Skip to main content
Shaping Europe’s digital future

Wet inzake datagovernance uitgelegd

De Data Governance Act biedt een kader om het vertrouwen in vrijwillige gegevensuitwisseling ten behoeve van bedrijven en burgers te vergroten.

© image by peshkov - Getty Images/iStock

Het economische en maatschappelijke potentieel van data is enorm: het kan nieuwe producten en diensten mogelijk maken op basis van nieuwe technologieën, de productie efficiënter maken en instrumenten bieden om maatschappelijke uitdagingen aan te pakken. Op het gebied van gezondheid kunnen gegevens bijvoorbeeld bijdragen aan het bieden van betere gezondheidszorg, het verbeteren van gepersonaliseerde behandelingen en het helpen genezen van zeldzame of chronische ziekten. Het is ook een krachtige motor voor innovatie en nieuwe banen, en een cruciale hulpbron voor start-ups en kmo’s.

Dit potentieel wordt echter niet gerealiseerd. Het delen van gegevens in de EU blijft beperkt als gevolg van een aantal obstakels (waaronder een laag vertrouwen in het delen van gegevens, kwesties in verband met het hergebruik van overheidsgegevens en gegevensverzameling voor het algemeen belang, alsook technische belemmeringen).

Om echt te profiteren van dit enorme potentieel, moet het gemakkelijker zijn om gegevens op een betrouwbare en veilige manier te delen.

De Data Governance Act (DGA) is een sectoroverschrijdend instrument dat tot doel heeft het hergebruik van openbare/bewaarde, beschermde gegevens te reguleren, door het delen van gegevens te stimuleren door middel van de regulering van nieuwe gegevensbemiddelaars en door het delen van gegevens voor altruïstische doeleinden aan te moedigen. Zowel persoonsgegevens als niet-persoonsgebonden gegevens vallen onder de DGA en wat persoonsgegevens betreft, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Naast de AVG zullen ingebouwde waarborgen het vertrouwen in het delen en hergebruik van gegevens vergroten, een voorwaarde voor het beschikbaar stellen van meer gegevens op de markt.

Hergebruik van bepaalde categorieën gegevens waarover openbare lichamen beschikken

Wat zijn de belangrijkste doelen?

De richtlijn inzake open gegevens regelt het hergebruik van openbaar/beschikbare informatie die in het bezit is van de overheidssector. De overheidssector beschikt echter ook over grote hoeveelheden beschermde gegevens (bv. persoonsgegevens en commercieel vertrouwelijke gegevens) die niet als open gegevens kunnen worden hergebruikt, maar die volgens specifieke EU- of nationale wetgeving opnieuw kunnen worden gebruikt. Uit dergelijke gegevens kan een schat aan kennis worden gehaald zonder afbreuk te doen aan de beschermde aard ervan, en de DGA voorziet in regels en waarborgen om dit hergebruik te vergemakkelijken wanneer dat mogelijk is op grond van andere wetgeving.  

Hoe werkt het in de praktijk?

  • Technische voorschriften voor de overheidssector: De lidstaten moeten technisch worden toegerust om ervoor te zorgen dat de privacy en vertrouwelijkheid van gegevens in situaties van hergebruik volledig worden geëerbiedigd. Dit kan een reeks instrumenten omvatten, van technische oplossingen, zoals anonimisering, pseudonimisering of toegang tot gegevens in beveiligde verwerkingsomgevingen (bv. datarooms) onder toezicht van de overheidssector, tot contractuele middelen zoals vertrouwelijkheidsovereenkomsten tussen het overheidsorgaan en de hergebruiker.
  • Steun van het overheidsorgaan: Als een overheidsorgaan geen toegang kan verlenen tot bepaalde gegevens voor hergebruik, moet het de potentiële hergebruiker helpen om toestemming van de betrokkene voor het hergebruik van zijn persoonsgegevens te vragen of de toestemming van de gegevenshouder wiens rechten of belangen door het hergebruik kunnen worden aangetast. Bovendien kan vertrouwelijke informatie (bijvoorbeeld bedrijfsgeheimen) alleen met dergelijke toestemming of toestemming voor hergebruik worden bekendgemaakt.
  • Om nog meer openbaar gehouden gegevens beschikbaar te hebben voor hergebruik, beperkt de DGA het vertrouwen op exclusieve overeenkomsten inzake hergebruik van gegevens (waardoor een overheidsinstantie een dergelijk exclusief recht aan één onderneming verleent) tot specifieke gevallen van algemeen belang.
  • Redelijke vergoedingen: openbare lichamen kunnen vergoedingen in rekening brengen voor het toestaan van het hergebruik, zolang die vergoedingen niet hoger zijn dan de noodzakelijke kosten. Daarnaast moeten overheidsinstanties het hergebruik voor wetenschappelijk onderzoek en andere niet-commerciële doeleinden, alsook door kmo’s en start-ups, stimuleren door de heffingen te verlagen of zelfs uit te sluiten.
  • Een overheidsinstantie heeft maximaal twee maanden de tijd om een besluit te nemen over een verzoek om hergebruik.
  • De lidstaten kunnen kiezen welke bevoegde instanties de openbare lichamen die toegang tot het hergebruik verlenen, zullen ondersteunen, bijvoorbeeld door deze te voorzien van een veilige verwerkingsomgeving en hen te adviseren over de beste structuur en opslag van gegevens om deze gemakkelijk toegankelijk te maken.
  • Om potentiële hergebruikers te helpen relevante informatie te vinden over de gegevens waarover overheidsinstanties beschikken, moeten de lidstaten één informatiepunt opzetten. De Commissie heeft het Europees register voor beschermde gegevens van de publieke sector (ERPD)opgericht, een doorzoekbaar register van de door de nationale centrale informatiepunten opgestelde informatie om het hergebruik van gegevens op de interne markt en daarbuiten verder te vergemakkelijken.

Voorbeelden

  • De Finse autoriteit voor de vergunning voor sociale en gezondheidsgegevens, Findata, verwerkt verzoeken en verleent toegang tot gegevens voor hergebruik. Voorbeelden van de gegevensbronnen van Findata zijn de sociale verzekeringsinstelling, het pensioenregister en het bevolkingsregister.
  • Het Franse bedrijf DAMAE Medical verbetert zijn LC-OCT-technologie (Line-field Confocal Optical Coherence Tomography) die toegang geeft tot cellulaire resolutiebeeldvorming van binnenmicrostructuren van de huid tot aan de dermis, onmiddellijk en niet-invasief met nieuwe trainingsgegevens die beschikbaar worden gesteld via de Franse Health Data Hub. Het doel van het project is om het vermogen van deze technologie te verbeteren om potentiële tekenen van huidkanker beter te identificeren en het chirurgische interventiegebied beter af te bakenen.

Diensten voor gegevensbemiddeling

Wat zijn de belangrijkste doelen?

Veel bedrijven vrezen momenteel dat het delen van hun gegevens een verlies van concurrentievoordeel zou betekenen en een risico op misbruik inhouden. De DGA stelt een reeks regels vast voor aanbieders van databemiddelingsdiensten (zogenaamde gegevensbemiddelaars, zoals datamarktplaatsen) om ervoor te zorgen dat zij zullen fungeren als betrouwbare organisatoren van het delen of bundelen van gegevens binnen de gemeenschappelijke Europese dataruimten. Om het vertrouwen in het delen van gegevens te vergroten, stelt deze nieuwe aanpak een model voor dat gebaseerd is op de neutraliteit en transparantie van gegevenstussenpersonen en waarbij personen en bedrijven de controle over hun gegevens krijgen.

Hoe werkt het in de praktijk?

Het raamwerk biedt een alternatief model voor de dataverwerkingspraktijken van de Big Tech-platforms, die een hoge mate van marktmacht hebben omdat ze grote hoeveelheden data beheersen.

In de praktijk fungeren databemiddelaars als neutrale derden die personen en bedrijven verbinden met datagebruikers. Hoewel zij kosten in rekening kunnen brengen voor het vergemakkelijken van het delen van gegevens tussen de partijen, kunnen zijde gegevens die zij intermediairen niet rechtstreeks gebruiken voor financiële winst (bijvoorbeeld door ze aan een ander bedrijf te verkopen of deze te gebruiken om hun eigen product op basis van deze gegevens te ontwikkelen). Gegevensbemiddelaars moeten voldoen aan strenge eisen om deze neutraliteit te waarborgen en belangenconflicten te voorkomen. In de praktijk betekent dit dat er een structurele scheiding moet zijn tussen de databemiddelingsdienst en alle andere verleende diensten (d.w.z. ze moeten wettelijk gescheiden zijn). Ook mogen de commerciële voorwaarden (met inbegrip van prijzen) voor de verlening van bemiddelingsdiensten niet afhangen van de vraag of een potentiële gegevenshouder of gegevensgebruiker andere diensten gebruikt. Alle verzamelde gegevens en metagegevens kunnen alleen worden gebruikt om de databemiddelingsdienst te verbeteren.

Zowel zelfstandige organisaties die alleen databemiddelingsdiensten aanbieden als bedrijven die naast andere diensten databemiddelingsdiensten aanbieden, kunnen fungeren als betrouwbare tussenpersonen. In het laatste geval moet de gegevensbemiddelingsactiviteit juridisch en economisch strikt worden gescheiden van andere datadiensten.

In het kader van de DGA moeten gegevensbemiddelaars de bevoegde autoriteit in kennis stellen van hun voornemen om dergelijke diensten te verlenen. De bevoegde autoriteit zorgt ervoor dat de kennisgevingsprocedure niet-discriminerend is en de mededinging niet verstoort en bevestigt dat de aanbieder van gegevensbemiddelingsdiensten de kennisgeving met alle vereiste informatie heeft ingediend.

Na ontvangst van een dergelijke bevestiging kan de gegevensbemiddelaar legaal beginnen met de exploitatie en het etiket „aanbieder van gegevensbemiddelingsdiensten die in de Unie wordt erkend” in zijn schriftelijke en gesproken communicatie, alsmede het gemeenschappelijk logo gebruiken. Deze autoriteiten zullen ook toezien op de naleving van de vereisten inzake gegevensbemiddeling en de Commissie zal een centraal register van erkende gegevensbemiddelaars bijhouden.

Voorbeelden

Deutsche Telekom biedt met haar Data Intelligence Hub een datamarktplaats aan waarin bedrijven informatie van goede kwaliteit, bijvoorbeeld productiegegevens, veilig kunnen beheren, leveren en genereren om processen of hele waardeketens te optimaliseren. Telekom neemt de rol van neutrale trustee op zich en garandeert datasoevereiniteit door gedecentraliseerd datamanagement. Momenteel zijn meer dan 1.000 gebruikers van meer dan 100 verschillende bedrijven actief op het platform.

Dawex is een Frans bedrijf dat zichzelf omschrijft als een „global data marketplace”.  Dawex koopt of verkoopt geen gegevens, maar brengt bedrijven samen die geïnteresseerd zijn in het genereren en hergebruiken van gegevens, en bevordert transparantie tussen dataleveranciers en gebruikers door ervoor te zorgen dat ze de transactie rechtstreeks op haar platform communiceren en uitvoeren. Dawex ontwikkelde een reeks tools om zowel dataleveranciers als gebruikers te helpen bij het begrijpen, beoordelen en communiceren over de gegevens. Visualisatietools (bv. heat maps, tree maps) bieden datagebruikers verschillende informatie over een complete dataset die veilig kan worden gedeeld voordat een transactie is voltooid. Bemonsteringstools genereren automatisch representatieve gegevensmonsters op basis van algoritmen om vooroordelen te voorkomen. Datagebruikers en dataleveranciers communiceren met behulp van een messaging tool die is ingebed in het platform. Daarnaast ondersteunt Dawex de onderhandelingen over de contractuele overeenkomst door middel van modelvoorwaarden die automatisch kunnen worden gegenereerd.

API-AGRO is een agrarische data-sharing hub die gebruik maakt van de Dawex technologie. Deze technologie bevordert een landbouwecosysteem waarbij tal van actoren en een neutrale tussenpersoon (het Api-Agro-platform) betrokken zijn, waar een duidelijke scheiding bestaat tussen de rol van bemiddeling en andere activiteiten in verband met het gebruik van de gegevens. API-Agro maakt geen geld uit de gegevens, maar functioneert als een neutrale derde partij die gegevenshouders en gegevensgebruikers met elkaar verbindt.

Data-altruïsme

Wat zijn de belangrijkste doelen?

Data-altruïsme gaat over individuen en bedrijven die hun toestemming of toestemming geven om gegevens beschikbaar te stellen die zij — vrijwillig en zonder beloning — genereren om in het algemeen belang te worden gebruikt. Dergelijke gegevens hebben een enorm potentieel om onderzoek te bevorderen en betere producten en diensten te ontwikkelen, onder meer op het gebied van gezondheid, milieu en mobiliteit.

Onderzoek wijst uit dat hoewel er in principe bereidheid is om deel te nemen aan data-altruïsme, dit in de praktijk wordt belemmerd door een gebrek aan instrumenten voor het delen van gegevens. Het doel van de Data Governance Act is om betrouwbare instrumenten te creëren waarmee gegevens op een eenvoudige manier kunnen worden gedeeld ten behoeve van de samenleving. Het zal de juiste voorwaarden scheppen om individuen en bedrijven ervan te verzekeren dat wanneer zij hun gegevens delen, deze zullen worden behandeld door vertrouwde organisaties op basis van de waarden en beginselen van de EU. Hierdoor kunnen gegevensverzamelingen van voldoende omvang worden gecreëerd om gegevensanalyse en machine learning mogelijk te maken, ook over de grenzen heen.

Hoe werkt het in de praktijk?

Entiteiten die relevante gegevens beschikbaar stellen op basis van data-altruïsme, kunnen zich registreren als „in de Unie erkende gegevensaltruïsme-organisaties”. Deze entiteiten moeten een non-profit karakter hebben en voldoen aan transparantievereisten en specifieke waarborgen bieden om de rechten en belangen van burgers en bedrijven die hun gegevens delen, te beschermen. Bovendien moeten zij voldoen aan het rulebook (uiterlijk 18 maanden na de inwerkingtreding ervan), waarin informatie-eisen, technische en beveiligingseisen, communicatiestappenplannen en aanbevelingen inzake interoperabiliteitsnormen worden vastgelegd. Het rulebook zal door de Commissie worden ontwikkeld, in nauwe samenwerking met organisaties voor data-altruïsme en andere relevante belanghebbenden.

De entiteiten kunnen gebruik maken van het gemeenschappelijke logo dat voor dit doel is ontworpen en kunnen ervoor kiezen om te worden opgenomen in het openbaar register van organisaties voor gegevensaltruïsme. Ter informatie zal door de Commissie een register van erkende gegevensaltruïsmeorganisaties op EU-niveau worden opgezet.  

Een gemeenschappelijk Europees toestemmingsformulier voor gegevensaltruïsme zal het mogelijk maken gegevens in alle lidstaten in een uniform formaat te verzamelen, zodat degenen die hun gegevens delen hun toestemming gemakkelijk kunnen geven en intrekken. Het zal ook rechtszekerheid bieden aan onderzoekers en bedrijven die gegevens op basis van altruïsme willen gebruiken. Dit zal een modulaire vorm zijn, die kan worden afgestemd op de behoeften van specifieke sectoren en doeleinden.

Voorbeelden

MyData Global streeft ernaar „individu’s kracht te geven door hun recht op zelfbeschikking met betrekking tot hun persoonsgegevens te verbeteren.” Hoewel het algemene doel verder reikt dan dataaltruïsme, biedt de organisatie een vertrouwde interface voor leden om toestemming te geven voor het gebruik van hun persoonsgegevens voor specifieke doeleinden.

Het Smart Citizen -platform stelt burgers in staat om gegevens over geluidsniveaus en vervuiling in hun huis te delen die via sensoren worden verzameld. Dit biedt essentiële informatie om lawaai en luchtkwaliteit in kaart te brengen, en voor onderzoekers en overheden om gerichte oplossingen voor deze problemen te ontwikkelen.

De Duitse Corona-Datenspende-App is opgezet om gegevens te verzamelen (bijv. hartslag, lichaamstemperatuur, bloeddruk, slaappatronen) van fitnessarmbanden en smartwatches. Door deze gegevens te monitoren, konden onderzoekers in een vroeg stadium mogelijke COVID-19-hotspots identificeren.

Europese Raad voor gegevensinnovatie

Wat zijn de belangrijkste doelen?

Zoals bepaald in de DGA heeft de Commissie de Europese Raad voor gegevensinnovatie (EDIB) opgericht om de uitwisseling van beste praktijken te vergemakkelijken, met name op het gebied van gegevensbemiddeling, data-altruïsme en het gebruik van openbare gegevens die niet als open gegevens beschikbaar kunnen worden gesteld, alsook inzake de prioritering van sectoroverschrijdende interoperabiliteitsnormen.

Hoe werkt het in de praktijk?

Het EDIB omvat vertegenwoordigers van de volgende entiteiten:

  • Bevoegde autoriteiten van de lidstaten voor gegevensbemiddeling
  • Voor gegevensaltruïsme bevoegde autoriteiten van de lidstaten
  • het Europees Comité voor gegevensbescherming
  • de Europese Toezichthouder voor gegevensbescherming
  • Agentschap van de Europese Unie voor cyberbeveiliging (Enisa)
  • de Europese Commissie
  • de door het netwerk van kmo-gezanten aangewezen mkb-gezant/vertegenwoordiger van de EU
  • andere vertegenwoordigers van relevante organen die door de Commissie zijn geselecteerd via een oproep tot het indienen van deskundigen.

De lijst van EDIB-leden is hier beschikbaar:  Register van deskundigengroepen van de Commissie en andere soortgelijke entiteiten (europa.eu).

Edib zal bevoegd zijn richtsnoeren voor gemeenschappelijke Europese gegevensruimten voor te stellen, bijvoorbeeld inzake de adequate bescherming van gegevensoverdrachten buiten de Unie.

Internationale gegevensstromen

Wat zijn de belangrijkste doelen?

In de Europese datastrategie van februari 2020 werd het belang erkend van een open, maar assertieve benadering van internationale gegevensstromen.

Internationale gegevensoverdrachten kunnen het aanzienlijke sociaaleconomische potentieel van de enorme hoeveelheid gegevens die binnen de EU worden gegenereerd, ontsluiten, waardoor het internationale concurrentievermogen van de Unie in de mondiale arena wordt vergroot en tegelijkertijd wordt bijgedragen tot economische groei, die met name van cruciaal belang is in het herstel na COVID-19.

Hoewel de DGA een sleutelrol speelt bij het versterken van de open strategische autonomie van de Europese Unie, draagt het ook bij tot het creëren van vertrouwen in internationale gegevensstromen.

Hoe werkt het in de praktijk?

Hoewel de AVG alle nodige waarborgen in het kader van persoonsgegevens heeft ingevoerd, is het dankzij de DGA dat er vergelijkbare waarborgen bestaan voor verzoeken om toegang van derde landen in het kader van niet-persoonsgebonden gegevens.

Deze waarborgen hebben betrekking op alle door de DGA vastgestelde scenario’s en bepalingen, met name voor overheidsgegevens, databemiddelingsdiensten en dataaltruïsmeconstellaties. De hergebruiker in het derde land moet hetzelfde beschermingsniveau met betrekking tot de gegevens in kwestie waarborgen als het beschermingsniveau dat in het EU-recht wordt gewaarborgd, en het respectieve EU-recht aanvaarden.  

Indien nodig kan de Commissie aanvullende adequaatheidsbesluiten vaststellen voor de doorgifte van openbare beschermde gegevens voor hergebruik wanneer het gaat om een verzoek om toegang met betrekking tot niet-persoonsgebonden gegevens uit een derde land. Deze adequaatheidsbesluiten zullen vergelijkbaar zijn met de adequaatheidsbesluiten in verband met de doorgifte van persoonsgegevens in het kader van de AVG.

Daarnaast machtigt de DGA de Commissie om modelcontractbepalingen beschikbaar te stellen voor overheidsinstanties en hergebruikers voor scenario’s waarin overheidsgegevens betrokken zijn bij de doorgifte van gegevens met derde landen.

Gerelateerde inhoud

Grote afbeelding

Europese wet inzake datagovernance

Een Europese wet inzake datagovernance, die volledig in overeenstemming is met de waarden en beginselen van de EU, zal aanzienlijke voordelen opleveren voor EU-burgers en -bedrijven.

Zie ook

EU-register van gegevensbemiddelingsdiensten

De DGA creëert een kader ter bevordering van een nieuw bedrijfsmodel — databemiddelingsdiensten — dat een betrouwbare en veilige omgeving biedt waarin bedrijven of personen gegevens kunnen delen.