Sluiten

Zoeken

BLOG

Een eerste stap naar een interne Europese datamarkt: de Data Governance Act van de Europese Commissie

12.02.2021

De Europese Commissie presenteerde in november vorig jaar de Data Governance Act, een beleidsvoorstel dat voorstelt om Europese dataruimtes te creëren en het delen van data tussen landen en sectoren binnen de EU makkelijker moet maken. Het Kenniscentrum Data & Maatschappij verzamelde feedback op het voorstel. Hieronder lees je wat de Data Governance Act inhoudt en welke commentaar het Kenniscentrum formuleerde op het voorstel.

Wat is de Data Governance Act?

De Data Governance Act (DGA) is het eerste wetgevingsvoorstel van de Europese Commissie binnen het kader van de Europese datastrategie. Deze strategie heeft tot doel een interne Europese markt te creëren waarbinnen data eenvoudig uitgewisseld wordt tussen landen en economische sectoren. Dit moet de Europese bedrijven, onderzoeksinstellingen en overheidsdiensten ten goede komen.

De strategie is ook erg belangrijk voor Vlaanderen. De Vlaamse regering verkondigde bij zijn aanstelling in 2019 dat innovatie en digitale transformatie een speerpunt zou worden van het beleid: “Vlaanderen moet smaakmaker en voortrekker worden op het vlak van toepassingen in de nieuwe data-economie en artificiële intelligentie.” In haar regeerverklaring geeft de Vlaamse regering ook verschillende concrete aanzetten om een data-economie op te zetten.

De Vlaamse overheid heeft daarbij niet als doelstelling om zelf over een massa data te beschikken, maar wel om actoren zoals bedrijven te helpen om data te benutten. De overheid zal daarbij steeds meer optreden als facilitator en moderator van datastromen. De DGA moet een kader creëren op Europese schaal dat deze ambities helpt waar te maken.

Doel

Het is de bedoeling de uitwisseling van data in belangrijke overheidssectoren, waaronder gezondheids-, mobiliteits- en milieugegevens, te vergemakkelijken ten behoeve van het onderzoek en het algemeen belang. Data die nu verborgen zit, kan hierdoor ontsloten worden.

De achterliggende motivatie van de Europese Commissie is het feit dat momenteel veel data in Europa weggesluisd wordt naar multinationals die vaak buiten het continent gevestigd zijn. De Commissie wil nu een vuist maken en binnen Europa een open datamarkt creëren waarbij alle soorten data vrij verhandeld kunnen worden tussen verschillende actoren. Bekijk hier de factsheet die de Europese Commissie maakte over de Data Governance Act.

De Data Governance Act bevat vier grote onderdelen:

  • Voorwaarden voor het hergebruik van bepaalde categorieën beschermde gegevens die in het bezit zijn van de publieke sector

  • Een kader voor de oprichting van en het toezicht op onafhankelijke datadienstverleners

  • Een kader voor de registratie van en het toezicht op organisaties die data verzamelen en verwerken voor altruïstische doeleinden (zonder winstoogmerk)

  • De oprichting van een Europese raad voor data-innovatie.

Voorwaarden om data van de publieke sector te hergebruiken

Hoewel de Data Governance Act een ruime definitie van data hanteert, zijn de bepalingen inzake hergebruik alleen van toepassing wanneer de data in het bezit zijn van de publieke sector en beschermd worden op grond van:

  • Commerciële of statistische vertrouwelijkheid
  • Bescherming van intellectuele eigendomsrechten van derden
  • Bescherming van persoonsgegevens

Data in het bezit van overheidsbedrijven, publieke omroepen, culturele en onderwijsinstellingen, die beschermd zijn om redenen van nationale veiligheid, defensie of openbare veiligheid, of die buiten de werkingssfeer van de publieke taak van de overheidsorganen vallen, vallen buiten de bepalingen inzake hergebruik.

Er gelden nog aanvullende regels voor het hergebruik van gegevens die beschermd zijn door vertrouwelijkheid of door intellectuele eigendomsrechten, en voor niet-persoonsgebonden gegevens die door de EU-wetgeving in verband met verdere grensoverschrijdende doorgifte als "zeer gevoelig" worden aangemerkt. Uiteraard bevat de GDPR ook beschermingsmaatregelen met betrekking tot persoonsgegevens.

De DGA geeft de lidstaten ook nog wat huiswerk mee: de lidstaten moeten een bevoegde autoriteit aanwijzen om de overheidsinstanties die hergebruik van hun gegevens toestaan, te ondersteunen. Dit kan bijvoorbeeld door hen te helpen met beveiligings- en verwerkingstechnieken om de privacy van de gegevens te beschermen of door hen te helpen waar nodig toestemming te krijgen. Daarnaast moet er ook een informatiepunt opgericht worden.

Data sharing dienstverleners

De DGA beoogt een systeem waarbij betrouwbare (en gereguleerde) dienstverleners voor gegevensuitwisseling kunnen optreden als:

  • Bemiddelingsdiensten tussen houders van data en potentiële gebruikers van data.
  • Bemiddelingsdiensten tussen betrokkenen die hun persoonsgegevens ter beschikking willen stellen, en potentiële datagebruikers.
  • Gegevenscoöperaties die particulieren en kleine en middelgrote ondernemingen helpen te onderhandelen over de voorwaarden voor dataverwerking.

Aanbieders van diensten op het gebied van gegevensuitwisseling moeten aan een aantal eisen voldoen, waaronder kennisgeving aan hun bevoegde toezichthoudende autoriteit, die in de lidstaat van hun hoofdvestiging gevestigd zal zijn. Aanbieders die niet in de EU gevestigd zijn, moeten een vertegenwoordiger aanwijzen in een van de lidstaten waar zij diensten aanbieden.

Vlaanderen is een voorloper op dit vlak, want recent werd er door de Vlaamse regering al de oprichting van een datanutsbedrijf aangekondigd.Vlaams minister-president Jan Jambon kondigde eerder dit jaar al aan dat dit bedrijf 100% privé zal worden uitgebaat. Het nutsbedrijf moet bedrijven en overheden helpen met het beschikbaar stellen van databronnen en tegelijkertijd de veiligheid en privacy waarborgen. In eerste instantie lopen er denkpistes rond projecten voor mobiliteit, vastgoed en smart cities.

Data altruisme

De DGA introduceert ook het concept van data-altruïsme, waarbij personen of bedrijven hun data vrijwillig beschikbaar stellen voor hergebruik in het algemeen belang, bijvoorbeeld voor wetenschappelijk onderzoek of ten behoeve van openbare diensten.

Er wordt een registratie- en toezichtregeling opgezet voor organisaties die data-altruïsme faciliteren. De organisaties mogen geen winstoogmerk hebben, moeten onafhankelijk van enige andere activiteit opereren en moeten ook voldoen aan transparantievoorwaarden.

Wanneer persoonsgegevens worden verstrekt, moeten de organisaties voor data-altruïsme zorgen voor een toestemmingsmechanisme dat in overeenstemming is met de GDPR. Zij hebben ook de plicht om de rechten van de betrokkenen en de belangen van de rechtspersonen die gegevens verstrekken, te beschermen.

Vlaanderen is momenteel de proeftuin voor het Solid-project. Solid is een concept waarvan Tim Berners-Lee de grondlegger is. Het centrale idee achter Solid is om burgers en bedrijven een digitale datakluis te geven. In die kluis wordt steeds de meest recente data van een burger of een bedrijf opgeslagen. Het nieuwe systeem voor de burgers heeft de naam Mijn Burgerprofiel gekregen.

VITO, het Vlaams Instituut voor Technologisch Onderzoek, werkt momenteel aan We Are, een interregionaal platform voor persoonlijke data dat beheerd wordt door een representatieve burgerorganisatie. Dit platform focust voornamelijk op gezondheidsdata en door de burger gegenereerde data (bv. Data van een medische wearable).

Bij beide platformen kan de burger zelf beslissen wie welke data kan gebruiken. Deze datakluizen kunnen zo een belangrijk element worden voor het data-altruïsme-verhaal.

Data Innovation Board

De DGA stelt tot slot de voorwaarden vast voor de oprichting van een nieuwe Europese Raad voor data-innovatie, een deskundigengroep met vertegenwoordigers van alle bevoegde autoriteiten van de lidstaten, de European Data Protection Board, de Europese Commissie en vertegenwoordigers van bevoegde autoriteiten in specifieke sectoren.

De raad zal een grotendeels adviserende rol hebben, helpen bij het opzetten van consistente praktijken en procedures, en de Commissie adviseren op een aantal gebieden, met name grensoverschrijdende gegevensuitwisseling en sectoroverschrijdende normen en standaarden.

Verdere stappen

Deze DGA is slechts een eerste onderdeel van de datastrategie van de EU, die sterk gericht is op het opzetten van gemeenschappelijke Europese dataruimten en een betrouwbare Europese cloudinfrastructuur. Organisaties en individuen konden tot 8 februari feedback geven op de tekst van de Data Governance Act. De Europese Commissie gaat deze feedback nu analyseren. Vervolgens zal het voorstel gestemd worden in het Europese parlement.

Het Kenniscentrum Data & Maatschappij organiseerde ook een consultatie onder Vlaamse stakeholders en diende feedback in. Hieronder vindt u de vijf voornaamste adviezen.

Feedback kenniscentrum Data & Maatschappij

  1. De definitie van data-altruïsme kan zeer ruim worden geïnterpreteerd. Meer specifiek kan data-altruïsme het algemeen belang dienen. Algemeen belang kan bijvoorbeeld worden geïnterpreteerd als gegevens die voor bewakingsdoeleinden kunnen worden gebruikt. Het doel van data-altruïsme moet specifieker worden gedefinieerd om sociaal of moreel ongewenste "function creep" te voorkomen.
  2. In het document wordt voorgesteld dat de publieke sector voorwaarden oplegt die de integriteit van de werking van de technische systemen van de gebruikte veilige verwerkingsomgeving waarborgen. Hoewel dit een goed voorstel is, geeft het de partij die de gegevens deelt een enorme verantwoordelijkheid met betrekking tot de verantwoordingsplicht inzake het hergebruik van gegevens. Dit is niet erg realistisch in de dagelijkse praktijk, aangezien de meeste overheidsinstanties moeite hebben met de digitale geletterdheid en de infrastructuur om deze verantwoordelijkheid op zich te nemen. Helaas geeft dit geen realistisch beeld van het huidige functioneren van openbare lichamen.
  3. De dienstverleners voor data-uitwisseling kunnen een belangrijke rol spelen bij het scheppen van meer vertrouwen om data uit te wisselen en daardoor meer data te laten circuleren. De dienstverleners zullen voor een moeilijke evenwichtsoefening komen te staan. Zullen zij eerder helpen om een datamarkt te faciliteren, of eerder bepaalde bedrijfsmodellen belemmeren en ontmoedigen. Uit de tekst wordt niet duidelijk hoe de Commissie deze uitdaging denkt aan te gaan.
  4. Het idee om data-altruïsme aan te moedigen is goed, maar het principe op papier zetten is niet genoeg. Er zullen ook stimulansen nodig zijn om actie te ondernemen. In die context is data-altruïsme bovendien geen prioriteit voor de verwerkingsverantwoordelijken, die zich verantwoordelijk kunnen voelen voor hun betrokkenen. Het beginsel is ook contra-intuïtief in het huidige GDPR-paradigma. Bovendien roept het concept van data-altruïsme ook vragen op in het geval van data-activisme. Hoe zal dit worden gereguleerd als het delen van gegevens nadelig is voor de houder van de data?
  5. De Data Innovation Board is een zeer interessant concept. Een dergelijk platform kan een belangrijke rol spelen. Daarom moet de tekst duidelijker zijn over de samenstelling van de raad. Bijzondere aandacht moet worden besteed aan een evenwichtige en voldoende diverse samenstelling. Zo moeten bijvoorbeeld ook vertegenwoordigers van KMO’s en ondernemers een plaats aan de tafel krijgen. De genoemde entiteiten bevinden zich momenteel alleen aan de regelgevende kant van het spectrum.

Lees de volledige feedback in onderstaand document.

Feedback Data Governance Act

Frederic Heymans