Op weg naar datasoevereiniteit in Europa: “Voorkom misbruik en gemist gebruik van data”

Datasoevereiniteit: Europa wil een leidende positie innemen in een datagedreven wereld. Dat is het doel van de Europese Data Strategie die is gericht op het creëren van één Europese markt voor data – één markt waarin data drempelloos tussen landen en sectoren kan worden gedeeld. Dat levert ongekende voordelen op voor bedrijfsleven, publieke sector en wetenschap. De verwachting is dat de Europese Data Strategie een flinke impact zal hebben op het EU-datalandschap. Wij spraken hierover met Mariane ter Veen, Director en Lead Data Sharing & Public Services bij het internationale consultancybureau INNOPAY.

Hoe zit het met het wereldwijde gebruik van data en het toezicht en de beheersing hiervan?

De mensheid verstuurt volgens schattingen elke dag 269 biljoen e-mails, geeft Google 3,5 miljard zoekopdrachten en bestelt bij Amazon voor meer dan een miljard dollar aan goederen. Dat zijn duizelingwekkende cijfers die een indruk geven van de enorme hoeveelheid data die we uitwisselen. Alles wijst erop dat de uitwisseling van data exponentieel blijft groeien.

Slimme organisaties zien de potentie van deze data en zijn voortdurend op zoek naar mogelijkheden om daarmee waarde te creëren. Tegelijkertijd groeit het bewustzijn onder burgers en consumenten over hun cruciale rol in deze ontwikkeling; het zijn tenslotte hun data, nietwaar? Zou de balans als het gaat om de waarde van data dan niet in hun voordeel moeten doorslaan?

In Europa is er veel aandacht voor de bescherming van persoonlijke data. Met de General Data Protection Regulation (GDPR of AVG) heeft Europa het voortouw genomen. Dit heeft wereldwijd effect gehad. Niet alleen omdat buitenlandse bedrijven eraan moeten voldoen, maar ook omdat overheden elders in de wereld soortgelijke wetgevingen zijn gaan ontwikkelen.

Wat er nu gebeurt, is dat de aandacht verschuift van bescherming van persoonlijke data naar het gebruik van data: misbruik én gemist gebruik van data. Uiteraard wil je voorkomen dat jouw data in handen komt van ongewenste partijen of dat partijen iets met jouw data doen zonder dat je daarvan op de hoogte bent of toestemming hebt gegeven. En soms wil je dat jouw data juist wel wordt gebruikt, maar zijn de voorwaarden niet op orde en is de bescherming van de data niet gewaarborgd.

Misbruik en gemist gebruik van data vormen allebei serieuze bedreigingen voor onze data gedreven samenleving. Denk aan zorginstellingen die onvoldoende data delen, waardoor ze minder efficiënt en minder effectief zorg kunnen verlenen.

Kan je wat vertellen over de Europese ontwikkelingen op dit vlak?

De Europese Data Strategie is gebaseerd op een volstrekt nieuwe visie op het omgaan met data. Je ziet dat Europa erop gericht is een bloeiende dataeconomie te ontwikkelen waarin de mens centraal staat en de voordelen bij hem of haar terecht komen. Brussel is echt bezig om binnen Europa één markt – ‘single market’ – voor data te maken. Waarin ruimte is voor verschillende ‘data spaces’ waarbij burgers en bedrijven in de publieke en private sector niet alleen in juridisch opzicht, maar ook in functioneel opzicht de volledige controle over hun data krijgen. Dat noemen we datasoevereiniteit.

De Europese Data Strategie geeft richting aan bestaande en nieuwe datadeel-initiatieven die datasoevereiniteit als vertrekpunt hebben genomen. De Europese Commissie maakt nu haast met het implementeren van de regulering (Data Governance Act, Digital Market Act, Digital Services Act en de Data Act) die daarvoor de basis legt.

Wat zijn data spaces?

Data spaces zijn decentrale dataecosystemen binnen een bepaald domein waarin afspraken zijn gemaakt over het delen van data. Die ecosystemen bestaan uit organisaties die samen nieuwe business willen creëren, innoveren of hun dienstverlening verbeteren door onderling data uit te wisselen. De afspraken bieden de gekwalificeerde gebruikers van die data spaces de garantie dat ze op een betrouwbare, veilige, eenvoudige en gecontroleerde wijze toegang krijgen tot de benodigde data.

De praktijk biedt al voorbeelden van dergelijke ‘data spaces’. Zo heeft INNOPAY een aantal jaren geleden de ontwikkeling van een data space voor de logistiek gefaciliteerd. Samen met deze sector hebben we het afsprakenstelsel iSHARE ontwikkeld. Een dergelijk afsprakenstelsel vormt de basis van elke data space: heldere afspraken over de toegang tot data. Partijen die zich conformeren aan deze afspraken, kunnen onderling drempelloos data delen.

Inschrijven voor het Actualiteitencongres Dataprotectie & privacy?
Bestel hier eenvoudig je tickets. Of download de brochure voor meer informatie.

Waarom is data soevereiniteit zo belangrijk?

Datasoevereiniteit betekent dat mensen en organisaties controle hebben over de data die ze zelf genereren. Dat ze weten wie toegang heeft tot hun data, en onder welke voorwaarden zij deze data mogen gebruiken, verwerken of inzetten in andere contexten.

In de wereld van mobiele telefonie vinden we datasoevereiniteit heel gewoon. We vinden het vanzelfsprekend dat we ons mobiele nummer kunnen meenemen als we van provider veranderen, of dat we gewoon iemand kunnen bellen die bij een andere provider zit. Om dat mogelijk te maken hebben we ooit afspraken gemaakt (GSM – Global System for Mobile Communication). Dat zouden we ook moeten doen voor domeinen waarin data delen een belangrijke rol speelt: afspraken over hoe je de toegang tot elkaars data regelt. Zodat je gewoon je vrienden, reviews, likes en comments kunt meenemen als je van social channel wisselt. Of dat je je zoekprofielen meeneemt als je van zoekmachine wisselt.

INNOPAY wil een wereld creëren waarin alle mensen en organisaties volledig vertrouwen hebben in en volop gebruik maken van digitale transacties waarbij ze data delen. Voor dat vertrouwen is in onze optiek datasoevereiniteit van cruciaal belang.

Wij doen dan ook veel werk in het ontwikkelen van dat vertrouwen in dataecosystemen. Dat doen we zoals gezegd door afsprakenstelsels op te zetten, zoals eHerkenning, iDEAL en het al genoemde iSHARE. We creëren als het ware de basis voor deze data spaces.

Om deze reden hebben wij het initiatief genomen tot de campagne “Data Sovereignty Now”. Die voeren we samen met andere gelijkgestemde internationale organisaties die allen hetzelfde doel nastreven: een internationale dataeconomie die gebaseerd is op het principe van datasoevereiniteit.

Online platforms als Facebook, Twitter en Whatsapp hebben veel gebruikers. Wat gebeurt er met de data van deze gebruikers?

Op dit moment liggen de voordelen van het gebruik van al deze data vooral bij de platformen zelf. Hun businessmodel is gebaseerd op het gebruik van de data van gebruikers, bijvoorbeeld door inkomsten te genereren met heel gerichte advertenties.

Maar het gaat natuurlijk niet alleen om deze platformen. In feite is dit belangrijk voor alle organisaties. Hoe zit het met de datasoevereiniteit die jouw organisatie aan klanten of partners biedt? Klanten vinden dit belangrijk en zullen hier vragen over stellen. Partners ook.

Alleen als er vertrouwen is, willen mensen en organisaties data delen. Hoe je nu omgaat met data, bepaalt hoe gemakkelijk je in de toekomst kunt beschikken over de benodigde data voor innovatie en de levering van nieuwe producten of betere dienstverlening.

In hoeverre is data soevereiniteit in de praktijk haalbaar en wat is hiervoor nodig?

Data is een nieuw domein. Er zijn veel vragen waarop we nog geen antwoorden hebben. Die antwoorden volgen in de komende jaren. Maar twee dingen zijn hoe dan ook van belang:

1. We kunnen lering trekken uit andere domeinen, zoals telecom en betalingen. In die domeinen hebben mensen en organisaties al controle over hun data.
2. Het is belangrijk om nu de basis op orde te brengen. Als we de zaken nu goed regelen, houden we controle over onze data.

Elke organisatie zou zich druk moeten maken over datasoevereiniteit. Sterker nog: datasoevereiniteit zou aan de basis moeten liggen van elk digitaal MVO-beleid. We pleiten daar al jaren voor. We zouden onze digitale werkelijkheid net zo belangrijk moeten vinden als onze fysieke wereld.

Als we nu niet optreden, lopen we het risico om een digitale wereld te creëren die niet voldoet aan waarden zoals transparantie, veiligheid en privacy. Nu is het tijd om gezamenlijk besluiten te nemen over nieuwe governance-modellen die niet alleen onze data beschermen, maar ook de voordelen daarvan eerlijker verdelen. Een cruciaal onderdeel van de discussie is de vraag wie verantwoordelijk zou moeten zijn voor data. Welke rollen zijn daarbij weggelegd voor overheden, bedrijven en individuele burgers?

Wij geloven dat de datamacht bij burgers en bedrijven moet liggen. Dat leidt onvermijdelijk tot een meer gedecentraliseerd data-paradigma. Wij geloven dat het nu tijd is om wakker te worden en gezamenlijk nieuwe governance-modellen op te zetten voor het veiligstellen van onze digitale toekomst.

Welke invloed heeft deze manier van omgaan met data voor het werk van de Chief Data Protection Officer (CDPO)

Wij zijn als INNOPAY van mening dat het onderwerp van digitale duurzaamheid verankert moet zijn op het hoogste niveau binnen organisaties. Daar begint het mee, want daarmee erken je het belang van een duurzame digitale wereld. En net als bij regulier fysiek MVO-beleid, verwachten we dat het ontwikkelen van digitaal MVO-beleid impact gaat hebben op verschillende functies en rollen. Ik kan me goed voorstellen dat het werkveld van de CDPO gaat verschuiven. Van niet alleen het beschermen van data maar ook naar het voorkomen van gemist gebruik van data.

Wat kan ik als organisatie morgen meteen doen?

Er rust een verantwoordelijkheid op ons allemaal om een gezondere digitale wereld te creëren. Organisaties hebben de kans om leiderschap op dit onderwerp te tonen, door zich te onderscheiden en nu verantwoordelijkheid te nemen. Door te laten zien dat ze digitale duurzaamheid belangrijk vinden. En dat begint met het ontwikkelen van een digitaal MVO-beleid, waarin datasoevereiniteit centraal staat.

Meer weten over het gebruik, de valkuilen en de regulering van data in Europa en daarbuiten? Kom naar het Actualiteitencongres Dataprotectie & privacy en ontvang de laatste ontwikkelingen rondom datadoorgiftes, data delen en van grip op data in ketens.