Skip to main content
Shaping Europe’s digital future

Dataförvaltningsakten förklaras

Dataförvaltningsakten utgör en ram för att öka förtroendet för frivillig datadelning till förmån för företag och medborgare.

© image by peshkov - Getty Images/iStock

Datans ekonomiska och samhälleliga potential är enorm: det kan möjliggöra nya produkter och tjänster som bygger på ny teknik, effektivisera produktionen och tillhandahålla verktyg för att bekämpa samhällsutmaningar. På hälsoområdet kan data till exempel bidra till att tillhandahålla bättre hälso- och sjukvård, förbättra individanpassade behandlingar och hjälpa till att bota sällsynta eller kroniska sjukdomar. Det är också en kraftfull motor för innovation och nya arbetstillfällen och en viktig resurs för nystartade företag och små och medelstora företag.

Denna potential förverkligas dock inte. Datadelningen i EU är fortfarande begränsad på grund av ett antal hinder (bl.a. lågt förtroende för datadelning, frågor som rör vidareutnyttjande av uppgifter från den offentliga sektorn och datainsamling för det allmännas bästa samt tekniska hinder).

För att verkligen utnyttja denna enorma potential bör det vara lättare att dela data på ett tillförlitligt och säkert sätt.

Data Governance Act (DGA) är ett sektorsövergripande instrument som syftar till att reglera vidareutnyttjandet av offentligt/hållna, skyddade data, genom att främja datadelning genom reglering av nya dataförmedlare och genom att uppmuntra utbyte av data för altruistiska ändamål. Både personuppgifter och icke-personuppgifter omfattas av DGA, och när det gäller personuppgifter gäller den allmänna dataskyddsförordningen (GDPR). Utöver den allmänna dataskyddsförordningen kommer inbyggda skyddsåtgärder att öka förtroendet för datadelning och vidareutnyttjande, vilket är en förutsättning för att göra mer data tillgängligt på marknaden.

Vidareutnyttjande av vissa kategorier av uppgifter som innehas av offentliga myndigheter

Vilka är de viktigaste målen?

Direktivet om öppna data reglerar vidareutnyttjandet av offentligt/tillgänglig information som innehas av den offentliga sektorn. Den offentliga sektorn har dock också stora mängder skyddade uppgifter (t.ex. personuppgifter och kommersiellt konfidentiella uppgifter) som inte kan vidareutnyttjas som öppna data men som kan återanvändas enligt särskild EU-lagstiftning eller nationell lagstiftning. En mängd kunskap kan hämtas från sådana uppgifter utan att äventyra dess skyddade natur, och DGA innehåller regler och skyddsåtgärder för att underlätta sådant vidareutnyttjande när det är möjligt enligt annan lagstiftning.  

Hur fungerar det i praktiken?

  • Tekniska krav för den offentliga sektorn: Medlemsstaterna måste vara tekniskt utrustade för att säkerställa att uppgifternas integritet och konfidentialitet respekteras fullt ut vid vidareutnyttjande. Detta kan omfatta en rad verktyg, från tekniska lösningar, såsom anonymisering, pseudonymisering eller åtkomst till data i säkra behandlingsmiljöer (t.ex. datarum) som övervakas av den offentliga sektorn, till avtalsmässiga medel såsom sekretessavtal som ingåtts mellan den offentliga myndigheten och vidareutnyttjaren.
  • Stöd från den offentliga myndigheten: Om en offentlig myndighet inte kan bevilja tillgång till vissa uppgifter för vidareutnyttjande bör den hjälpa den potentiella vidareutnyttjaren att begära den enskildes samtycke att vidareutnyttja sina personuppgifter eller datainnehavarens tillstånd vars rättigheter eller intressen kan påverkas av vidareutnyttjandet. Dessutom kan konfidentiell information (t.ex. företagshemligheter) endast lämnas ut för vidareutnyttjande med sådant samtycke eller tillstånd.
  • För att få tillgång till ännu mer offentligt lagrade data för vidareutnyttjande begränsar DGA beroendet av exklusiva avtal om vidareutnyttjande av data (där en offentlig myndighet beviljar ett sådant företag en sådan ensamrätt) till specifika fall av allmänt intresse.
  • Rimliga avgifter: offentliga myndigheter får ta ut avgifter för att tillåta vidareutnyttjande så länge dessa avgifter inte överstiger de nödvändiga kostnaderna. Dessutom bör offentliga myndigheter uppmuntra vidareutnyttjande för vetenskaplig forskning och andra icke-kommersiella ändamål samt av små och medelstora företag och nystartade företag, genom att minska eller till och med utesluta avgifter.
  • En offentlig myndighet kommer att ha upp till två månader på sig att fatta beslut om en begäran om vidareutnyttjande.
  • Medlemsstaterna kan välja vilka behöriga organ som ska stödja de offentliga myndigheter som ger tillgång till vidareutnyttjande, t.ex. genom att förse dessa med en säker behandlingsmiljö och genom att ge dem råd om hur man bäst strukturerar och lagrar data för att göra dem lättillgängliga.
  • För att hjälpa potentiella vidareutnyttjare att hitta relevant information om vilka uppgifter som innehas av offentliga myndigheter kommer medlemsstaterna att vara skyldiga att inrätta en enda informationspunkt. Kommissionen inrättade det europeiska registret över skyddade uppgifter som innehas av den offentliga sektorn (ERPD),ett sökbart register över den information som sammanställts av nationella enda informationspunkter för att ytterligare underlätta vidareutnyttjande av uppgifter på och utanför den inre marknaden.

Exempel

  • Den finska social- och hälsodatamyndigheten Findata behandlar förfrågningar och ger tillgång till data för vidareutnyttjande. Exempel på Findatas datakällor är socialförsäkringsinstitutionen, pensionsregistret och folkbokföringen.
  • Det franska företaget DAMAE Medical förbättrar sin LC-OCT-teknik (Line-field Confocal Optical Coherence Tomography) som ger tillgång till cellulär upplösning av inre mikrostrukturer i huden upp till dermis, omedelbart och icke-invasivt med nya träningsdata som görs tillgängliga via den franska hälsodatahubben. Syftet med projektet är att förbättra kapaciteten hos denna teknik för att bättre identifiera potentiella tecken på hudcancer och avgränsa det kirurgiska ingreppsområdet bättre.

Dataförmedlingstjänster

Vilka är de viktigaste målen?

Många företag fruktar för närvarande att delning av deras uppgifter skulle innebära en förlust av konkurrensfördelar och utgöra en risk för missbruk. DGA fastställer en uppsättning regler för leverantörer av dataförmedlingstjänster (så kallade dataförmedlare, såsom datamarknadsplatser) för att säkerställa att de fungerar som tillförlitliga organisatörer av datadelning eller datapooler inom de gemensamma europeiska dataområdena. För att öka förtroendet för datadelning föreslås i detta nya tillvägagångssätt en modell som bygger på dataförmedlares neutralitet och transparens, samtidigt som enskilda personer och företag får kontroll över sina uppgifter.

Hur fungerar det i praktiken?

Ramverket erbjuder en alternativ modell till Big Tech-plattformarnas datahanteringspraxis, som har en hög grad av marknadsstyrka eftersom de kontrollerar stora mängder data.

I praktiken kommer dataförmedlare att fungera som neutrala tredje parter som kopplar samman individer och företag med dataanvändare. Även om de kan ta ut avgifter för att underlätta datadelningen mellan parterna,kan de inte direkt använda de uppgifter som de förmedlar för ekonomisk vinst (t.ex. genom att sälja dem till ett annat företag eller använda dem för att utveckla sin egen produkt baserat på dessa uppgifter). Dataförmedlare måste uppfylla strikta krav för att säkerställa denna neutralitet och undvika intressekonflikter. I praktiken innebär detta att det måste finnas en strukturell åtskillnad mellan dataförmedlingstjänsten och alla andra tjänster som tillhandahålls (dvs. de måste vara juridiskt åtskilda). De kommersiella villkoren (inklusive prissättning) för tillhandahållande av förmedlingstjänster bör inte heller vara beroende av om en potentiell datainnehavare eller dataanvändare använder andra tjänster. Alla data och metadata som förvärvas kan endast användas för att förbättra dataförmedlingstjänsten.

Både fristående organisationer som endast tillhandahåller dataförmedlingstjänster och företag som erbjuder dataförmedlingstjänster utöver andra tjänster kan fungera som betrodda mellanhänder. I det senare fallet måste dataförmedlingsverksamheten vara strikt åtskild, både rättsligt och ekonomiskt, från andra datatjänster.

Enligt DGA kommer dataförmedlare att vara skyldiga att underrätta den behöriga myndigheten om sin avsikt att tillhandahålla sådana tjänster. Den behöriga myndigheten kommer att se till att anmälningsförfarandet är icke-diskriminerande och inte snedvrider konkurrensen och kommer att bekräfta att leverantören av dataförmedlingstjänster har lämnat in anmälan med all nödvändig information.

Vid mottagandet av en sådan bekräftelse kan dataförmedlaren lagligen börja driva och använda etiketten ”leverantör av dataförmedlingstjänster som är erkänd i unionen” i sin skriftliga och muntliga kommunikation samt den gemensamma logotypen. Dessa myndigheter kommer också att övervaka efterlevnaden av dataförmedlingskraven och kommissionen kommer att föra ett centralt register över erkända dataförmedlare.

Exempel

Med sin Data Intelligence Hub erbjuder Deutsche Telekom en datamarknad där företag säkert kan hantera, tillhandahålla och tjäna pengar på information av god kvalitet, till exempel produktionsdata, för att optimera processer eller hela värdekedjor. Telekom tar rollen som neutral förvaltare och garanterar datasuveränitet genom decentraliserad datahantering. För närvarande är mer än 1000 användare från över 100 olika företag aktiva på plattformen.

Dawex är ett franskt företag som beskriver sig som en ”global datamarknadsplats”.  Dawex köper inte eller säljer data utan samlar företag som är intresserade av att tjäna pengar på och återanvända data, och främjar transparens mellan dataleverantörer och användare genom att säkerställa att de kommunicerar och genomför transaktionen direkt på sin plattform. Dawex utvecklade en serie verktyg för att hjälpa både dataleverantörer och användare att förstå, bedöma och kommunicera om data. Visualiseringsverktyg (t.ex. värmekartor, trädkartor) ger dataanvändare annan information om ett komplett dataset som kan delas säkert innan en transaktion slutförs. Provtagningsverktyg genererar automatiskt representativa dataprover baserade på algoritmer för att undvika partiskhet. Dataanvändare och dataleverantörer kommunicerar med hjälp av ett meddelandeverktyg som är inbäddat i plattformen. Dessutom stöder Dawex förhandlingarna om avtalet genom modellvillkor som automatiskt kan genereras.

API-AGRO är ett jordbruksdatadelningsnav som använder Dawex-tekniken. Denna teknik främjar ett jordbruksekosystem med många aktörer och en neutral mellanhand (Api-Agro-plattformen) där det finns en tydlig åtskillnad mellan förmedlingsrollen och annan verksamhet som rör användningen av data. API-Agro tjänar inte pengar på data, utan fungerar som en neutral tredje part som kopplar samman datainnehavare och dataanvändare.

Dataaltruism

Vilka är de viktigaste målen?

Dataaltruism handlar om individer och företag som ger sitt samtycke eller tillstånd att tillgängliggöra data som de genererar – frivilligt och utan belöning – för att användas i allmänhetens intresse. Sådana data har en enorm potential att främja forskning och utveckla bättre produkter och tjänster, även på områdena hälsa, miljö och rörlighet.

Forskning tyder på att det i princip finns en vilja att engagera sig i dataaltruism, men i praktiken hämmas detta av bristen på verktyg för datadelning. Målet med dataförvaltningslagen är därför att skapa betrodda verktyg som gör det möjligt att dela data på ett enkelt sätt till gagn för samhället. Det kommer att skapa de rätta förutsättningarna för att garantera enskilda och företag att när de delar sina uppgifter kommer de att hanteras av betrodda organisationer på grundval av EU:s värderingar och principer. Detta kommer att göra det möjligt att skapa datapooler av tillräcklig storlek för att möjliggöra dataanalys och maskininlärning, även över gränserna.

Hur fungerar det i praktiken?

Enheter som tillhandahåller relevanta data baserade på dataaltruism kommer att kunna registrera sig som ”dataaltruismorganisationer som erkänns i unionen”. Dessa enheter måste ha en icke-vinstdrivande karaktär och uppfylla transparenskraven samt erbjuda särskilda skyddsåtgärder för att skydda rättigheterna och intressena för medborgare och företag som delar sina uppgifter. Dessutom måste de följa regelboken (senast 18 månader efter det att den trätt i kraft), där det fastställs informationskrav, tekniska krav och säkerhetskrav, färdplaner för kommunikation och rekommendationer om standarder för driftskompatibilitet. Regelboken kommer att utarbetas av kommissionen i nära samarbete med dataaltruismorganisationer och andra berörda parter.

Enheterna kommer att kunna använda den gemensamma logotyp som utformats för detta ändamål och kan välja att ingå i det offentliga registret över data-altruismorganisationer. Ett register på EU-nivå över erkända dataaltruismorganisationer kommer att inrättas av kommissionen för informationsändamål.  

Ett gemensamt europeiskt samtyckesformulär för dataaltruism kommer att göra det möjligt att samla in uppgifter i medlemsstaterna i ett enhetligt format, så att de som delar deras uppgifter enkelt kan ge och dra tillbaka sitt samtycke. Det kommer också att ge rättssäkerhet för forskare och företag som vill använda data baserade på altruism. Detta kommer att vara en modulbaserad form som kan anpassas till behoven inom specifika sektorer och ändamål.

Exempel

MyData Global strävar efter att ”befoga individer genom att förbättra deras rätt till självbestämmande när det gäller deras personuppgifter.” Medan det övergripande målet sträcker sig bortom dataaltruism, tillhandahåller organisationen ett pålitligt gränssnitt för medlemmar att ge samtycke till användningen av deras personuppgifter för specifika ändamål.

Plattformen Smart Citizen gör det möjligt för medborgarna att dela data om bullernivåer och föroreningar i hemmet som samlats in via sensorer. Detta ger viktig information för att kartlägga buller och luftkvalitet, och för forskare och regeringar att utveckla riktade lösningar på dessa frågor.

Den tyska Corona-Datenspende-App skapades för att samla in data (t.ex. puls, kroppstemperatur, blodtryck, sömnmönster) från fitnessarmband och smartwatches. Genom att övervaka dessa data skulle forskare på ett tidigt stadium kunna identifiera möjliga covid-19-hotspots.

Europeiska datainnovationsstyrelsen

Vilka är de viktigaste målen?

I enlighet med vad som anges i DGA inrättade kommissionen Europeiska datainnovationsstyrelsen (EDIB) för att underlätta utbyte av bästa praxis, särskilt när det gäller dataförmedling, dataaltruism och användning av offentliga data som inte kan göras tillgängliga som öppna data, samt för prioritering av sektorsövergripande interoperabilitetsstandarder.

Hur fungerar det i praktiken?

EDIB omfattar företrädare för följande enheter:

  • Medlemsstaternas behöriga myndigheter för dataförmedling
  • Medlemsstaternas behöriga myndigheter för dataaltruism
  • Europeiska dataskyddsstyrelsen
  • Europeiska datatillsynsmannen
  • Europeiska unionens cybersäkerhetsbyrå (Enisa)
  • Europeiska kommissionen
  • EU:s företrädare för små och medelstora företag som utsetts av nätverket av företrädare för små och medelstora företag
  • andra företrädare för relevanta organ som valts ut av kommissionen genom en utlysning av experter.

Listan över EDIB-medlemmar finns här:  Register över kommissionens expertgrupper och andra liknande enheter (europa.eu).

Edib kommer att ha befogenhet att föreslå riktlinjer för gemensamma europeiska dataområden, till exempel om adekvat skydd för dataöverföringar utanför unionen.

Internationella dataflöden

Vilka är de viktigaste målen?

I den europeiska datastrategin från februari 2020 erkändes vikten av att ha en öppen men ändå självsäker strategi för internationella dataflöden.

Internationella dataöverföringar kan frigöra den betydande socioekonomiska potentialen hos den stora mängd data som genereras inom EU och därigenom öka unionens internationella konkurrenskraft på den globala arenan, samtidigt som den bidrar till ekonomisk tillväxt, vilket är avgörande särskilt i återhämtningsskedet efter covid-19.

DGA spelar en viktig roll för att stärka Europeiska unionens öppna strategiska oberoende, men bidrar också till att skapa förtroende för internationella dataflöden.

Hur fungerar det i praktiken?

Den allmänna dataskyddsförordningen har infört alla nödvändiga skyddsåtgärder i samband med personuppgifter, men det är tack vare DGA som liknande skyddsåtgärder finns för åtkomstförfrågningar från tredjeländer i samband med icke-personuppgifter.

Dessa skyddsåtgärder gäller alla scenarier och bestämmelser som fastställts av DGA, nämligen för data från den offentliga sektorn, dataförmedlingstjänster och dataaltruismkonstellationer. Vidareutnyttjaren i tredjelandet kommer att behöva säkerställa samma skyddsnivå med avseende på uppgifterna i fråga som den skyddsnivå som garanteras i EU-lagstiftningen, samt godta respektive EU-jurisdiktion.  

Om det bedöms nödvändigt får kommissionen anta ytterligare beslut om adekvat skyddsnivå för överföring av offentligt skyddade uppgifter för vidareutnyttjande när det gäller en begäran om tillgång till icke-personuppgifter från ett tredjeland. Dessa beslut om adekvat skyddsnivå kommer att likna besluten om adekvat skyddsnivå i samband med överföring av personuppgifter enligt den allmänna dataskyddsförordningen.

Dessutom ger DGA kommissionen befogenhet att göra standardavtalsklausuler tillgängliga för offentliga myndigheter och vidareutnyttjare för scenarier där data från den offentliga sektorn deltar i dataöverföringar med tredjeländer.

Läs mer

Översikt

Europeiska dataförvaltningsakten

En europeisk dataförvaltningsakt, som är helt i linje med EU:s värderingar och principer, kommer att medföra betydande fördelar för EU:s medborgare och företag.

Se också

EU:s register över dataförmedlingstjänster

DGA skapar ett ramverk för att främja en ny affärsmodell – dataförmedlingstjänster – som kommer att ge en tillförlitlig och säker miljö där företag eller privatpersoner kan dela data.