Data Governance Act uitgelegd

Het economische en maatschappelijke potentieel van data is enorm: het kan nieuwe producten en diensten mogelijk maken op basis van nieuwe technologieën, de productie efficiënter maken en instrumenten bieden om maatschappelijke uitdagingen aan te pakken. Op het gebied van gezondheid kunnen gegevens bijvoorbeeld bijdragen aan het bieden van betere gezondheidszorg, het verbeteren van gepersonaliseerde behandelingen en het helpen genezen van zeldzame of chronische ziekten. Het is ook een krachtige motor voor innovatie en nieuwe banen, en een cruciale hulpbron voor start-ups en kmo’s.

Dit potentieel wordt echter niet gerealiseerd. Het delen van gegevens in de EU blijft beperkt als gevolg van een aantal belemmeringen (waaronder een laag vertrouwen in het delen van gegevens, kwesties in verband met het hergebruik van overheidsgegevens en het verzamelen van gegevens voor het algemeen belang, alsook technische belemmeringen).

Om dit enorme potentieel echt te benutten, moeten meer gegevens beschikbaar worden gesteld, met vertrouwen gedeeld en technisch gemakkelijk te hergebruiken.

De Data Governance Act (DGA) is een sectoroverschrijdend instrument dat tot doel heeft meer gegevens beschikbaar te maken door het hergebruik van publiek/bewaarde, beschermde gegevens te reguleren, door het delen van gegevens te stimuleren door de regulering van nieuwe gegevensbemiddelaars en door het delen van gegevens voor altruïstische doeleinden aan te moedigen. Zowel persoonsgegevens als niet-persoonsgebonden gegevens vallen onder de DGA en waar het persoonsgegevens betreft, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Naast de AVG zullen ingebouwde waarborgen het vertrouwen in het delen en hergebruik van gegevens vergroten, een voorwaarde voor het beschikbaar maken van meer gegevens op de markt.

Hergebruik van bepaalde categorieën gegevens die in het bezit zijn van openbare lichamen

Wat zijn de belangrijkste doelen?

De Open Data-richtlijn regelt het hergebruik van openbaar/beschikbare informatie die in het bezit is van de publieke sector. De overheidssector bezit echter ook grote hoeveelheden beschermde gegevens (bijv. persoonsgegevens en commercieel vertrouwelijke gegevens) die niet als open gegevens kunnen worden hergebruikt, maar die op grond van specifieke EU- of nationale wetgeving opnieuw kunnen worden gebruikt. Een schat aan kennis kan uit dergelijke gegevens worden gehaald zonder afbreuk te doen aan het beschermde karakter ervan, en de DGA voorziet in regels en waarborgen om dit hergebruik te vergemakkelijken wanneer dat mogelijk is op grond van andere wetgeving.  

Hoe werkt het in de praktijk?

• Technische voorschriften voor de overheidssector: De lidstaten moeten technisch zijn toegerust om ervoor te zorgen dat de privacy en vertrouwelijkheid van gegevens in gevallen van hergebruik volledig worden geëerbiedigd. Dit kan een reeks instrumenten omvatten, van technische oplossingen, zoals anonimisering, pseudonimisering of toegang tot gegevens in beveiligde verwerkingsomgevingen (bv. datarooms) waarop de overheidssector toezicht houdt, tot contractuele middelen zoals vertrouwelijkheidsovereenkomsten tussen het overheidsorgaan en de hergebruiker.
• Steun van het overheidsorgaan: Als een overheidsinstantie geen toegang tot bepaalde gegevens voor hergebruik kan verlenen, moet het de potentiële hergebruiker helpen om toestemming van de betrokkene te vragen om zijn persoonsgegevens te hergebruiken) of de toestemming van de gegevenshouder wiens rechten of belangen door het hergebruik kunnen worden aangetast. Bovendien kan vertrouwelijke informatie (bv. bedrijfsgeheimen) alleen met een dergelijke toestemming of toestemming openbaar worden gemaaktvoor hergebruik.
• Om nog meer openbare gegevens beschikbaar te stellen voor hergebruik, beperkt de DGA het vertrouwen op exclusieve overeenkomsten voor het hergebruik van gegevens (waardoor een overheidsinstantie een dergelijk exclusief recht aan één onderneming verleent) voor specifieke gevallen van algemeen belang.
• Redelijke kosten: openbare lichamen mogen vergoedingen in rekening brengen voor het toestaan van hergebruik zolang die vergoedingen niet hoger zijn dan de noodzakelijke kosten. Daarnaast moeten overheidsinstanties het hergebruik stimuleren voor wetenschappelijk onderzoek en andere niet-commerciële doeleinden, alsook door kmo’s en start-ups, door heffingen te verlagen of zelfs uit te sluiten.
• Een overheidsinstantie heeft maximaal twee maanden de tijd om een besluit te nemen over een verzoek om hergebruik.
• De lidstaten kunnen kiezen welke bevoegde instanties de overheidsinstanties die toegang tot het hergebruik verlenen, zullen ondersteunen, bijvoorbeeld door deze te voorzien van een veilige verwerkingsomgeving en door hen te adviseren over de beste structuur en opslag van gegevens om deze gemakkelijk toegankelijk te maken.
• Om potentiële hergebruikers te helpen bij het vinden van relevante informatie over welke gegevens waarover overheidsinstanties beschikken, moeten de lidstaten één enkel informatiepunt opzetten. De Commissie zal één Europees toegangspunt opzetten ( met een doorzoekbaar register van de door de nationale centrale informatiepunten samengestelde informatie) om het hergebruik van gegevens in de interne markt en daarbuiten verder te vergemakkelijken.

Voorbeelden

• De Finse autoriteit voor sociale en gezondheidsgegevens verwerkt verzoeken en verleent toegang tot gegevens voor hergebruik. Voorbeelden van de gegevensbronnen van Findata zijn de sociale verzekeringsinstelling, het pensioenregister en het bevolkingsregister.
• Het Franse bedrijf DAMAE Medical verbetert haar LC-OCT-technologie (Line-field Confocal Optical Coherence Tomography) die toegang geeft tot cellulaire resolutieweergave van binnenmicrostructuren van de huid tot aan de dermis, onmiddellijk en niet-invasief met nieuwe trainingsgegevens die beschikbaar worden gesteld via de Franse Health Data Hub. Het doel van het project is de capaciteit van deze technologie te verbeteren om potentiële tekenen van huidkanker beter te identificeren en het chirurgische interventiegebied beter af te bakenen.

Diensten voor gegevensbemiddeling

Wat zijn de belangrijkste doelen?

Veel bedrijven vrezen momenteel dat het delen van hun gegevens een verlies van concurrentievoordeel zou betekenen en een risico van misbruik zou vormen. De DGA stelt een reeks regels vast voor aanbieders van gegevenstussenhandelsdiensten (zogenaamde gegevenstussenpersonen, zoals datamarktplaatsen) om ervoor te zorgen dat zij zullen fungeren als betrouwbare organisatoren van gegevensuitwisseling of -pooling binnen de gemeenschappelijke Europese dataruimten. Om het vertrouwen in het delen van gegevens te vergroten, stelt deze nieuwe aanpak een model voor dat gebaseerd is op de neutraliteit en transparantie van gegevensbemiddelaars en tegelijkertijd personen en bedrijven de controle over hun gegevens geeft.

Hoe werkt het in de praktijk?

Het framework biedt een alternatief model voor de data-afhandelingspraktijken van de Big Tech-platforms, die een hoge mate van marktmacht hebben omdat ze grote hoeveelheden gegevens beheersen.

In de praktijk zullen gegevenstussenpersonen fungeren als neutrale derden die individuen en bedrijven aan de ene kant verbinden met gegevensgebruikers aan de andere kant. Ze kunnen geen geld verdienen met de gegevens (bijvoorbeeld door ze te verkopen aan een ander bedrijf of door deze te gebruiken om hun eigen product op basis van deze gegevens te ontwikkelen) en zullen moeten voldoen aan strenge eisen om deze neutraliteit te waarborgen en belangenconflicten te voorkomen. In de praktijk betekent dit dat er een structurele scheiding moet zijn tussen de gegevensbemiddelingsdienst en alle andere verleende diensten (d.w.z. ze moeten juridisch gescheiden zijn). Ook mogen de commerciële voorwaarden (met inbegrip van prijzen) voor het aanbieden van bemiddelingsdiensten niet afhankelijk zijn van het feit of een potentiële gegevenshouder of gegevensgebruiker gebruik maakt van andere diensten. Alle verkregen gegevens en metagegevens kunnen alleen worden gebruikt om de gegevensbemiddelingsdienst te verbeteren.

Zowel zelfstandige organisaties die alleen gegevensbemiddelingsdiensten verlenen als bedrijven die naast andere diensten datatussenhandelsdiensten aanbieden, kunnen fungeren als betrouwbare tussenpersonen. In het laatste geval moet de gegevensbemiddelingsactiviteit, zowel juridisch als economisch, strikt worden gescheiden van andere gegevensdiensten.

Op grond van de DGA moeten gegevensbemiddelaars de bevoegde autoriteit in kennis stellen van hun voornemen om dergelijke diensten te verlenen. De bevoegde autoriteit zorgt ervoor dat de kennisgevingsprocedure niet-discriminerend is en de mededinging niet vervalst en bevestigt dat de aanbieder van gegevenstussenhandelsdiensten de kennisgeving heeft ingediend met alle vereiste informatie.

Na ontvangst van een dergelijke bevestiging kan de gegevenstussenpersoon in zijn schriftelijke en gesproken communicatie en het gemeenschappelijke logo het label „aanbieder van gegevenstussenhandelsdiensten die in de Unie is erkend” juridisch beginnen te exploiteren en gebruiken. Deze autoriteiten zullen ook toezien op de naleving van de vereisten inzake gegevensbemiddeling en de Commissie zal een centraal register van gegevensbemiddelaars bijhouden.

Voorbeelden

Met zijn Data Intelligence Hub biedt Deutsche Telekom een datamarktplaats waarin bedrijven veilig informatie van goede kwaliteit kunnen beheren, verstrekken en geld kunnen genereren, bijvoorbeeld productiegegevens, om processen of hele waardeketens te optimaliseren. Telekom neemt de rol van een neutrale trustee op zich en garandeert datasoevereiniteit via gedecentraliseerd datamanagement. Momenteel zijn meer dan 1.000 gebruikers van meer dan 100 verschillende bedrijven actief op het platform.

Dawex is een Frans bedrijf dat zichzelf omschrijft als een „global data marketplace”.  Dawex koopt of verkoopt geen gegevens, maar brengt bedrijven samen die geïnteresseerd zijn in het geld verdienen en hergebruiken van gegevens, en bevordert transparantie tussen gegevensleveranciers en gebruikers door ervoor te zorgen dat zij de transactie rechtstreeks op haar platform communiceren en uitvoeren. Dawex heeft een reeks tools ontwikkeld om zowel dataleveranciers als gebruikers te helpen de gegevens te begrijpen, te beoordelen en te communiceren. Visualisatietools (bijvoorbeeld warmtekaarten, boomkaarten) bieden gegevensgebruikers verschillende informatie over een complete dataset die veilig kan worden gedeeld voordat een transactie is voltooid. Bemonsteringstools genereren automatisch representatieve gegevensmonsters op basis van algoritmen om vooringenomenheid te voorkomen. Datagebruikers en dataleveranciers communiceren met behulp van een berichtentool die in het platform is ingebed. Daarnaast ondersteunt Dawex de onderhandelingen over de contractuele overeenkomst door modelvoorwaarden die automatisch kunnen worden gegenereerd.

API-AGRO is een agrarische data-sharing hub die gebruik maakt van de Dawex technologie. Deze technologie bevordert een landbouwecosysteem waarbij tal van actoren en een neutrale intermediair (het Api-Agro-platform) betrokken zijn, waar een duidelijke scheiding bestaat tussen de bemiddelingsrol en andere activiteiten in verband met het gebruik van de gegevens. API-Agro maakt geen inkomsten uit de gegevens, maar functioneert als een neutrale derde partij die gegevenshouders en gegevensgebruikers met elkaar verbindt.

Data altruïsme

Wat zijn de belangrijkste doelen?

Data altruïsme gaat over individuen en bedrijven die hun toestemming of toestemming geven om gegevens beschikbaar te stellen die zij vrijwillig en zonder beloning genereren om in het algemeen belang te worden gebruikt. Dergelijke gegevens hebben een enorm potentieel om onderzoek te bevorderen en betere producten en diensten te ontwikkelen, onder meer op het gebied van gezondheid, milieu en mobiliteit.

Uit onderzoek blijkt dat, hoewel er in principe een bereidheid bestaat om zich bezig te houden met data-altruïsme, dit in de praktijk wordt belemmerd door een gebrek aan instrumenten voor het delen van gegevens. Als zodanig is het doel van de Data Governance Act om betrouwbare tools te creëren waarmee gegevens op een eenvoudige manier kunnen worden gedeeld ten behoeve van de samenleving. Het zal de juiste voorwaarden scheppen om personen en bedrijven te verzekeren dat wanneer zij hun gegevens delen, deze worden behandeld door vertrouwde organisaties op basis van de waarden en beginselen van de EU. Dit zal het mogelijk maken pools van gegevens van voldoende omvang aan te leggen om gegevensanalyse en machinaal leren mogelijk te maken, ook over de grenzen heen.

Hoe werkt het in de praktijk?

Entiteiten die relevante gegevens op basis van gegevensaltruïsme beschikbaar stellen, zullen zich kunnen registreren als „in de Unie erkende gegevensaltruïsme-organisaties”. Deze entiteiten moeten een non-profit karakter hebben en aan transparantievereisten voldoen en specifieke waarborgen bieden ter bescherming van de rechten en belangen van burgers en bedrijven die hun gegevens delen. Bovendien moeten zij voldoen aan het rulebook (uiterlijk 18 maanden na de inwerkingtreding), waarin informatievereisten, technische en beveiligingsvereisten, communicatiestappenplannen en aanbevelingen inzake interoperabiliteitsnormen worden vastgesteld. Het rulebook zal door de Commissie worden ontwikkeld, in nauwe samenwerking met gegevensaltruïsme-organisaties en andere relevante belanghebbenden.

De entiteiten kunnen het gemeenschappelijke logo gebruiken dat voor dit doel is ontworpen en kunnen ervoor kiezen om te worden opgenomen in het openbaar register van gegevensaltruïsme-organisaties. De Commissie zal ter informatie een register op EU-niveau van erkende gegevens/altruïsme-organisaties opzetten.  

Een gemeenschappelijk Europees toestemmingsformulier voor gegevensaltruïsme zal de verzameling van gegevens in de lidstaten in een uniform formaat mogelijk maken, zodat degenen die hun gegevens delen gemakkelijk hun toestemming kunnen geven en intrekken. Het zal ook rechtszekerheid bieden aan onderzoekers en bedrijven die gegevens op basis van altruïsme willen gebruiken. Dit zal een modulaire vorm zijn, die kan worden afgestemd op de behoeften van specifieke sectoren en doeleinden.

Voorbeelden

MyData Global streeft ernaar „personen te machtigen door hun recht op zelfbeschikking met betrekking tot hun persoonsgegevens te verbeteren.” Hoewel het algemene doel verder reikt dan gegevensaltruïsme, biedt de organisatie een vertrouwde interface voor leden om toestemming te geven voor het gebruik van hun persoonsgegevens voor specifieke doeleinden.

Het Smart Citizen -platform stelt burgers in staat om gegevens te delen over geluidsniveaus en vervuiling in hun huis, verzameld via sensoren. Dit biedt essentiële informatie om lawaai en luchtkwaliteit in kaart te brengen, en voor onderzoekers en overheden om gerichte oplossingen voor deze problemen te ontwikkelen.

De Duitse Corona-Datenspende-App is opgezet om gegevens te verzamelen (zoals hartslag, lichaamstemperatuur, bloeddruk, slaappatronen) van fitnessarmbanden en smartwatches. Door deze gegevens te monitoren, konden onderzoekers in een vroeg stadium mogelijke COVID-19-hotspots identificeren.

Europees Comité voor gegevensinnovatie

Wat zijn de belangrijkste doelen?

Zoals in de DGA is bepaald, zal de Commissie de Europese raad voor gegevensinnovatie (EDIB) oprichten om de uitwisseling van beste praktijken te vergemakkelijken, met name op het gebied van gegevensbemiddeling, gegevensaltruïsme en het gebruik van openbare gegevens die niet als open gegevens beschikbaar kunnen worden gesteld, alsook over de prioritering van sectoroverschrijdende interoperabiliteitsnormen.

Hoe werkt het in de praktijk?

De EDIB bestaat uit vertegenwoordigers van de volgende entiteiten:

• Bevoegde autoriteiten van de lidstaat voor gegevensbemiddeling
• Bevoegde autoriteiten van de lidstaten voor gegevensaltruïsme
• het Europees Comité voor gegevensbescherming
• de Europese Toezichthouder voor gegevensbescherming
• Agentschap van de Europese Unie voor cyberbeveiliging (Enisa)
• de Europese Commissie
• de EU-gezant/vertegenwoordiger voor kmo’s benoemd door het netwerk van mkb-gezanten
• andere vertegenwoordigers van relevante organen (de Commissie zal daartoe een oproep doen aan deskundigen)

Het zal werken via ten minste drie subgroepen:

1. een subgroep bestaande uit vertegenwoordigers van de bevoegde autoriteiten van de lidstaten;
2. een subgroep voor technische besprekingen over normalisatie, overdraagbaarheid en interoperabiliteit, en
3. een subgroep voor betrokkenheid van belanghebbenden.

Voorbeelden

De EDIB zal de bevoegdheid hebben om richtsnoeren voor gemeenschappelijke Europese gegevensruimten voor te stellen, bijvoorbeeld over de adequate bescherming van gegevensdoorgiften buiten de Unie.

Internationale datastromen

Wat zijn de belangrijkste doelen?

In de Europese datastrategie van februari 2020 werd het belang erkend van een open, maar assertieve benadering van internationale gegevensstromen.

Internationale gegevensoverdrachten kunnen het aanzienlijke sociaaleconomische potentieel van de enorme hoeveelheid binnen de EU gegenereerde gegevens ontsluiten, waardoor het internationale concurrentievermogen van de Unie in de mondiale arena wordt vergroot en tegelijkertijd wordt bijgedragen tot economische groei, wat met name in het tijdperk van herstel na COVID-herstel van cruciaal belang is.

Hoewel de DGA een sleutelrol speelt bij het versterken van de open strategische autonomie van de Europese Unie, draagt zij ook bij tot het creëren van vertrouwen en vertrouwen in internationale gegevensstromen.

Hoe werkt het in de praktijk?

Hoewel de AVG alle nodige waarborgen heeft ingevoerd in het kader van persoonsgegevens, is het dankzij de DGA dat er vergelijkbare waarborgen bestaan voor verzoeken om toegang van derde landen in het kader van niet-persoonsgebonden gegevens.

Deze waarborgen hebben betrekking op alle scenario’s en bepalingen van de DGA, namelijk gegevens over de overheidssector, gegevensbemiddelingsdiensten en gegevensaltruïsme-constellaties. De hergebruiker in het derde land zal ten aanzien van de betrokken gegevens hetzelfde beschermingsniveau moeten waarborgen als het in het EU-recht gewaarborgde beschermingsniveau, en de respectieve EU-jurisdictie moeten aanvaarden.  

Indien zulks noodzakelijk wordt geacht, kan de Commissie aanvullende adequaatheidsbesluiten vaststellen voor de doorgifte van openbaar beschermde gegevens voor hergebruik als het gaat om een verzoek om toegang met betrekking tot niet-persoonsgebonden gegevens uit een derde land. Deze adequaatheidsbesluiten zullen vergelijkbaar zijn met de adequaatheidsbesluiten met betrekking tot de doorgifte van persoonsgegevens in het kader van de AVG.

Daarnaast machtigt de DGA de Commissie om modelcontractbepalingen beschikbaar te stellen voor overheidsinstanties en hergebruikers voor scenario’s waarbij overheidsgegevens betrokken zijn bij gegevensoverdrachten met derde landen.