Nieuwe Europese Privacywetgeving in 2024
De Europese verordeningen en richtlijnen op het gebied van privacy- en gegevensbescherming volgen elkaar snel op.
Dit blogbericht biedt een overzicht van alle wetgeving die is ingevoerd of die voor dit jaar op stapel staat.
We behandelen de volgende initiatieven:
- Digital Market Act (DMA)
- Digital Service Act (DSA)
- Digital Governance Act (DGA)
- Network and Information Security Act (NIS2)
- Digital Operational Resilience Act (DORA)
- Data Act
- AI Act
- European Health Data Space (EHDS)
De AI Liability Directive en Cyber Resilience Act (CRA) vallen buiten het bereik van deze post.
Digital Markets Act (DMA)
Deze verordening is in mei 2023 van kracht geworden. Het doel van de Digital Markets Act (DMA) is om digitale markten eerlijker te maken en daarmee de concurrentie te bevorderen.
De DMA richt zich op zogenoemde ‘poortwachters‘. Dat zijn de grote (veelal Amerikaanse) digitale platforms met kernplatformdiensten. Het gaat om Alphabet (onder andere Google Search, YouTube), Amazon, Apple (onder andere Appstore), ByteDance (TikTok), Meta (onder andere Facebook, Whatsapp) en Microsoft (onder andere Windows, LinkedIn).
De verordening legt verplichtingen (‘do’s’) en verboden (‘don’ts’) op aan deze poortwachters. Zij moeten bijvoorbeeld derde partijen toestaan om in bepaalde situaties met hun diensten te ‘interopereren’. Zoals berichten van het ene naar het andere platform te sturen. Ze moeten ook transparantie bieden aan adverteerders en bedrijven die op hun platform adverteren. Tegelijkertijd mogen ze niet hun eigen diensten bevoordelen in rangschikking of gebruikers verhinderen hun software te verwijderen.
Niet-naleving van de DMA kan aanzienlijke gevolgen hebben, waaronder boetes tot 10% van de jaarlijkse wereldwijde omzet van een bedrijf, oplopend tot 20% bij herhaalde schendingen. Periodieke boetes kunnen oplopen tot 5% van de dagelijkse omzet.
De poortwachters moeten vanaf maart 2024 aan de bepalingen uit deze verordening voldoen.
Digital Service Act (DSA)
De DSA is het tweelingbroertje van de Digital Markets Act en heeft meerdere doelen. Bijvoorbeeld het terugdringen van online misleiding en gebrekkige informatie. Maar ook het vergemakkelijken van digitale handel.
De DSA richt zich op verschillende online diensten zoals onlinemarktplaatsen, sociale netwerken, platforms om content te delen zoals video’s en online reis- en accommodatieplatforms. Net zoals bij de Digital Market Act gaat gaat het om de grootste dienstverleners, de poortwachters. Om te weten om welke partijen het gaat, zijn de dienstverleners verplicht om het aantal actieve gebruikers te publiceren. Er zijn op dit moment 19 poortwachters aangewezen. Naast de eerder genoemde namen gaat het bijvoorbeeld om X (voorheen: Twitter) en AliExpress en Snapchat.
Deze grootste digitale diensten (poortwachters) moeten jaarlijkse beoordelingen uitvoeren van de risico’s van schadelijke onlinepraktijken op hun diensten. Bijvoorbeeld als het gaat om illegale goederen of content en het verspreiden van desinformatie.
Online marktplaatsen moeten meer informatie inwinnen over de bedrijven die producten of diensten verkopen via hun platform. Dit moet helpen om malafide handelaren te ontmoedigen en te identificeren, neemt oneerlijke concurrentie weg en maakt het makkelijker om als consument je recht te halen.
Sociale netwerken moeten transparanter zijn over de manier waarop moderatie plaatsvindt. In het bijzonder over het verwijderen van informatie of het verwijderen van gebruikers.
Het wordt verboden om advertenties te personaliseren op grond van bijvoorbeeld geloofsovertuiging of seksuele geaardheid. Bovendien moeten kinderen extra worden beschermd.
Voor burgers betekent dit een verbeterde bescherming van fundamentele rechten, meer controle en keuze, sterkere bescherming van kinderen online en minder blootstelling aan illegale inhoud. Voor aanbieders van digitale diensten biedt de DSA juridische zekerheid, één set regels voor de EU.
De verordening is op 25 augustus 2023 in werking getreden.
Digital Governance Act (DGA)
Dit is wet waarop veel kritiek bestaat en waarvan de precieze reikwijdte nog vorm moet krijgen in de praktijk.
De DGA gaat over de toegang tot overheidsdata. Deze data moet in beginsel vrij beschikbaar zijn en dus niet exclusief met één partij worden gedeeld. Bijvoorbeeld bij het gebruiken van geanonimiseerde medische gegevens voor nieuw medicijnonderzoek. Overheden zijn al verplicht om informatie te delen, maar moeten hun ‘hergebruikbeleid’ aanmelden bij een centraal informatiepunt.
Ook regelt de DGA het delen van gegevens door bedrijven en consumenten via zogenaamde databemiddelingsdiensten (of databrokers). Deze diensten moeten zich voortaan registreren en mogen gegevens niet voor andere doeleinden gebruiken. Zo probeert de DGA gegevens te beschermen en tegelijkertijd een alternatief te bieden voor een beperkt aantal grotere bedrijven die nu nog de datamarkt domineren.
De DGA is op 24 september 2023 in werking getreden.
Network and Information Security Act (NIS2)
NIS2 heeft als doel om de cyberbeveiliging en weerbaarheid van essentiële diensten in
EU-lidstaten te verbeteren.
De NIS2 is een Europese richtlijn en geen verordening. Dit betekent dat de EU landen deze richtlijn in nationale wetgeving moeten omzetten. Momenteel wordt in de verschillende lidstaten daarom aan uitvoeringswetten gewerkt.
Eén van de punten waarop nog duidelijkheid moet komen, is voor welke organisaties deze wet precies gaat gelden. Het gaat in ieder geval om organisaties die een dienst verlenen die belangrijk, essentieel of kritiek is voor het functioneren van de maatschappij of economie. Denk hierbij aan organisaties in de sectoren: energie, vervoer, bankwezen, gezondheidszorg, drinkwater en de overheid.
Essentiële diensten krijgen een zorgplicht om hun diensten goed te beveiligen.
Zij krijgen daarnaast een meldplicht. Deze meldplicht houdt in dat incidenten worden gemeld bij een toezichthouder en daarbij wordt gedeeld hoe het incident wordt afgewikkeld. Deze meldplicht is vergelijkbaar met de meldplicht uit de AVG. Organisaties kunnen ook verplicht worden om zich te certificeren.
Diverse rijksoverheden adviseren om de definitieve wetgeving niet af te wachten en nu al te starten. Bijvoorbeeld met het maken van risicoanalyses van de fysieke en digitale risico’s die de dienstverlening van organisaties kunnen verstoren. Daarnaast adviseren ze om alvast maatregelen te nemen die organisaties weerbaar maken en procedures in te richten die organisaties in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren, detecteren, monitoren, op te lossen en te melden.
De wet treedt in werking vanaf oktober 2024.
Digital Operational Resilience Act (DORA)
DORA is specifiek van toepassing op de financiële sector.
Het doel is om de continuïteit van kritieke processen te waarborgen. Dit doel wordt bereikt door eisen te stellen op het gebied van het beheer ICT-risicobeheer. Het gaat daarbij ook om ICT van derden.
Het achterliggende idee is dat de financiële sector in toenemende mate afhankelijk is geworden van informatietechnologie en digitale informatie. Deze afhankelijkheid heeft ook het risico vergroot. De nieuwe verordening moet de kans op verstoringen van het financiële systeem minimaliseren.
Organisaties die onder DORA vallen, worden verplicht om hun digitale weerbaarheid te testen. Zij moeten ook informatie over incidenten en bedreigingen gaan uitwisselen met elkaar en met de toezichthouders.
De verordening gaat van kracht op 1 januari 2025.
Data Act
De Data Act geldt voor ieder bedrijf dat data verzamelt of slimme apparaten verkoopt.
De Data Act zorgt ervoor dat de consument grip houdt op zijn/haar eigen gegevens.
Zo komen er regels in de EU over wie toegang heeft tot en gebruik mag maken van data uit slimme apparaten (Internet of Things). Hierdoor krijgen consumenten en bedrijven meer zeggenschap. Ook kunnen ze makkelijker overstappen tussen clouddiensten. Of diensten met elkaar verbinden.
De EU Data Act legt ook spelregels vast voor het delen van data. Zoals een redelijke vergoeding aan bedrijven voor het beschikbaar stellen van data, goede geschillenbeslechting en de aanpak van eventuele oneerlijke contractvoorwaarden.
Er komt ook een mechanismen voor overheidsinstanties om in noodsituaties data te gebruiken. Tot slot zal de Data Act regels bevatten voor bevordering van interoperabiliteit.
Het doel is dat de Data Act medio 2025 in werking treedt.
AI Act
De AI Act gaat gelden voor aanbieders van AI-diensten en producten.
Het doel achter deze wet is om innovatie op een veilige manier te bevorderen door de ontwikkeling van voorwaarden. Het Europees Parlement benadrukt dat AI-systemen veilig, transparant, traceerbaar, niet-discriminerend en milieuvriendelijk moeten zijn, en pleit voor menselijk toezicht om schadelijke gevolgen te voorkomen.
De AI Act classificeert AI-systemen op basis van het risico dat ze vormen voor gebruikers. Op basis van dit risico worden verplichtingen opgelegd.
Systemen met onaanvaardbare hoge risico’s, zoals systemen voor gedragsmanipulatie of sociale scores, worden verboden.
Voor systemen met hoge risico’s gelden eisen zoals een conformiteitsbeoordeling, het gebruik van kwalitatief goede data en uitlegbaarheid van beslissingen.
Voor systemen met een laag of minimaal risico gelden mildere eisen. Daarbij gaat het vooral om transparantie. Bijvoorbeeld door te vermelden dat content door AI is gegenereerd bij het gebruik van ChatGPT.
Eind 2023 is een akkoord bereikt over de wettekst. Het Europees Parlement moet hier nog formeel over stemmen. Op dit moment is dus nog niet duidelijk wanneer de AI-wet in werking treedt.
De European Health Data Space (EHDS)
Een vrij recent initiatief is dat tot de European Health Data Space (EHDS). Het doel is om beter gebruik te maken van het potentieel van gezondheidsgegevens. Als dit initiatief wordt voortgezet zal dit met name van toepassing zijn op zorgorganisaties en leveranciers van elektronische patiëntendossiers.
De EHDS kent twee pijlers:
- Het ondersteunen van individuen bij het beheer van hun eigen gezondheidsgegevens. EU burgers moeten hun gezondheidsgegevens onmiddellijk en gratis kunnen inzien.
- Het bevorderen van het gebruik van gezondheidsgegevens voor betere zorgverlening, onderzoek, innovatie en beleidsvorming. Zorgorganisaties zullen hun gegevens in anonieme vorm moeten gaan delen.
Een ander doel is het interoperationeel maken van slimme horloges en patiëntendossiers.
Het wetgevingsproces is nog maar net gestart en zal de komende jaren meer vorm krijgen.
Conclusie
De Europese wetgevingsagenda zorgt voor de nodige veranderingen. Het is belangrijk om bovenstaande (initiatief)wetten en hun uitwerking goed in de gaten te blijven houden.