Data Protection Day: traktatie op nieuwe wetgeving in 2024

Gisteren op 28 januari 2024 was het de Europese ‘Data Protection Day’ of ook wel de Dag van de Privacy. Een mooi moment om stil te staan bij nieuwe wetgeving op het gebied van data, technologie en privacy. En dat is ook nodig ook, want vanuit de wetgevende instanties – met name op Europees niveau – zijn recent veel nieuwe regels geïntroduceerd en er komt (nog) een vloedgolf van nieuwe Europese regelgeving aan. Denk onder meer aan de Digital Services Act (‘DSA’), Digital Markets Act (‘DMA’), Data Act (‘DA’), Data Governance Act (‘DGA’), AI Act, AI Liability Directive, Digital Operational Resilience Act (‘DORA’), Cyber Resilience Act (‘CRA’) en de Network and Information Security 2 (‘NIS 2’) Directive. Deze vloedgolf aan nieuwe wetgeving is onder meer het gevolg van de Europese datastrategie. Daarnaast zijn er verschillende ontwikkelingen op nationaal niveau. In dit artikel lichten wij kort enkele nieuwe wetten en regels toe.  

Digital Services Act en Digital Markets Act

De DSA en DMA hebben als doel dat gebruikers van het internet hiervan veilig gebruik kunnen (blijven) maken en dat hun rechten voldoende worden beschermd. Tegelijkertijd is het doel het bevorderen van eerlijke concurrentie tussen bedrijven die online actief zijn, zowel binnen de Europese Unie (‘EU’) als daarbuiten. De DSA en DMA zijn van toepassing op (aanbieders van) digitale diensten, zoals websites, applicaties en online platforms.

DSA

De regels in de DSA gelden met name voor online tussenpersonen en platforms. Hierbij kan worden gedacht aan digitale marktplaatsen, applicaties voor het delen van content (zoals social media), appstores en accommodatieplatforms (zoals Booking.com). De DSA ziet niet alleen op de grootste online spelers maar ook op de kleinere platforms. De DSA bevat onder meer transparantiemaatregelen en maatregelen om desinformatie of illegale inhoud binnen de digitale diensten tegen te gaan. Ook stelt de DSA bijvoorbeeld extra regels met betrekking tot:

• online (gepersonaliseerde) reclame en een verbod op het gebruik van bijzondere persoonsgegevens voor reclamedoeleinden;
• het gebruik van ‘donkere patronen’ die het vermogen van personen om zelfstandig keuzes te maken kunnen beïnvloeden (wat van invloed is op bijvoorbeeld het accepteren van cookies);
• controles op gebruikte algoritmes voor bijvoorbeeld gepersonaliseerde content en reclame op platforms.

Sinds 25 augustus 2023 geldt de DSA al voor de negentien grootste platforms en zoekmachines, zoals Google, Amazon en Meta. Vanaf 17 februari 2024 gaat de DSA gelden voor alle digitale diensten en platforms.

DMA

De DMA bevat regels voor de 15 tot 20 grootste online platforms die een belangrijke rol spelen in de digitale markt, de zogenoemde ‘gatekeepers’. Het doel van de DMA is het bevorderen van concurrentie op digitale markten en het vergroten van het gebruiksgemak voor gebruikers van die digitale diensten. Een voorbeeld hiervan is dat de DMA bedrijven zal verplichten hun chatapplicaties (zoals WhatsApp) open te stellen voor chatapplicaties van andere aanbieders (zoals Telegram), waardoor gebruikers van de ene applicatie ook berichten kunnen versturen naar gebruikers van een andere applicatie. Ook mogen appontwikkelaars gebruik maken van eigen of andere betaalsystemen, in plaats van het betaalsysteem van de appstore waarin zij hun applicatie aanbieden (bijvoorbeeld de App Store van Apple). De gatekeepers hebben tot maart 2024 om ervoor te zorgen dat zij aan de verplichten van de DMA voldoen.

Data Act en Data Governance Act

In onze digitale maatschappij worden op vele manieren data gebruikt, gegenereerd en verzameld. Veel van die data blijft echter ongebruikt of onbeschikbaar voor anderen. De DA en DGA hebben als doel het bewerkstelligen van eerlijke toegang tot en eerlijk gebruik van data uit verschillende sectoren. Het beheer van data moet veiliger, eenvoudiger en efficiënter. Op die manier kan beschikbare data optimaal worden benut en kunnen consumenten en bedrijven meer geïnformeerd beslissingen nemen op basis van die beschikbare data. De DA stelt voorschriften op betreffende de toegang tot en het gebruik van gegenereerde data en de DGA legt de kaders en procedures vast om hergebruik van (overheids)data mogelijk te maken. De DA en DGA hebben een ruimer toepassingsgebied dan de Algemene Verordening Gegevensbescherming (‘AVG’) omdat het ziet op data in het algemeen en niet alleen op persoonsgegevens. De AVG blijft uiteraard onverkort gelden als er sprake is van persoonsgegevens. Van belang is dat met de DGA en de DA het recht op overdraagbaarheid van gegevens – zoals we dat kennen onder de AVG – meer aandacht zal krijgen. Data dient gemakkelijker te kunnen worden gedeeld van de ene partij naar de andere. Ook zal er meer duidelijkheid komen over toegangsrechten, gebruiksrechten en ‘eigendom’ ten aanzien van data(sets). De DGA is van toepassing sinds 24 september 2023. Voor de DA zal dit nog iets langer duren. De DA is op 27 november 2023 aangenomen en is vervolgens twintig dagen na bekendmaking in het Publicatieblad van de EU in werking getreden. De regels uit de DA zullen echter pas van toepassing zijn vanaf 20 maanden na de datum van inwerkingtreding. Dit zal in september 2025 zijn.

AI Act en AI Liability Directive

De AI Act heeft met name als doel de inzet en ontwikkeling van AI in goede banen te leiden en om meer (product)veiligheid te bevorderen. Daarbij is in de verordening gekozen voor een ‘risk-based approach’, waarbij sommige AI-systemen worden verboden en bepaalde systemen gebonden zullen zijn aan (strikte) verplichtingen. De AI Liability Directive bevat daarnaast nog specifieke regels over aansprakelijkheid wanneer schade ontstaat bij het gebruik van AI-systemen. Deze regels beogen consumenten meer te beschermen, maar beogen ook bij hen meer vertrouwen te creëren in AI. Over de inhoud van de AI Act schreven wij eerder al een uitgebreide blogreeks. Op dat moment was de AI Act nog niet definitief, maar het ziet ernaar uit dat de definitieve tekst van de AI Act ergens in februari 2024 zal verschijnen. Na goedkeuring van die definitieve tekst, treedt de AI Act in werking op de twintigste dag na bekendmaking hiervan in het Publicatieblad van de EU. Vervolgens zal de AI Act in 2026 volledig van toepassing zijn, waarbij bepaalde regels al eerder volledig van toepassing zullen zijn:

• 6 maanden na inwerkingtreding moeten verboden systemen van de markt worden gehaald;
• 12 maanden na inwerkingtreding worden de verplichtingen voor ‘general purpose AI’ van toepassing;
• 24 maanden na inwerkingtreding worden alle regels van de AI Act van toepassing, met inbegrip van de verplichtingen voor systemen met een hoog risico zoals opgenomen in bijlage III van de AI Act;
• 36 maanden na inwerkingtreding zijn ook de verplichtingen voor systemen met een hoog risico zoals opgenomen in bijlage II van de AI Act van toepassing.

Voor de AI Liability Directive geldt dat deze nog redelijk aan het begin van het wetgevingstraject staat en bovendien moet deze Europese richtlijn na goedkeuring nog worden omgezet naar nationaal recht.

Network and Information Security 2 Directive, Digital Operational Resilience Act en Cyber Resilience Act

Om ervoor te zorgen dat de belangrijkste diensten in de maatschappij beschikbaar blijven, ondanks het toenemende gevaar op het gebied van cyberaanvallen, zijn de NIS 2 en DORA in het leven geroepen. De NIS 2-richtlijn is de opvolger van de NIS 1-richtlijn en heeft als doel het niveau van cybersecurity van essentiële en belangrijke organisaties te verhogen, zodat systemen beter beschermd worden en daarmee essentiële diensten binnen de samenleving beschikbaar blijven, zoals op het gebied van energie, transport, gezondheid en financiën. Hierover schreven wij eerder een uitgebreide blog. Deze richtlijn wordt momenteel in nationale wetgeving omgezet. Vanaf 17 oktober 2024 treden de regels definitief in werking. Vanaf dan moeten sommige organisaties in Nederland aan de regels uit deze richtlijn voldoen, zoals het treffen van bepaalde beveiligingsmaatregelen, een meldplicht bij incidenten en speciale verantwoordelijkheden voor bestuurders. De DORA bevat vergelijkbare regels als de NIS 2-richtlijn, maar dan specifiek gericht op financiële instellingen, zoals banken en verzekeraars. In de DORA staan uitgebreide regels die financiële instellingen moeten volgen om ervoor te zorgen het weerbaarheid tegen cyberaanvallen wordt vergroot. Vanaf januari 2025 moeten financiële instellingen aan deze regels voldoen. Ook in de CRA wordt de problematiek omtrent cyberdreiging aangepakt. De CRA legt regels vast voor producenten van hardware- en softwareproducten met digitale elementen, zoals een slim apparaat. Denk hierbij aan een slimme deurbel of een slimme camera. Producenten moeten verschillende beveiligingsmaatregelen nemen om ervoor te zorgen dat deze producten veilig zijn met het oog op cyberdreigingen. Deze verordening treedt naar verwachting in 2024 in werking. Producenten hebben vervolgens 36 maanden om hun producten aan te passen op deze wetgeving.

Doxing en deepfaking

Verder is nog goed om te vermelden dat in Nederland per 1 januari 2024 ‘doxing’ strafbaar is gesteld. Doxing betekent het verzamelen of delen van andermans persoonsgegevens met als doel diegene te intimideren. Er staat een forse straf op doxing, namelijk een gevangenisstraf van twee jaar of een geldboete van maximaal € 22.500,-. De gevangenisstraf kan zelfs nog worden verhoogd met een derde wanneer doxing is gericht tegen personen met een specifiek beroep. Denk hierbij aan rechters, journalisten of hulpverleners. Recent is ook duidelijk geworden dat in sommige situaties het strafbaar kan zijn om een ‘deepfake’ video te maken. In december is een persoon veroordeeld tot 120 uur werkstraf voor het bewerken van pornovideo, waarbij het gezicht van een vrouwelijke pornoactrice door middel van deepfaketechnologie verwisseld was met het gezicht van presentatrice Welmoed Sijtsma. In deze blog vertellen wij u meer over dit onderwerp.

Verzamelwet Gegevensbescherming

In december 2022 is het wetsvoorstel Verzamelwet gegevensbescherming ingediend.  Het is bijna zes jaar geleden dat de AVG in werking is getreden. De eerste ervaringen met de AVG en de daarbij behorende (sectorale) wetgeving, zoals de Uitvoeringswet AVG (‘UAVG’), zijn opgedaan. Daarmee was het de hoogste tijd om deze eerste ervaringen in kaart te brengen. De uitkomsten van deze ervaringen zijn verwerkt in de Verzamelwet Gegevensbescherming. In dit uitgebreide artikel nemen wij u mee in de belangrijkste wijzigingen. Op dit moment betreft de Verzamelwet nog steeds een wetsvoorstel en ligt het als kamerstuk bij de Tweede Kamer. Heeft u vragen over deze nieuwe (aankomende) wetten op het gebied van data, technologie en privacy? Neem dan gerust contact met ons op.