De datagovernanceverordening biedt een kader om het vertrouwen in vrijwillige gegevensuitwisseling te vergroten ten behoeve van bedrijven en burgers.
Het economische en maatschappelijke potentieel van data is enorm: het kan nieuwe producten en diensten op basis van nieuwe technologieën mogelijk maken, de productie efficiënter maken en instrumenten bieden om maatschappelijke uitdagingen aan te pakken. Op het gebied van gezondheid kunnen gegevens bijvoorbeeld bijdragen tot betere gezondheidszorg, betere gepersonaliseerde behandelingen en het helpen genezen van zeldzame of chronische ziekten. Het is ook een krachtige motor voor innovatie en nieuwe banen en een cruciale hulpbron voor start-ups en kmo’s.
Dit potentieel wordt echter niet benut. Het delen van gegevens in de EU blijft beperkt als gevolg van een aantal belemmeringen (waaronder een laag vertrouwen in het delen van gegevens, kwesties in verband met het hergebruik van overheidsgegevens en gegevensverzameling voor het algemeen belang, alsook technische belemmeringen).
Om dit enorme potentieel echt te benutten, moet het gemakkelijker zijn om gegevens op een betrouwbare en veilige manier te delen.
De datagovernanceverordening (DGA) is een sectoroverschrijdend instrument dat tot doel heeft het hergebruik van openbaar/bewaarde, beschermde gegevens te reguleren door het delen van gegevens te stimuleren door middel van de regulering van nieuwe gegevensbemiddelaars en door het delen van gegevens voor altruïstische doeleinden aan te moedigen. Zowel persoonsgegevens als niet-persoonsgebonden gegevens vallen binnen het toepassingsgebied van de DGA, en waar het persoonsgegevens betreft, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Naast de AVG zullen ingebouwde waarborgen het vertrouwen in het delen en hergebruiken van gegevens vergroten, een voorwaarde om meer gegevens op de markt beschikbaar te maken.
Hergebruik van bepaalde categorieën gegevens die in het bezit zijn van openbare lichamen
Wat zijn de belangrijkste doelen?
De Open Data-richtlijn regelt het hergebruik van openbaar/beschikbare informatie die in het bezit is van de publieke sector. De publieke sector beschikt echter ook over grote hoeveelheden beschermde gegevens (bv. persoonsgegevens en commercieel vertrouwelijke gegevens) die niet als open gegevens kunnen worden hergebruikt, maar die op grond van specifieke EU- of nationale wetgeving kunnen worden hergebruikt. Er kan een schat aan kennis uit dergelijke gegevens worden gehaald zonder het beschermde karakter ervan in gevaar te brengen, en de DGA voorziet in regels en waarborgen om dergelijk hergebruik te vergemakkelijken wanneer dat op grond van andere wetgeving mogelijk is.
Hoe werkt het in de praktijk?
- Technische voorschriften voor de overheidssector: De lidstaten moeten technisch worden toegerust om ervoor te zorgen dat de privacy en vertrouwelijkheid van gegevens volledig worden geëerbiedigd in situaties van hergebruik. Dit kan een reeks instrumenten omvatten, van technische oplossingen, zoals anonimisering, pseudonimisering of toegang tot gegevens in beveiligde verwerkingsomgevingen (bv. datarooms) die onder toezicht van de publieke sector staan, tot contractuele middelen zoals vertrouwelijkheidsovereenkomsten tussen het openbare lichaam en de hergebruiker.
- Bijstand van de overheidsinstantie: Indien een openbaar lichaam geen toegang kan verlenen tot bepaalde gegevens voor hergebruik, moet het de potentiële hergebruiker helpen bij het verkrijgen van toestemming van de betrokkene voor het hergebruik van zijn persoonsgegevens of van de gegevenshouder wiens rechten of belangen door het hergebruik kunnen worden aangetast. Bovendien mag vertrouwelijke informatie (bv. bedrijfsgeheimen) alleen met die toestemming of toestemming worden bekendgemaakt voor hergebruik.
- Om nog meer openbare gegevens beschikbaar te hebben voor hergebruik, beperkt de DGA het beroep op exclusieve overeenkomsten voor hergebruik van gegevens (waarbij een overheidsinstantie een dergelijk exclusief recht aan één onderneming verleent) tot specifieke gevallen van algemeen belang.
- Redelijke vergoedingen: openbare lichamen mogen vergoedingen aanrekenen voor het toestaan van hergebruik, mits die vergoedingen niet hoger zijn dan de noodzakelijke kosten. Daarnaast moeten overheidsinstanties het hergebruik voor wetenschappelijk onderzoek en andere niet-commerciële doeleinden, alsook door kmo’s en start-ups, stimuleren door heffingen te verlagen of zelfs uit te sluiten.
- Een overheidsinstantie heeft maximaal twee maanden de tijd om een besluit te nemen over een verzoek om hergebruik.
- De lidstaten kunnen kiezen welke bevoegde instanties de overheidsinstanties die toegang tot het hergebruik verlenen, zullen ondersteunen, bijvoorbeeld door deze te voorzien van een beveiligde verwerkingsomgeving en door hen te adviseren over hoe zij gegevens het best kunnen structureren en opslaan om deze gemakkelijk toegankelijk te maken.
- Om potentiële hergebruikers te helpen relevante informatie te vinden over welke gegevens bij welke overheidsinstanties berusten, zullen de lidstaten een centraal informatiepunt moeten opzetten. De Commissie heeft het Europees register voor beschermde gegevens in het bezit van de publieke sector (ERPD)opgezet, een doorzoekbaar register van de informatie die door de nationale centrale informatiepunten is verzameld om het hergebruik van gegevens op de interne markt en daarbuiten verder te vergemakkelijken.
Gegevensbemiddeling
Wat zijn de belangrijkste doelen?
Veel bedrijven vrezen momenteel dat het delen van hun gegevens een verlies van concurrentievoordeel met zich mee zou brengen en een risico op misbruik met zich mee zou brengen. De DGA stelt een reeks regels vast voor aanbieders van gegevensbemiddelingsdiensten (zogenaamde gegevensbemiddelaars, zoals gegevensmarktplaatsen) om ervoor te zorgen dat zij zullen functioneren als betrouwbare organisatoren van het delen of bundelen van gegevens binnen de gemeenschappelijke Europese gegevensruimten. Om het vertrouwen in het delen van gegevens te vergroten, wordt met deze nieuwe aanpak een model voorgesteld dat gebaseerd is op de neutraliteit en transparantie van gegevensbemiddelaars, waarbij personen en bedrijven de controle over hun gegevens krijgen.
Hoe werkt het in de praktijk?
Het kader biedt een alternatief model voor de dataverwerkingspraktijken van de Big Tech-platforms, die een hoge mate van marktmacht hebben omdat ze grote hoeveelheden gegevens beheren.
In de praktijk zullen gegevensbemiddelaars fungeren als neutrale derde partijen die personen en bedrijven in contact brengen met gegevensgebruikers. Hoewel zij kosten in rekening kunnen brengen voor het vergemakkelijken van het delen van gegevens tussen de partijen, kunnen zij de gegevens die zij bemiddelen voor financiële winst niet rechtstreeks gebruiken (bv. door deze aan een ander bedrijf te verkopen of te gebruiken om hun eigen product op basis van deze gegevens te ontwikkelen). Gegevensbemiddelaars zullen aan strenge eisen moeten voldoen om deze neutraliteit te waarborgen en belangenconflicten te voorkomen. In de praktijk betekent dit dat er een structurele scheiding moet zijn tussen de databemiddelingsdienst en alle andere verleende diensten (d.w.z. zij moeten juridisch gescheiden zijn). Ook mogen de commerciële voorwaarden (met inbegrip van de prijsstelling) voor de verlening van bemiddelingsdiensten niet afhangen van de vraag of een potentiële datahouder of datagebruiker gebruikmaakt van andere diensten. Alle verkregen gegevens en metagegevens kunnen alleen worden gebruikt om de gegevensbemiddelingsdienst te verbeteren.
Zowel zelfstandige organisaties die alleen databemiddelingsdiensten verlenen als bedrijven die naast andere diensten ook databemiddelingsdiensten aanbieden, zouden als betrouwbare tussenpersonen kunnen fungeren. In het laatste geval moet de activiteit van gegevensbemiddeling strikt worden gescheiden, zowel juridisch als economisch, van andere gegevensdiensten.
In het kader van de DGA moeten gegevensbemiddelaars de bevoegde autoriteit in kennis stellen van hun voornemen om dergelijke diensten te verlenen. De bevoegde autoriteit zorgt ervoor dat de kennisgevingsprocedure niet-discriminerend is en de mededinging niet verstoort, en bevestigt dat de aanbieder van databemiddelingsdiensten de kennisgeving met alle vereiste informatie heeft ingediend.
Na ontvangst van een dergelijke bevestiging kan de gegevensbemiddelaar in zijn schriftelijke en mondelinge communicatie wettelijk beginnen met de exploitatie en het gebruik van het label “in de Unie erkende aanbieder van gegevensbemiddelingsdiensten”, alsook van het gemeenschappelijke logo. Deze autoriteiten zullen ook toezien op de naleving van de vereisten inzake gegevensbemiddeling en de Commissie houdt een centraal register bij van erkende gegevensbemiddelaars.
Data-altruïsme
Wat zijn de belangrijkste doelen?
Data-altruïsme gaat over personen en bedrijven die hun toestemming of toestemming geven om gegevens die zij genereren – vrijwillig en zonder beloning – beschikbaar te stellen voor doeleinden van algemeen belang. Dergelijke gegevens hebben een enorm potentieel om onderzoek te bevorderen en betere producten en diensten te ontwikkelen, onder meer op het gebied van gezondheid, milieu en mobiliteit.
Uit onderzoek blijkt dat hoewel er in beginsel bereidheid is om deel te nemen aan data-altruïsme, dit in de praktijk wordt belemmerd door een gebrek aan instrumenten voor het delen van gegevens. Als zodanig is het doel van de datagovernanceverordening om betrouwbare instrumenten te creëren waarmee gegevens op een gemakkelijke manier kunnen worden gedeeld ten behoeve van de samenleving. Het zal de juiste voorwaarden scheppen om personen en bedrijven ervan te verzekeren dat wanneer zij hun gegevens delen, zij zullen worden behandeld door betrouwbare organisaties op basis van de waarden en beginselen van de EU. Dit zal het mogelijk maken pools van gegevens van voldoende omvang aan te leggen om gegevensanalyse en machinaal leren mogelijk te maken, ook over de grenzen heen.
Hoe werkt het in de praktijk?
Entiteiten die relevante gegevens op basis van gegevensaltruïsme beschikbaar stellen, zullen zich kunnen registreren als “in de Unie erkende organisaties voor gegevensaltruïsme”. Deze entiteiten moeten een non-profitkarakter hebben en voldoen aan transparantievereisten en specifieke waarborgen bieden ter bescherming van de rechten en belangen van burgers en bedrijven die hun gegevens delen. Daarnaast moeten zij voldoen aan het rulebook (uiterlijk 18 maanden na de inwerkingtreding ervan), waarin informatie-eisen, technische en beveiligingseisen, routekaarten voor communicatie en aanbevelingen inzake interoperabiliteitsnormen zullen worden vastgelegd. Het rulebook zal worden ontwikkeld door de Commissie, in nauwe samenwerking met organisaties voor data-altruïsme en andere relevante belanghebbenden.
De entiteiten zullen gebruik kunnen maken van het gemeenschappelijke logo dat voor dit doel is ontworpen en kunnen ervoor kiezen om te worden opgenomen in het openbaar register van organisaties voor gegevensaltruïsme. Ter informatie heeft de Commissie een register op EU-niveau van erkende organisaties voor gegevensaltruïsme opgezet.
Een gemeenschappelijk Europees toestemmingsformulier voor gegevensaltruïsme zal het mogelijk maken om gegevens in alle lidstaten in een uniform formaat te verzamelen, zodat degenen die hun gegevens delen gemakkelijk hun toestemming kunnen geven en intrekken. Het zal ook rechtszekerheid bieden aan onderzoekers en bedrijven die gegevens op basis van altruïsme willen gebruiken. Dit zal een modulaire vorm zijn, die kan worden aangepast aan de behoeften van specifieke sectoren en doeleinden.
Europese Raad voor gegevensinnovatie
Wat zijn de belangrijkste doelen?
Zoals bepaald in de DGA heeft de Commissie het Europees Comité voor gegevensinnovatie (EDIB) opgericht om de uitwisseling van beste praktijken te vergemakkelijken, met name wat betreft gegevensbemiddeling, gegevensaltruïsme en het gebruik van openbare gegevens die niet als open gegevens beschikbaar kunnen worden gesteld, alsook wat betreft de prioritering van sectoroverschrijdende interoperabiliteitsnormen.
Hoe werkt het in de praktijk?
De EDIB bestaat uit vertegenwoordigers van de volgende entiteiten:
- Bevoegde autoriteiten van de lidstaten voor gegevensbemiddeling
- Bevoegde autoriteiten van de lidstaten voor gegevensaltruïsme
- het Europees Comité voor gegevensbescherming
- de Europese Toezichthouder voor gegevensbescherming
- het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa)
- de Europese Commissie
- de door het netwerk van kmo-gezanten benoemde kmo-gezant/vertegenwoordiger van de EU
- andere vertegenwoordigers van relevante organen die door de Commissie zijn geselecteerd door middel van een oproep tot het indienen van deskundigen.
De lijst van EDIB-leden is hier te vinden: Register van deskundigengroepen van de Commissie en andere soortgelijke entiteiten (europa.eu).
De EDIB zal de bevoegdheid hebben om richtsnoeren voor gemeenschappelijke Europese dataruimten voor te stellen, bijvoorbeeld over de adequate bescherming van gegevensdoorgiften buiten de Unie.
Internationale gegevensstromen
Wat zijn de belangrijkste doelen?
In de Europese datastrategie van februari 2020 werd het belang erkend van een open, maar assertieve benadering van internationale datastromen.
Internationale gegevensoverdrachten kunnen het aanzienlijke sociaaleconomische potentieel van de enorme hoeveelheid binnen de EU gegenereerde gegevens ontsluiten, waardoor het internationale concurrentievermogen van de Unie op het wereldtoneel wordt vergroot en tegelijkertijd wordt bijgedragen aan de economische groei, die van cruciaal belang is, met name in het tijdperk van het herstel na COVID-19.
Hoewel de DGA een sleutelrol speelt bij het versterken van de open strategische autonomie van de Europese Unie, draagt zij ook bij tot het scheppen van vertrouwen in internationale gegevensstromen.
Hoe werkt het in de praktijk?
Hoewel de AVG alle nodige waarborgen heeft ingevoerd in de context van persoonsgegevens, is het dankzij de DGA dat soortgelijke waarborgen bestaan voor verzoeken om toegang van regeringen van derde landen in de context van niet-persoonsgebonden gegevens.
Deze waarborgen hebben betrekking op alle door de DGA vastgestelde scenario’s en bepalingen, namelijk voor overheidsgegevens, gegevensbemiddelingsdiensten en gegevensaltruïsmeconstellaties. De hergebruiker in het derde land moet met betrekking tot de gegevens in kwestie hetzelfde beschermingsniveau waarborgen als het beschermingsniveau dat door het EU-recht wordt gewaarborgd, en het respectieve EU-rechtsgebied aanvaarden.
Indien nodig kan de Commissie aanvullende adequaatheidsbesluiten vaststellen voor de doorgifte van openbaar beschermde gegevens voor hergebruik als het gaat om een verzoek om toegang met betrekking tot niet-persoonsgebonden gegevens uit een derde land. Deze adequaatheidsbesluiten zullen vergelijkbaar zijn met de adequaatheidsbesluiten met betrekking tot de doorgifte van persoonsgegevens in het kader van de AVG.
Daarnaast machtigt de DGA de Commissie om modelcontractbepalingen beschikbaar te stellen voor overheidsinstanties en hergebruikers voor scenario’s waarin overheidsgegevens betrokken zijn bij gegevensdoorgiften met derde landen.
Gerelateerde inhoud
Grote afbeelding
Een Europese datagovernanceverordening, die volledig in overeenstemming is met de waarden en beginselen van de EU, zal aanzienlijke voordelen opleveren voor EU-burgers en -bedrijven.
Zie ook
De DGA creëert een kader ter bevordering van een nieuw bedrijfsmodel – databemiddelingsdiensten – dat zal zorgen voor een betrouwbare en veilige omgeving waarin bedrijven of personen gegevens kunnen delen.
Dit EU-register van erkende organisaties voor data-altruïsme is opgezet in het kader van de datagovernanceverordening, een belangrijke pijler van de Europese datastrategie.