×

Digitale Overheid

Europees recht en beleid

Laatste update: 19 augustus 2025

Contact:

De Dataverordening (DA/Verordening 2023/2854) beoogt om op een verantwoorde wijze de toegang te vergemakkelijken en te reguleren tot data die gebonden zijn aan producten, ook wel verbonden producten genoemd, en gerelateerde diensten. Voor decentrale overheden stelt de DA specifieke regels vast over hun toegang tot gegevens van particuliere gebruikers in gevallen van uitzonderlijke noodzaak, zoals bij noodsituaties. Die regels uit hoofdstuk 5 van de DA bespreken we hieronder.

Wat staat er in de Dataverordening?

De Dataverordening bepaalt onder welke voorwaarden een particulier, bedrijf of (decentrale) overheid toegang krijgt tot gegevens die verbonden zijn aan producten of gerelateerde diensten. Verbonden producten zijn producten die gegevens over hun prestaties, gebruik of omgeving verzamelen, zoals bij smartphones en smartwatches. Gerelateerde diensten zijn diensten die noodzakelijk zijn voor een product om zijn functie uit te voeren, zoals software die een smartphone nodig heeft om te functioneren.

Om te waarborgen dat de regels omtrent het delen van data in de hele Europese Unie uniform zijn, hebben de wetgevende Instellingen van de EU gekozen voor een verordening. Dit betekent dat alle lidstaten de Dataverordening op dezelfde manier toepassen in hun eigen rechtsorde.

De Verordening stelt een kader voor de volgende situaties:

  • Hoofdstuk 2: Het delen en beschikbaar stellen van gegeven van producten of gerelateerde diensten tussen bedrijven en consumenten, en tussen bedrijven onderling
  • Hoofdstuk 3: Verplichtingen voor gegevenshouders die verplicht zijn om gegevens beschikbaar te stellen volgens Europese Unierecht
  • Hoofdstuk 4: Oneerlijke bedingen, zoals contractvoorwaarden, met betrekking tot de toegang en het gebruik van data tussen ondernemingen
  • Hoofdstuk 5: Het beschikbaar stellen van gegevens door gegevenshouders aan overheidsinstanties, de Europese Commissie, de Europese Centrale Bank en de organen van de Unie als er sprake is van een uitzonderlijke noodzaak. Deze gegevens zijn daarbij voor de uitvoering van een specifieke taak van algemeen belang
  • Hoofdstuk 6: Het vergemakkelijken van het overstappen tussen dataverwerkingsdiensten, zoals softwarediensten
  • Hoofdstuk 7: Het beveiligen van niet-persoonsgebonden gegevens tegen toegang door onbevoegden
  • Hoofdstuk 8: Interoperabiliteitsnormen voor dataruimten, dataverwerkingsdiensten en slimme contracten.

Toegang tot data voor overheidsinstanties

Hoofdstuk 5 van de Dataverordening (DA) geeft regels die onder andere van toepassing zijn op overheidsinstanties, waaronder decentrale overheden. Dit hoofdstuk regelt onder welke voorwaarden zij toegang kunnen krijgen tot gegevens van bedrijven of particulieren wanneer er sprake is van een uitzonderlijke noodzaak. Een uitzonderlijke noodzaak doet zich voor in een van de twee volgende situaties:

Algemene noodsituaties

Een algemene noodsituatie, zoals gedefinieerd in artikel 2 aanhef en onder 29 van de DA, is een onvoorzienbare en in tijd beperkte situatie op het gebied van volksgezondheid, een natuurramp of een grote ramp veroorzaakt door de mens, zoals een cyberaanval. Een algemene noodsituatie heeft negatieve gevolgen voor de bevolking van de EU of (een deel) van een lidstaat, met risico op ernstige en blijvende gevolgen voor de levensomstandigheden, economische stabiliteit, de financiële stabiliteit of een ernstige verslechtering van de economie. Daarbij moet de centrale overheid volgens EU recht of nationaal recht geldende procedures vaststellen dat sprake is van een noodsituatie, bijvoorbeeld via officiële aankondigingen.

Overheidsinstanties mogen een verzoek tot informatie alleen indienen wanneer deze gegevens noodzakelijk zijn om te kunnen reageren op een noodsituatie en deze niet tijdig of op een andere doeltreffende manier kunnen verkrijgen, zoals bepaald in artikel 15, lid 1, onder a DA. Een dergelijk verzoek moet worden beschouwd als laatste redmiddel: overheidsinstanties moeten eerst andere beschikbare middelen hebben benut om de benodigde gegevens te verkrijgen. In beginsel mogen overheidsinstanties alleen een verzoek doen tot niet persoonsgebonden gegevens. Als het niet genoeg is om hun taak te vervullen, kunnen overheidsinstanties toegang krijgen tot persoonsgegevens, volgens artikel 17 lid 2, onder e. Bij een dergelijk verzoek dienen overheidsinstanties dit te melden bij toezichthoudende autoriteiten om ervoor te zorgen dat er wordt voldaan aan de verplichtingen onder de AVG.

Taak van algemeen belang

Een uitzonderlijke noodzaak, zoals vastgelegd in artikel 15 lid 1, onder b kan ook bestaan als gegevens noodzakelijk zijn voor de uitvoering van een taak van algemeen belang die is vastgelegd door de wet. Voorbeelden hiervan zijn het opstellen van officiële statistieken of bij herstel na een algemene noodsituatie. Overheidsinstanties zijn hierbij ook verplicht alle andere middelen te hebben uitgeput waarover zijn beschikken, zoals het kopen van deze gegevens op de markt. Ook mogen ze alleen een verzoek tot niet-persoonsgebonden gegevens indienen bij bedrijven of particulieren, zoals bepaald in artikel 15, lid b, onder b.

Verzoek om gegevens beschikbaar te stellen

Artikel 17 van de DA stelt een reeks verplichtingen in bij verzoeken tot toegang tot informatie bij uitzonderlijke noodzaak. Deze verplichtingen kunnen worden hieronder stapsgewijs toegelicht:

1. Specificaties van het verzoek

Maak duidelijk in het verzoek welke gegevens nodig zijn, inclusief relevante metadata

2. uitzonderlijke noodzaak aantonen

Leg uit waarom er sprake is van een uitzonderlijke noodzaak (een noodsituatie of een taak van algemeen belang)

3. doel van het verzoek

  • Leg duidelijk uit wat het doel van het verzoek is
  • Maak helder voor welk gebruik de gegevens bedoeld zijn
  • Geef aan of een derde partij betrokken is bij het verzoek en vermeld welke deze zijn.
  • Is er een derde partij betrokken bij het verzoek? Zo ja, welke?

4. gegevensbeheer

Geef aan wanneer de gegevens naar verwachting gewist worden door alle betrokken partijen

5. verantwoording keuze

Onderbouw goed waarom het bedrijf of particulier een verzoek tot toegang van informatie

6. gegevensdeling

Vermeld in het verzoek met welke andere partijen, zoals ander overheidsinstanties de gegevens gedeeld worden

7. persoonsgegevens (indien van toepassing)

Maak duidelijk welke organisatorische en technische maatregelen, zoals pseudononimisering, nodig zijn om gegevensbeschermingsbeginselen te waarborgen.

8. Wettelijke basis

Vermeld de wettelijke basis waarin de taak van algemeen belang wordt toegewezen

9. Termijnen

  • Maak duidelijk binnen welke termijn de gegevens beschikbaar moeten zijn
  • Vermeld ook de termijn waarin een bedrijf of termijn het verzoek kan afwijzen of een wijziging van het verzoek kan aanvragen.
  • Dit is alleen mogelijk wanneer er al een soortgelijk verzoek is ingediend door een andere overheidsinstantie, wanneer het bedrijf of particulier geen controle heeft over de gevraagde gegevens of het verzoek niet voldoet aan de voorwaarden onder de DA.

10. Aansprakelijkheid

Zorg ervoor dat het verzoek geen juridische risico’s oplevert voor het bedrijf of particulier, zoals het schenden van privacy of andere wettelijke verplichtingen.

Grensoverschrijdende verzoeken

Noodsituaties zijn vaak grensoverschrijdend. Overheidsinstanties kunnen volgens artikel 22 van de DA ook een verzoek doen tot gegevens in bezit van een bedrijf of particulier die gevestigd is in een andere lidstaat. Dit verzoek kan plaatsvinden via de bevoegde autoriteiten in de desbetreffende lidstaat.

Verplichtingen bij toegang tot informatie

Wanneer een overheidsinstantie, waaronder decentrale overheid, toegang tot informatie ontvangt geldt een aantal strenge veiligheids- en vertrouwelijksheidsverplichtingen volgens artikel 19 lid 1. Zij dienen persoonsgegevensbescherming te garanderen en bedrijfsgeheimen te beschermen. Ten eerste mogen de gegevens niet gebruikt worden voor een ander doel dan waarvoor de gegevens zijn gevraagd. Ten tweede dienen overheidsinstanties maatregelen te nemen om de vertrouwelijkheid en integriteit van de gegevens te waarborgen. Voorbeelden van deze maatregelen zijn encryptie of versleuteling van gegevens die ze onleesbaar maakt. Bij persoonsgegevens dienen overheidsinstanties te zorgen voor pseudonimisering, zodat de gegevens niet direct naar een persoon herleidbaar zijn. Ten derde moeten overheidsinstanties de gegevens wissen zodra zij niet langer nodig zijn voor het aangegeven doel.

Overheidsinstanties, waaronder de ministeries mogen volgens artikel 21 DA in de context van een uitzonderlijke noodzaak gegevens delen met wetenschappelijke organisaties die verenigbaar zijn het doel waarvoor de gegevens werden gevraagd.

Vergoedingen voor verzoeken

Met betrekking tot de kosten bij een verzoek tot gegevens maakt de DA een onderscheid tussen verzoeken bij algemene noodsituaties en verzoeken voor het uitvoeren van een taak van algemeen belang. Bij een algemene noodsituatie bepaalt artikel 20 lid 1 dat alle gegevenshouders de verzochte informatie kosteloos beschikbaar moeten stellen. Alleen micro-en kleine ondernemingen mogen in dat geval om een vergoeding vragen.

Wanneer een overheidsinstantie daarentegen een verzoek doet voor het uitvoeren van een taak van algemeen belang mogen gegevenshouders wel om een vergoeding vragen. Deze vergoeding dient ter compensatie van de kosten gemaakt om te voldoen aan het verzoek, zoals de kosten van anonimisering, volgens artikel 20 lid 2 DA

Samenhang met andere wetgeving

De DA vormt één van de pijlers van de Europese Datastrategie, naast onder andere de Datagovernanceverordening. Terwijl de DGA zicht richt op het bevorderen van veilig en betrouwbaar hergebruikt ban data, regelt de DA wie toegang heeft tot data van verbonden producten en gerelateerde diensten. Samen, dragen beide verordeningen mee aan het doel van de datastrategie: het bevorderen ban een eengemaakte markt voor gegevens, waarin data vrij kunnen circuleren binnen de EU. Daarbij blijven de verplichtingen en beschermingen van persoonsgegevens gelden onder de Algemene Verordening Gegevensbescherming (Verordening 2016/679). 

Wat betekent de Dataverordening voor mijn waterschap, provincie en gemeente?  

De Data verordening heeft betrekking tot decentrale overheden in de volgende drie situaties.

Toepassing in een algemene noodsituatie

Artikel 2 aanhef en onder 29 van de DA vereist voor een algemene noodsituatie een officiële afkondiging volgens Europees of nationale procedures. Volgens de Memorie van toelichting (MVT) bij de Uitvoeringswet Dataverordening is in Nederland de verhouding met het Nederlandse (staats)nood recht van belang, wanneer sprake is van een algemene noodsituatie onder artikel 15, lid 1 onder a van de DA. De belangrijkste Nederlandse wetten in dit kader zijn de Grondwet (artikel 103), de Coördinatiewet uitzonderingstoestanden en/of de inwerkstelling van bevoegdheden uit verschillende sectorale (nood)wetten. Artikel 103 van de grondwet en de Coördinatiewet uitzonderingstoestanden regelen dat uitzonderingstoestanden, zoals een beperkte noodtoestand of algemene noodtoestand kunnen worden afgekondigd bij koninklijk besluit waardoor speciale bevoegdheden uit staatsnoodwetten kunnen worden ingesteld. Zowel beperkte noodtoestanden als algemene noodtoestanden vallen binnen de definitie van een algemene noodsituatie onder de Dataverordening. Decentrale overheden kunnen na een formele vaststelling van een noodsituatie toegang krijgen tot gegevens van bedrijven of particulieren.

Naast het klassieke staatsnoodrecht kent Nederland diverse wettelijke kaders die decentrale overheden kunnen inzetten om rampen en crises te bestrijden. Voor gemeenten betreft dit bijvoorbeeld de openbare orde-bevoegdheden van de burgemeester uit de Gemeentewet. Andere relevante voorbeelden zijn specifieke crisisbepalingen uit de Wet veiligheidsregio’s en de Omgevingswet voor het waterschapsbestuur. Voor het toepassen van deze bepalingen is er geen officiële vaststelling of aankondiging van een noodsituatie vereist. Volgens de MVT vallen dergelijke bepalingen dan ook buiten de reikwijdte van artikel 15, lid 1 onder a. Dit betekent dat decentrale overheden pas na een formele vaststelling van een noodsituatie volgens de Grondwet en Coördinatiewet uitzonderingstoestanden toegang tot gegevens van bedrijven of particulieren kunnen krijgen.

Toepassing in een taak van algemeen belang

Als er sprake is van een taak van algemeen belang kunnen decentrale overheden beroep doen op artikel 15, lid 1, onder b, wanneer dit noodzakelijk is voor de vervulling van die specifieke taak. Volgens overweging 65 van de preambule en artikel 15, lid 1 onder b hoeft er geen algemene noodsituatie te zijn en is geen officiële aankondiging daarvan vereist. De noodverordenende bevoegdheden van de burgemeester onder artikel 172 e.v. van de Gemeentewet kunnen hieronder vallen.

Bijvoorbeeld: wanneer een burgemeester diens nationale bevoegdheden wil inzetten voor een hersteloperatie na een algemene noodsituatie en waar die concludeert dat die daarvoor niet beschikt over de noodzakelijke informatie, kan die beroep doen op artikel 15, lid 1, onderdeel b. Dit is echter alleen mogelijk wanneer de betreffende informatie niet op een andere, gelijkwaardige manier te verkrijgen was, zoals door deze op de markt aan te schaffen. De burgemeester moet daarbij aantonen dat een dergelijk alternatief niet beschikbaar was.

Clouddiensten

Door toenemende digitalisering van diensten maken decentrale overheden ook steeds meer gebruik van clouddiensten. Omdat de Dataverordening de gebruiksvoorwaarden verbetert, wordt het gemakkelijker om gegevens en toepassingen over te brengen van de ene aanbieder naar de andere. Vanaf januari 2027 wordt het ook kosteloos om over te stappen naar een andere clouddienst aanbieder, volgens artikel 27 DA. Bovendien versterkt de Dataverordening het vertrouwen door het invoeren van verplichte waarborgen op cloudinfrastructuren.

Voor meer informatie over de impact van de DA op gemeenten kunt u ook de VNG uitvoeringsanalyse Digital Decade Dataregelgeving raadplegen.