Europese toezichthouders: Data Act mag geen afbreuk doen aan AVG

Europese privacytoezichthouders zijn kritisch over het huidige voorstel voor de Data Act. De waakhonden waarschuwen dat de Data Act geen afbreuk mag doen aan de bescherming van persoonsgegevens die de Algemene verordening gegevensbescherming (AVG) biedt. Ook stellen de toezichthouder dat de wet overheden geen te ruime bevoegdheid mag geven om persoonsgegevens op te eisen van private partijen.

Dit blijkt uit een gezamenlijk advies van de European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS). De EDPB is een samenwerkingsverband van Europese nationale privacytoezichthouders. De EDPS houdt toezicht op instellingen van de EU zelf.

Delen van data stimuleren

De Data Act, in Nederland ook bekend als de Dataverordening, is een voorstel die het delen van data moet stimuleren. Het gaat daarbij zowel om data van bedrijven als overheden. Het kan daarbij ook gaan om persoonsgegevens.

Het voorstel is bedoeld om datadeling tussen verschillende sectoren en private en publieke partijen te stimuleren. Ook moeten gebruikers van slimme apparaten toegang krijgen tot de data die deze apparaten genereren. Toezichthouders houden toezicht op de naleving van de wetgeving.

Onduidelijkheid over AVG

"Het grootste risico van het huidige voorstel voor de Data Act is dat er onduidelijkheid kan ontstaan over de toepasselijkheid van de AVG en dat de Data Act afbreuk doet aan rechten en verplichtingen in de AVG. Het doel van de Data Act is om het delen van data zo veel mogelijk te stimuleren en daarmee kunnen ook persoonsgegevens gemoeid zijn", schrijft de Autoriteit Persoonsgegevens in een nieuwsbericht.

De toezichthouders wijzen erop dat de AVG bij het gebruik van persoonsgegevens altijd voorgaat op de Data Act. Schrijft de Data Act voor dat een organisatie persoonsgegevens moet delen? Dan mag dit volgens de toezichthouders alleen indien dit ook volgens de AVG mag. De waakhonden willen dat in de Data Act duidelijk wordt vermeld dat de AVG altijd van toepassing is bij het delen van persoonsgegevens.

Te veel ruimte voor opeisen van data

Ook zien de toezichthouders het als risico dat de Data Act 'te veel ruimte geeft aan overheden' om persoonsgegevens bij bedrijven op te eisen, zonder voldoende waarborgen voor de privacy van burgers. Zo verplicht de wet bedrijven om in 'uitzonderlijke omstandigheden' data te delen met overheden. Denk hierbij aan rampen. De toezichthouders vinden onvoldoende beschreven wanneer deze verplichtingen precies geldt en om welke data het dan gaat.

Het Europees Parlement en de regering van de EU-lidstaten moeten zich nog over het voorstel voor de Data Act buigen.