Europese privacytoezichthouders, waaronder de Autoriteit Persoonsgegevens (AP) roepen de Europese Commissie (EC) op een aantal verbeteringen door te voeren in het huidige voorstel voor de Data Act. Het wetsvoorstel zou niet in lijn zijn met de GDPR. De toezichthouders wijzen erop dat de AVG bij het gebruik van persoonsgegevens altijd voorgaat.
Beeld: Shutterstock
De Europese Commissie wil dat organisaties meer data met klanten en overheden delen. De Data Act (of Dataverordening) is een voorstel voor een nieuwe wet, die het delen van data moet stimuleren. Het gaat om data bij overheidsinstellingen én bedrijven. En mogelijk ook om persoonsgegevens. Ook moeten gebruikers van ‘slimme’ apparaten, zoals deurbellen of thermostaten, toegang krijgen tot de data die deze apparaten genereren.
AVG altijd boven Data Act
Het grootste risico van het huidige voorstel voor de Data Act is dat er onduidelijkheid kan ontstaan over de toepasselijkheid van de AVG en dat de Data Act afbreuk doet aan rechten en verplichtingen in de AVG. Het doel van de Data Act is om het delen van data zo veel mogelijk te stimuleren en daarmee kunnen ook persoonsgegevens gemoeid zijn.
De toezichthouders wijzen erop dat de AVG bij het gebruik van persoonsgegevens altijd voorgaat. Dus schrijft de Data Act voor dat een organisatie persoonsgegevens moet delen? Dan mag dat alleen als dat volgens de AVG ook kan. Ze benderukken dat in de Data Act duidelijk moet staan dat de AVG altijd van toepassing is bij het delen van persoonsgegevens.
Waarborgen voor privacy
Daarnaast zien de toezichthouders het risico dat de Data Act te veel ruimte geeft aan overheden om persoonsgegevens bij bedrijven op te eisen, zonder voldoende waarborgen voor de privacy van burgers. De Data Act verplicht bedrijven namelijk om in ‘uitzonderlijke omstandigheden’, zoals rampen, data te delen met overheden.
Wanneer die verplichting precies geldt en om welke data het dan gaat, is niet duidelijk genoeg omschreven. Dat moet wel, vinden de toezichthouders.