Sinds 12 september 2025 is de Dataverordening (Verordening 2023/2854) van toepassing. Dit nieuwsartikel gaat in op het doel van de Dataverordening en de specifieke rechten en verplichtingen van decentrale overheden om toegang te krijgen tot gegevens van bedrijven en particulieren bij uitzonderlijke noodzaak.
Het doel van de Dataverordening
De Commissie constateert in haar Europese datastrategie dat de enorme hoeveelheden gegevens die in de EU worden gegenereerd nog onvoldoende worden benut. Data blijven vaak opgesloten bij private partijen, terwijl juist een bredere beschikbaarheid de productiviteit, innovatie en de kwaliteit van publieke diensten zou kunnen verhogen. Tegelijkertijd bestaat de uitdaging om dit gebruik in balans te brengen met de bescherming van fundamentele rechten, waaronder dataprivacy.
De Dataverordening is daarom opgezet als instrument om de toegang tot en het gebruik van persoons- en niet-persoonsgebonden gegevens beter te reguleren. Hiermee wil de Commissie waarborgen dat gegevens eerlijk en veilig gedeeld kunnen worden, met duidelijke regels voor bedrijven, burgers en overheden. In wezen bepaalt de Dataverordening onder welke voorwaarden een particulier, bedrijf of overheidsinstantie toegang kan krijgen tot gegevens van bedrijven die verbonden producten, zoals smartphones en smartwatches aanbieden.
Overigens blijven de verplichtingen en bescherming van persoonsgegevens onder de Algemene Verordening Gegevensbescherming (Verordening 2016/679) gelden.
Decentrale overheden hebben toegang tot gegevens bij uitzonderlijke noodzaak
Naast verschillende Europese instanties kunnen decentrale overheden als overheidsinstanties op grond van uitzonderlijke noodzaak toegang krijgen tot gegevens van bedrijven of particulieren in twee alternatieve scenario’s.
Uitzonderlijke situatie door een algemene noodsituatie
Ten eerste, zoals vastgelegd in artikel 15 lid 1 onder a, is er sprake van uitzonderlijke noodzaak wanneer de gevraagde gegevens noodzakelijk zijn om te kunnen reageren op een algemene noodsituatie. Daarbij moeten decentrale overheden zulke gegevens niet tijdig en effectief op andere manieren kunnen verkrijgen. Een algemene noodsituatie is een onvoorzienbare en in tijd beperkte uitzonderlijke situatie op het gebied van de volksgezondheid, een natuurramp of een door de mens veroorzaakte grote ramp, zoals een cyberveiligheidsincident, die negatieve gevolgen heeft voor de bevolking van de EU of (een deel van) een lidstaat. Daarbij bestaat er een risico op ernstige en blijvende gevolgen voor de levensomstandigheden, economische stabiliteit, de financiële stabiliteit of een aanzienlijke en onmiddellijke verslechtering van de economie.
Uitzonderlijke situatie zonder een noodsituatie
Ten tweede, vastgelegd in artikel 15 lid 1 onder b, kan uitzonderlijke noodzaak ook ontstaan zonder het bestaan van een noodsituatie. Decentrale overheden kunnen specifieke niet-persoonsgebonden gegevens opvragen als zij deze nodig hebben om een taak van algemeen belang te kunnen uitvoeren die bij wet is vastgelegd, zoals het beperken van een noodsituatie. De decentrale overheid moet wel eerst alle andere middelen waarover zij beschikt, zoals of kopen van gegevens op de markt, hebben uitgeput.
Verzoek om gegevens beschikbaar te stellen
Decentrale overheden moeten per individueel geval beoordelen of en aantonen dat een verzoek om gegevens inderdaad rechtmatig is onder de Dataverordening. Zulke verzoeken moeten een rechtmatig doel nastreven, namelijk het reageren op een noodsituatie of vervullen van een taak van algemeen belang. Daarnaast moet het verzoek evenredig, transparant en beperkt in tijd zijn. Tot slot moeten dergelijke verzoeken als laatste redmiddel worden gezien, omdat de decentrale overheden eerst alle andere beschikbare middelen om die gegevens te verkrijgen moeten hebben uitgeput.
Wanneer decentrale overheden om gegevens verzoeken bij uitzonderlijke noodzaak, moeten zij aan een reeks verplichtingen voldoen onder artikel 17. Daaronder valt het specificeren van de vereiste gegevens en de beschikkingstermijn, het aantonen van een uitzonderlijke noodzaak, het toelichten van het gebruik van de gevraagde gegevens en het vermelden van andere waarmee de gegevens worden gedeeld. In het geval van persoonsgegevens moeten decentrale overheden specificeren welke technische en organisatorische maatregelen, zoals pseudonimisering, nodig zijn om gegevensbescherming te waarborgen. Noodsituaties zijn vaak grensoverschrijdend en daarom kunnen decentrale overheden volgens artikel 22 ook om de gegevens van een gegevenshouder in een andere lidstaat vragen via de bevoegde autoriteit in de desbetreffende lidstaat. Die autoriteit onderzoekt het verzoek en stuurt het vervolgens door naar de betreffende gegevenshouder of zij wijst het af als zij van mening is dat het verzoek niet voldoet aan de vereisten onder de Dataverordening.
In verband met dataprivacy en bedrijfsgeheimen gelden er strenge veiligheids- en vertrouwelijkheidsverplichtingen voor decentrale overheden onder artikel 19. Zij mogen de ontvangen gegevens niet gebruiken voor andere doelen dan waarvoor gegevens zijn opgevraagd. Bovendien moeten zij de vertrouwelijkheid en integriteit van de gegevens beschermen door technische en organisatorische maatregelen zoals encryptie te nemen. Verder moeten decentrale overheden de gegevens wissen zodra zij niet langer nodig zijn voor het aangegeven doel.
Artikel 20 lid 1 voorziet dat alle gegevenshouders met uitzondering van micro-ondernemingen en kleine ondernemingen de gevraagde gegevens kosteloos beschikbaar moeten stellen in het geval van een noodsituatie. Als gegevenshouders daarentegen gegevens verstrekken aan een decentrale overheid voor het uitvoeren van een taak van algemeen belang, mogen zij volgens artikel 20 lid 2 wel een vergoeding vragen ter compensatie voor de kosten gemaakt om te voldoen aan het verzoek, zoals de kosten van anonimisering.
Tot slot kan een gegevenshouder op grond van artikel 18 lid 2 het verzoek afwijzen of vragen om wijziging van het verzoek wanneer die geen controle over de gevraagde gegevens heeft, er al een soortgelijk verzoek is ingediend door een andere instantie of het verzoek niet voldoet aan de voorwaarden onder de Dataverordening. Voor een verzoek om gegevens die noodzakelijk zijn voor het reageren op een noodsituatie geldt een termijn van vijf werkdagen na ontvangst van het verzoek. Voor een verzoek om gegevens in andere gevallen van uitzonderlijke noodzaak geldt een termijn van dertig werkdagen na ontvangst.
Decentrale relevantie
Het is nog onduidelijk wanneer en hoe decentrale overheden de Dataverordening precies kunnen inzetten om toegang te krijgen tot gegevens bij uitzonderlijke noodzaak. Algemene noodsituaties kunnen mogelijk pandemieën, epidemieën, bosbranden, overstromingen en grote cyberincidenten omvatten. Provincies, gemeenten en waterschappen kunnen een belangrijke rol spelen in het beperken van en reageren op zulke situaties. Overweging 64 uit de preambule bij de Dataverordening legt neer dat EU-recht of nationaal recht bepaalt of er sprake is van een noodsituatie.
Uit de Memorie van Toelichting bij de Uitvoeringswet van 17 april 2025 (Kamerstuk 36 733 Nr. 3) acht de Nederlandse overheid het staatsnood- en crisisrecht van belang. De belangrijkste wet in dat kader is de Coördinatiewet uitzonderingstoestanden. Deze wet voorziet dat uitzonderingstoestanden als beperkte noodtoestand of algemene noodtoestand kunnen worden afgekondigd bij koninklijk besluit waardoor speciale bevoegdheden uit staatsnoodwetten kunnen worden ingesteld. Beperkte noodtoestanden en algemene noodtoestanden vallen beide binnen de definitie van een algemene noodsituatie onder de Dataverordening. Wanneer decentrale overheden noodbevoegdheden toegewezen krijgen, kunnen zij daarom onder de Dataverordening een verzoek om toegang tot gegevens opmaken om hun taken uit te kunnen voeren. Overigens specificeert de Memorie dat de Autoriteit Persoonsgegevens de bevoegde toezichthouder is, omdat zij tevens de AVG-toezichthouder is. Daardoor heeft zij de juiste deskundigheid om klachten te beoordelen over verzoeken om toegang tot (persoons)gegevens onder hoofdstuk 5 van de Dataverordening.
Werkt u bij een decentrale overheid en heeft u voorbeelden van mogelijke toepassingen van de Dataverordening in de decentrale praktijk? Wij ontvangen uw voorbeelden graag op helpdesk@europadecentraal.nl.
Meer informatie
Kenniscentrum Europa Decentraal, Tijdlijn Digitalisering
Kenniscentrum Europa Decentraal, Dataverordening
Overheid.nl, Memorie van Toelichting bij de Uitvoeringswet Dataverordening, Kamerstuk 36 733, nr. 3
