Het kabinet gaat zich op aandringen van de Tweede Kamer hard maken voor onder meer twee verbeteringen in de Dataverordening van de EU. Tijdens de Telecomraad van de EU-ministers aanstaande vrijdag 2 juni 2023 pleit Nederland voor een verdere beperking van de mogelijkheden voor overheden om data waaronder persoonsgegevens op te vragen. Daarvoor is een nauwere definitie nodig van het begrip ‘uitzonderlijke noodzaak’.
De compromistekst van het Europees Parlement (EP) is op dit punt meer in lijn met de kabinetsinzet dan het compromis waar de Telecomraad op aanstuurt. De EP-tekst zondert persoonsgegevens uit van de bevoegdheid voor overheden om gegevens op te vragen bij ‘uitzonderlijke noodzaak’ en heeft het een nauwere definitie van ‘uitzonderlijke noodzaak’.
De diensten die de Dataverordening reguleert zijn dataverwerkingsdiensten, ook wel clouddiensten. Hieronder vallen vooral diensten voor zakelijke gebruikers, zoals boekhoudsoftware of software voor het beheer van klantrelaties. Onder de Raadstekst van de Dataverordening mogen aanbieders van clouddiensten gebruikers niet meer belemmeren om hun contract op te zeggen, hun data of applicaties te porteren of (data uit) diensten van verschillende aanbieders te combineren.
Iot-producten
Naast clouddiensten richt de Dataverordening zich met name op internet-of-things (iot)-producten. De Dataverordening bevat verschillende bepalingen om gebruikers van deze producten meer transparantie en zeggenschap te geven over de data (zowel persoonsgegevens als niet-persoonsgegevens) die iot-producten genereren op basis van hun gebruik. De Dataverordening geeft gebruikers het recht die data zelf te gebruiken of te delen met derde partijen, met uitzondering van data gerelateerd aan content zoals audio of video.
Dit recht doet geen enkele afbreuk aan de AVG en vult het recht van een betrokkene op dataportabiliteit (overdracht van persoonsgegevens) uit de AVG aan. Zowel aanbieders van iot-producten als derde partijen mogen data uit iot-producten onder de Dataverordening alleen gebruiken voor overeengekomen doelen. Daarnaast bevat de verordening specifieke transparantieverplichtingen over de data die iot-producten genereren en het gebruik ervan.
Ook moet het intrekken van toestemming aan derde partijen om data te verwerken net zo makkelijk zijn als het geven van die toestemming. Derde partijen mogen data uit iot-producten ook niet gebruiken om personen te profileren tenzij noodzakelijk voor de door de dienst die wordt afgenomen. Het kabinet wil op wens van de Tweede Kamer alleen het micro- en kleinbedrijf uitzonderen van de bepalingen gericht op producenten van iot-producten.
Levensduur, oss en meldstructuur
Tijdens de onderhandelingen in de Telecomraad maakt het kabinet zich ook sterk voor een ondersteuningstermijn die uitgaat van de redelijk te verwachten levensduur voor producten, in plaats van de door de Europese Commissie voorgestelde maximumtermijn van vijf jaar.
Verder wil het kabinet een helder toepassingsbereik voor opensourcesoftware (oss), waarbij niet-commercieel aangeboden oss buiten de Cyber Resilience Act (CRA) valt zolang deze niet in de handel wordt gebracht. De fabrikant die deze software in een commercieel product gebruikt is degene die met dat product aan deze wetgeving moet voldoen.
Eveneens op het Nederlandse verlanglijstje staat een voor zowel Computer Security Incident Response Teams (Csirt’s) als fabrikanten goed uitvoerbare meldplicht bij (geëxploiteerde) kwetsbaarheden en incidenten, met een effectieve en veilige meldstructuur. Uitgangspunt is dat fabrikanten zelf de conformiteit van hun product aan de eisen van de CRA beoordelen; voor meer gevoelige producten hecht Nederland aan behoud van een verplichte conformiteitsbeoordeling door een onafhankelijke derde partij. Tenslotte pleit Nederland voor een redelijke implementatietermijn, waarbij voldoende tijd is voor de ontwikkeling en implementatie van normen voor conformiteit.