CSC) beperkt is gebleven, is het ook noodzakelijk dat de Commissie een beroep doet op marktpartijen om relevante open interoperabiliteitsspecificaties te ontwikkelen om gelijke tred te houden met het snelle tempo van de technologische ontwikkeling in deze sector. Dergelijke open interoperabiliteitsspecificaties kunnen vervolgens door de Commissie worden vastgesteld in de vorm van gemeenschappelijke specificaties. Bovendien moet de Commissie, wanneer marktgedreven processen niet hebben aangetoond in staat te zijn gemeenschappelijke specificaties of normen vast te stellen die effectieve cloudinteroperabiliteit op PaaS- en SaaS-niveau vergemakkelijken, op basis van deze verordening en in overeenstemming met Verordening (EU) nr. 1025/2012 Europese normalisatie-instellingen kunnen verzoeken dergelijke normen te ontwikkelen voor specifieke soorten diensten waarvoor dergelijke normen nog niet bestaan. Daarnaast zal de Commissie marktpartijen aanmoedigen om relevante open interoperabiliteitsspecificaties te ontwikkelen. Na raadpleging van belanghebbenden moet de Commissie door middel van uitvoeringshandelingen het gebruik van geharmoniseerde normen voor interoperabiliteit of gemeenschappelijke specificaties voor specifieke soorten diensten kunnen voorschrijven via een verwijzing in een centraal EU-normenregister voor de interoperabiliteit van gegevensverwerkingsdiensten. Aanbieders van gegevensverwerkingsdiensten moeten zorgen voor compatibiliteit met die geharmoniseerde normen en gemeenschappelijke specificaties op basis van open interoperabiliteitsspecificaties, die geen negatieve gevolgen mogen hebben voor de beveiliging of integriteit van gegevens. Er wordt alleen naar geharmoniseerde normen voor de interoperabiliteit van gegevensverwerkingsdiensten en gemeenschappelijke specificaties op basis van open interoperabiliteitsspecificaties verwezen indien deze voldoen aan de in deze verordening gespecificeerde criteria, die dezelfde betekenis hebben als de eisen in bijlage II bij Verordening (EU) nr. 1025/2012 en de interoperabiliteitsaspecten die zijn gedefinieerd in de internationale norm ISO/IEC 19941:2017. Bovendien moet bij de normalisatie rekening worden gehouden met de behoeften van kmo’s.

(101) Derde landen kunnen wetten, verordeningen en andere rechtshandelingen vaststellen die tot doel hebben niet-persoonsgegevens die zich buiten hun grenzen bevinden, met inbegrip van de Unie, rechtstreeks over te dragen of overheidsinstanties toegang daartoe te verlenen. Uitspraken van rechtbanken of tribunalen of beslissingen van andere gerechtelijke of administratieve autoriteiten, met inbegrip van wetshandhavingsautoriteiten in derde landen, die een dergelijke doorgifte of toegang tot niet-persoonsgegevens vereisen, moeten uitvoerbaar zijn wanneer zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtshulp, dat van kracht is tussen het verzoekende derde land en de Unie of een lidstaat. In andere gevallen kunnen zich situaties voordoen waarin een verzoek om overdracht van of toegang tot niet-persoonsgegevens op grond van de wetgeving van een derde land in strijd is met een verplichting om dergelijke gegevens te beschermen krachtens het Unierecht of het nationale recht van de betrokken lidstaat, met name wat betreft de bescherming van de grondrechten van het individu, zoals het recht op veiligheid en het recht op een doeltreffende voorziening in rechte, of de fundamentele belangen van een lidstaat met betrekking tot nationale veiligheid of defensie, alsmede de bescherming van commercieel gevoelige gegevens, met inbegrip van de bescherming van bedrijfsgeheimen, en de bescherming van intellectuele-eigendomsrechten, met inbegrip van de contractuele verplichtingen inzake vertrouwelijkheid overeenkomstig die wetgeving. Bij gebrek aan internationale overeenkomsten die dergelijke aangelegenheden regelen, mag de overdracht van of toegang tot niet-persoonsgegevens alleen worden toegestaan indien is geverifieerd dat het rechtsstelsel van het derde land vereist dat de redenen en de evenredigheid van het besluit worden uiteengezet, dat het gerechtelijk bevel of het besluit een specifiek karakter heeft, en dat het met redenen omklede bezwaar van de geadresseerde wordt getoetst door een bevoegde rechtbank of tribunaal in het derde land die bevoegd is om naar behoren rekening te houden met de relevante juridische belangen van de verstrekker van dergelijke gegevens. Voor zover mogelijk op grond van de voorwaarden van het verzoek om toegang tot gegevens van de autoriteit van het derde land, moet de aanbieder van gegevensverwerkingsdiensten de klant wiens gegevens worden opgevraagd, kunnen informeren alvorens toegang tot die gegevens te verlenen, teneinde na te gaan of er een potentieel conflict bestaat tussen die toegang en het Unierecht of het nationale recht, zoals dat betreffende de bescherming van commercieel gevoelige gegevens, met inbegrip van de bescherming van bedrijfsgeheimen en intellectuele-eigendomsrechten en de contractuele verbintenissen inzake vertrouwelijkheid.

Om het vertrouwen in gegevens verder te bevorderen, is het belangrijk dat er, waar mogelijk, waarborgen worden ingevoerd om de controle van de gegevens door burgers van de Unie, overheidsinstanties en bedrijven te waarborgen. Bovendien moeten de wetgeving, waarden en normen van de Unie met betrekking tot onder meer beveiliging, gegevensbescherming en privacy, en consumentenbescherming worden gehandhaafd. Om onrechtmatige overheids toegang tot niet-persoonsgegevens door autoriteiten van derde landen te voorkomen, moeten aanbieders van gegevensverwerkingsdiensten die onder deze Verordening vallen, zoals cloud- en edge-diensten, alle redelijke maatregelen nemen om toegang tot systemen waarop niet-persoonsgegevens zijn opgeslagen te voorkomen, onder meer door, waar relevant, het versleutelen van gegevens, frequente onderwerping aan audits, geverifieerde naleving van relevante beveiligingscertificeringsregelingen en door de aanpassing van bedrijfsbeleid.

(103) Standaardisatie en semantische interoperabiliteit moeten een sleutelrol spelen bij het bieden van technische oplossingen om interoperabiliteit te waarborgen binnen en tussen gemeenschappelijke Europese gegevensruimten, die doel- of sectorspecifieke of sectoroverschrijdende interoperabele kaders vormen voor gemeenschappelijke normen en praktijken om gegevens te delen of gezamenlijk te verwerken, onder meer met het oog op de ontwikkeling van nieuwe producten en diensten, wetenschappelijk onderzoek of initiatieven van het maatschappelijk middenveld. Deze verordening stelt bepaalde essentiële eisen voor interoperabiliteit vast. Deelnemers aan gegevensruimten die gegevens of gegevensdiensten aanbieden aan andere deelnemers, zijnde entiteiten die het delen van gegevens binnen gemeenschappelijke Europese gegevensruimten faciliteren of daaraan deelnemen, met inbegrip van gegevenshouders, dienen aan deze eisen te voldoen voor zover het elementen betreft die onder hun controle vallen. Naleving van deze regels kan worden gewaarborgd door zich te houden aan de in deze verordening vastgestelde essentiële eisen, of wordt verondersteld door naleving van geharmoniseerde normen of gemeenschappelijke specificaties via een vermoeden van conformiteit. Om de naleving van de interoperabiliteitseisen te vergemakkelijken, is het noodzakelijk te voorzien in een vermoeden van conformiteit voor interoperabiliteitsoplossingen die voldoen aan geharmoniseerde normen of delen daarvan overeenkomstig Verordening (EU) nr. 1025/2012, die het standaardkader vormt voor het opstellen van normen die in dergelijke vermoedens voorzien. De Commissie moet belemmeringen voor interoperabiliteit beoordelen en prioriteit geven aan normalisatiebehoeften, op basis waarvan zij overeenkomstig Verordening (EU) nr. 1025/2012 een of meer Europese normalisatie-instellingen kan verzoeken geharmoniseerde normen op te stellen die voldoen aan de essentiële eisen van deze verordening. Wanneer dergelijke verzoeken niet leiden tot geharmoniseerde normen of wanneer dergelijke geharmoniseerde normen onvoldoende zijn om de conformiteit met de essentiële eisen van deze verordening te waarborgen, moet de Commissie gemeenschappelijke specificaties op die gebieden kunnen vaststellen, mits zij daarbij de rol en de functies van normalisatie-instellingen naar behoren eerbiedigt. Gemeenschappelijke specificaties mogen alleen worden vastgesteld als uitzonderlijke noodoplossing om de naleving van de essentiële eisen van deze verordening te vergemakkelijken, of wanneer het normalisatieproces is geblokkeerd, of wanneer er vertragingen optreden bij de vaststelling van passende geharmoniseerde normen. Wanneer een vertraging te wijten is aan de technische complexiteit van de betreffende norm, dient de Commissie hiermee rekening te houden alvorens de vaststelling van gemeenschappelijke specificaties te overwegen. Gemeenschappelijke specificaties moeten op een open en inclusieve manier worden ontwikkeld en moeten, waar relevant, rekening houden met het advies van de Europese Raad voor gegevensinnovatie (EDIB), opgericht bij Verordening (EU) 2022/868. Bovendien kunnen gemeenschappelijke specificaties in verschillende sectoren worden vastgesteld, in overeenstemming met het Unierecht of het nationale recht, op basis van de specifieke behoeften van die sectoren. Voorts moet de Commissie in staat worden gesteld opdracht te geven tot de ontwikkeling van geharmoniseerde normen voor de interoperabiliteit van gegevensverwerkingsdiensten.

(104) Om de interoperabiliteit van instrumenten voor de geautomatiseerde uitvoering van overeenkomsten inzake gegevensuitwisseling te bevorderen, is het noodzakelijk essentiële eisen vast te stellen voor slimme contracten die beroepsbeoefenaars voor anderen opstellen of integreren in toepassingen die de uitvoering van overeenkomsten inzake gegevensuitwisseling ondersteunen. Om de conformiteit van dergelijke slimme contracten met die essentiële eisen te vergemakkelijken, moet worden voorzien in een vermoeden van conformiteit van slimme contracten die voldoen aan geharmoniseerde normen of delen daarvan overeenkomstig Verordening (EU) nr. 1025/2012. Het begrip ‘slim contract’ in deze verordening is technologisch neutraal. Slimme contracten kunnen bijvoorbeeld aan een elektronisch grootboek zijn gekoppeld. De essentiële eisen dienen uitsluitend van toepassing te zijn op de aanbieders van slimme contracten, hoewel dit niet geldt wanneer zij slimme contracten intern ontwikkelen, uitsluitend voor intern gebruik. De essentiële eis om ervoor te zorgen dat slimme contracten kunnen worden onderbroken en beëindigd, impliceert wederzijdse instemming van de partijen bij de overeenkomst inzake het delen van gegevens. De toepasselijkheid van de relevante regels van het burgerlijk recht, het contractenrecht en het consumentenbeschermingsrecht op overeenkomsten inzake het delen van gegevens blijft of dient onaangetast te blijven door het gebruik van slimme contracten voor de geautomatiseerde uitvoering van dergelijke overeenkomsten.

Om te demonstreren dat aan de essentiële vereisten van deze verordening wordt voldaan, moet de leverancier van een smart contract, of bij gebreke daarvan, de persoon wiens handels-, bedrijfs- of beroepsactiviteit het implementeren van smart contracts voor anderen inhoudt in de context van de uitvoering van een overeenkomst of een deel daarvan, om gegevens beschikbaar te stellen in de context van deze verordening, een conformiteitsbeoordeling uitvoeren en een EU-conformiteitsverklaring afgeven. Een dergelijke conformiteitsbeoordeling moet onderworpen zijn aan de algemene beginselen vastgelegd in Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (34) en Beschikking nr. 768/2008/EG van het Europees Parlement en de Raad (35).

Naast de verplichting voor professionele ontwikkelaars van smart contracts om aan de essentiële vereisten te voldoen, is het ook belangrijk om de deelnemers aan gegevensruimtes te stimuleren die gegevens of op gegevens gebaseerde diensten aanbieden aan andere deelnemers binnen en over gemeenschappelijke Europese gegevensruimtes, om de interoperabiliteit van instrumenten voor het delen van gegevens, waaronder smart contracts, te ondersteunen.

(107) Om de toepassing en handhaving van deze verordening te waarborgen, dienen de lidstaten een of meer bevoegde autoriteiten aan te wijzen. Indien een lidstaat meer dan één bevoegde autoriteit aanwijst, dient hij tevens uit hun midden een gegevenscoördinator aan te wijzen. De bevoegde autoriteiten dienen onderling samen te werken. Door de uitoefening van hun onderzoeksbevoegdheden overeenkomstig de toepasselijke nationale procedures moeten bevoegde autoriteiten in staat zijn informatie te zoeken en te verkrijgen, met name met betrekking tot de activiteiten van entiteiten die onder hun bevoegdheid vallen, en, ook in het kader van gezamenlijke onderzoeken, met inachtneming van het feit dat toezichts- en handhavingsmaatregelen betreffende een entiteit die onder de bevoegdheid van een andere lidstaat valt, in voorkomend geval door de bevoegde autoriteit van die andere lidstaat moeten worden vastgesteld, overeenkomstig de procedures inzake grensoverschrijdende samenwerking. De bevoegde autoriteiten moeten elkaar tijdig bijstaan, met name wanneer een bevoegde autoriteit in een lidstaat over relevante informatie beschikt voor een onderzoek dat wordt uitgevoerd door de bevoegde autoriteiten in andere lidstaten, of in staat is dergelijke informatie te verzamelen waartoe de bevoegde autoriteiten in de lidstaat waar de entiteit is gevestigd, geen toegang hebben. De bevoegde autoriteiten en gegevenscoördinatoren moeten worden vermeld in een openbaar register dat door de Commissie wordt bijgehouden. De gegevenscoördinator kan een aanvullend middel zijn om de samenwerking in grensoverschrijdende situaties te vergemakkelijken, bijvoorbeeld wanneer een bevoegde autoriteit van een bepaalde lidstaat niet weet tot welke autoriteit zij zich in de lidstaat van de gegevenscoördinator moet wenden, bijvoorbeeld wanneer de zaak betrekking heeft op meer dan één bevoegde autoriteit of sector. De gegevenscoördinator dient onder meer op te treden als enig contactpunt voor alle kwesties in verband met de toepassing van deze verordening. Indien geen gegevenscoördinator is aangewezen, dient de bevoegde autoriteit de taken op zich te nemen die krachtens deze verordening aan de gegevenscoördinator zijn toegewezen. De autoriteiten die verantwoordelijk zijn voor het toezicht op de naleving van de wetgeving inzake gegevensbescherming en de krachtens het Unierecht of het nationale recht aangewezen bevoegde autoriteiten moeten verantwoordelijk zijn voor de toepassing van deze verordening binnen hun bevoegdheidsgebied. Om belangenconflicten te voorkomen, mogen de bevoegde autoriteiten die verantwoordelijk zijn voor de toepassing en handhaving van deze verordening op het gebied van het ter beschikking stellen van gegevens na een verzoek op basis van een uitzonderlijke noodzaak, niet het recht hebben om een dergelijk verzoek in te dienen.

(108) Om hun rechten uit hoofde van deze verordening te doen gelden, moeten natuurlijke en rechtspersonen hun rechten uit hoofde van deze verordening kunnen laten gelden door middel van het indienen van klachten. De gegevenscoördinator verstrekt op verzoek alle noodzakelijke informatie aan natuurlijke en rechtspersonen voor het indienen van hun klachten bij de bevoegde autoriteit. Die autoriteiten moeten ertoe gehouden zijn samen te werken om ervoor te zorgen dat een klacht op passende wijze wordt behandeld en op effectieve en tijdige wijze wordt opgelost. Om gebruik te maken van het mechanisme van het netwerk voor samenwerking inzake consumentenbescherming en om mogelijk te maken vertegenwoordigerVertegenwoordiger Een in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om op te treden namens een DNS-dienstverlener, een TLD-naamregister, een entiteit die domeinnaamregistratiediensten levert, een aanbieder van cloud computing-diensten, een aanbieder van datacenterdiensten, een aanbieder van een content delivery network, een aanbieder van beheerde diensten, een aanbieder van beheerde beveiligingsdiensten of een aanbieder van een online marktplaats, een online zoekmachine of een platform voor sociale netwerkdiensten die niet in de Unie is gevestigd, die door een bevoegde autoriteit of een CSIRT in de plaats van de entiteit zelf kan worden aangesproken met betrekking tot de verplichtingen van die entiteit uit hoofde van deze richtlijn. - Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) acties bevat dit Besluit de bijlagen bij Verordening (EU) 2017/2394 van het Europees Parlement en de Raad (36) en Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad (37) wordt gewijzigd.

(109) Bevoegde autoriteiten moeten ervoor zorgen dat inbreuken op de verplichtingen die in deze Verordening zijn vastgelegd, sancties met zich meebrengen. Dergelijke sancties kunnen financiële boetes, waarschuwingen, berispingen of bevelen tot naleving van de door deze Verordening opgelegde verplichtingen omvatten. De door de lidstaten vastgestelde sancties moeten doeltreffend, evenredig en ontmoedigend zijn, en rekening houden met de aanbevelingen van de EDIB, waardoor er een zo groot mogelijke consistentie wordt bereikt bij de vaststelling en toepassing van sancties. Waar passend, moeten de bevoegde autoriteiten gebruikmaken van tussentijdse maatregelen om de gevolgen van een vermeende inbreuk te beperken terwijl de onderzoeken naar die inbreuk lopende zijn. Daarbij moeten zij onder meer rekening houden met de aard, ernst, omvang en duur van de inbreuk gezien het publieke belang dat op het spel staat, de omvang en het soort uitgevoerde activiteiten, en de economische draagkracht van de inbreukmaker. Zij moeten ook rekening houden met de vraag of de inbreukmaker systematisch of herhaaldelijk in gebreke blijft van zijn verplichtingen uit hoofde van deze Verordening. Om ervoor te zorgen dat het ne bis in idem-beginsel wordt nageleefd, en met name om te voorkomen dat dezelfde inbreuk op de verplichtingen die in deze Verordening zijn vastgelegd, meer dan eens wordt bestraft, moet een lidstaat die voornemens is zijn bevoegdheid uit te oefenen ten aanzien van een inbreukmaker die niet in de Unie is gevestigd en geen wettelijke vertegenwoordiger in de Unie heeft aangewezen, alle gegevenscoördinatoren alsmede de Commissie onverwijld informeren.

(110) Het EDIB dient de Commissie te adviseren en bij te staan bij het coördineren van nationale praktijken en beleidsmaatregelen op de onder deze verordening vallende gebieden, alsook bij het verwezenlijken van haar doelstellingen op het gebied van technische normalisatie ter bevordering van de interoperabiliteit. Het dient tevens een sleutelrol te spelen bij het faciliteren van uitgebreide besprekingen tussen bevoegde autoriteiten over de toepassing en handhaving van deze verordening. Deze uitwisseling van informatie is bedoeld om de daadwerkelijke toegang tot de rechter, alsmede de handhaving en justitiële samenwerking in de hele Unie te verbeteren. De bevoegde autoriteiten moeten onder meer gebruikmaken van het EDIB als platform om aanbevelingen inzake de vaststelling van sancties voor inbreuken op deze verordening te evalueren, te coördineren en vast te stellen. Het moet bevoegde autoriteiten in staat stellen om, met de hulp van de Commissie, de optimale aanpak voor het vaststellen en opleggen van dergelijke sancties te coördineren. Die aanpak voorkomt versnippering en biedt tegelijkertijd ruimte voor flexibiliteit van de lidstaten, en moet leiden tot effectieve aanbevelingen die de consistente toepassing van deze verordening ondersteunen. Het EDIB moet ook een adviserende rol spelen in de normalisatieprocessen en de vaststelling van gemeenschappelijke specificaties door middel van uitvoeringshandelingen, bij de vaststelling van gedelegeerde handelingen om een monitoringmechanisme in te stellen voor overstapkosten die worden opgelegd door aanbieders van gegevensverwerkingsdiensten, en om de essentiële eisen voor de interoperabiliteit van gegevens, van mechanismen en diensten voor het delen van gegevens, alsmede van de gemeenschappelijke Europese gegevensruimten nader te specificeren. Het moet de Commissie ook adviseren en bijstaan bij de vaststelling van de richtsnoeren waarin interoperabiliteitsspecificaties voor de werking van de gemeenschappelijke Europese gegevensruimten worden vastgelegd.

(111) Om ondernemingen te helpen bij het opstellen en onderhandelen van contracten, moet de Commissie, waar nodig onder rekening houding van de omstandigheden in specifieke sectoren en de bestaande praktijken met vrijwillige mechanismen voor het delen van gegevens, niet-bindende modelcontractuele bepalingen voor contracten inzake het delen van gegevens tussen ondernemingen ontwikkelen en aanbevelen. Die modelcontractuele bepalingen moeten hoofdzakelijk een praktisch hulpmiddel zijn om met name kmo's te helpen een contract te sluiten. Wanneer die modelcontractuele bepalingen breed en integraal worden toegepast, moeten ze ook het gunstige effect hebben dat de opstelling van contracten inzake toegang tot en gebruik van gegevens wordt beïnvloed en aldus breder leidt tot eerlijkere contractuele betrekkingen bij toegang tot en het delen van gegevens.

(112) Om het risico uit te sluiten dat houders van gegevens in databases die zijn verkregen of gegenereerd door middel van fysieke componenten, zoals sensoren, van een verbonden product en een gerelateerde dienst of andere door machines gegenereerde gegevens, aanspraak maken op het sui generis recht uit hoofde van artikel 7 van Richtlijn 96/9/EG, en daardoor met name de effectieve uitoefening van het recht van gebruikers op toegang tot en gebruik van gegevens en het recht om gegevens te delen met derden krachtens deze verordening belemmeren, dient verduidelijkt te worden dat het sui generis recht niet van toepassing is op dergelijke databases. Dit doet geen afbreuk aan de mogelijke toepassing van het sui generis recht uit hoofde van artikel 7 van Richtlijn 96/9/EG op databases die gegevens bevatten die buiten het toepassingsgebied van deze verordening vallen, mits de vereisten voor bescherming krachtens lid 1 van dat artikel zijn vervuld.

(113) Om rekening te houden met de technische aspecten van dataverwerkingsdiensten, dient de bevoegdheid om handelingen in te stellen overeenkomstig artikel 290 VWEU aan de Commissie te worden gedelegeerd ter aanvulling van deze verordening teneinde een monitoringsmechanisme in te stellen voor de vergoedingen voor wisseling die door aanbieders van dataverwerkingsdiensten op de markt worden gehanteerd, en om de essentiële vereisten inzake interoperabiliteit voor deelnemers aan gegevensruimten die gegevens of gegevensdiensten aan andere deelnemers aanbieden nader te specificeren. Het is van bijzonder belang dat de Commissie passende raadplegingen houdt tijdens haar voorbereidende werkzaamheden, onder meer op deskundigenniveau, en dat deze raadplegingen worden uitgevoerd overeenkomstig de beginselen die zijn vastgelegd in de Interinstitutionele Overeenkomst van 13 april 2016 inzake betere regelgeving (38). Om met name een gelijkwaardige deelname aan de voorbereiding van gedelegeerde handelingen te waarborgen, ontvangen het Europees Parlement en de Raad alle documenten tegelijk met de deskundigen van de lidstaten, en krijgen hun deskundigen systematisch toegang tot vergaderingen van deskundigengroepen van de Commissie die belast zijn met de voorbereiding van gedelegeerde handelingen.

(114) Om uniforme voorwaarden voor de tenuitvoerlegging van deze verordening te waarborgen, moeten uitvoeringsbevoegdheden worden toegekend aan de Commissie voor de vaststelling van gemeenschappelijke specificaties om de interoperabiliteit van gegevens, mechanismen en diensten voor gegevensdeling, en gemeenschappelijke Europese gegevensruimten, gemeenschappelijke specificaties voor de interoperabiliteit van gegevensverwerkingsdiensten, en gemeenschappelijke specificaties voor de interoperabiliteit van slimme contracten te waarborgen. Uitvoeringsbevoegdheden moeten ook aan de Commissie worden toegekend met het oog op de publicatie van de referenties van geharmoniseerde normen en gemeenschappelijke specificaties voor de interoperabiliteit van gegevensverwerkingsdiensten in een centraal Uniestandaardenarchief voor de interoperabiliteit van gegevensverwerkingsdiensten. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (39).

Deze Verordening mag geen afbreuk doen aan regels die gericht zijn op specifieke behoeften van individuele sectoren of gebieden van algemeen belang. Dergelijke regels kunnen aanvullende eisen bevatten met betrekking tot de technische aspecten van gegevensverkrijging, zoals interfaces voor gegevensverkrijging, of hoe gegevensverkrijging kan worden verstrekt, bijvoorbeeld rechtstreeks van het product of via diensten voor gegevensbemiddeling. Dergelijke regels kunnen ook beperkingen bevatten op de rechten van gegevenshouders om toegang te krijgen tot of gebruikersgegevens te gebruiken, of andere aspecten buiten gegevensverkrijging en -gebruik, zoals bestuursaspecten of beveiligingseisen, waaronder cybersecurityeisen. Deze Verordening mag ook geen afbreuk doen aan specifiekere regels in de context van de ontwikkeling van gemeenschappelijke Europese gegevensruimten of, met inachtneming van de in deze Verordening vastgestelde uitzonderingen, aan wetgeving van de Unie en nationaal recht die voorziet in toegang tot en machtiging tot het gebruik van gegevens voor wetenschappelijke onderzoeksdoeleinden.

Deze Verordening mag geen invloed hebben op de toepassing van de mededingingsregels, en met name op de artikelen 101 en 102 VWEU. De in deze Verordening opgenomen maatregelen mogen niet worden gebruikt om de mededinging op een wijze die in strijd is met het VWEU te beperken.

Om actoren binnen de werkingssfeer van deze verordening in staat te stellen zich aan te passen aan de daarin vastgelegde nieuwe regels en de nodige technische regelingen te treffen, moeten die regels van toepassing zijn vanaf 12 september 2025.

(118) De Europese Toezichthouder voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming werden geraadpleegd in overeenstemming met artikel 42, leden 1 en 2, van Verordening (EU) 2018/1725 en brachten hun advies uit op 4 mei 2022.

(119) Aangezien de doelstellingen van deze verordening, namelijk het waarborgen van billijkheid bij de toewijzing van waarde uit gegevens tussen de actoren in de gegevensgebaseerde economie en het bevorderen van een eerlijke toegang tot en een eerlijk gebruik van gegevens teneinde bij te dragen tot de totstandkoming van een werkelijke interne markt voor gegevens, niet toereikend door de lidstaten kunnen worden verwezenlijkt, maar eerder, vanwege de omvang of de gevolgen van de maatregelen en het grensoverschrijdende gebruik van gegevens, beter op het niveau van de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het subsidiariteitsbeginsel van artikel 5 van het Verdrag betreffende de Europese Unie, maatregelen nemen. Overeenkomstig het evenredigheidsbeginsel van dat artikel gaat deze verordening niet verder dan wat nodig is om die doelstellingen te verwezenlijken,

HEBBEN DEZE VERORDENING AANGENOMEN: