EU Datastrategie: de Datawet en de Datagovernancewet zijn de grootste game changers en wel hierom!

Met de Europese Datastrategie worden de toegang, het beheer en het delen van gegevens gereguleerd. Het gaat hierbij om persoonsgegevens en niet-persoonsgebonden gegevens. Een groot aantal Europese wetten komt onze kant op en zullen grote impact op organisaties en sectoren hebben. Waarom deze EU Datastrategie, welke wet zal de grootste impact hebben, wat zijn nieuwe rollen of verantwoordelijkheden en wie binnen de organisatie is nu verantwoordelijk voor welke wet? 

We vroegen het aan Ad van Loon, geassocieerd partner bij Hooghiemstra & Partners en keynote spreker op het Dataprotectie & privacycongres over dit complexe en uitdagende onderwerp.  

 Vanuit Brussel komt steeds meer regulering en wetgeving onze kant op, op het gebied van gegevensdeling, technologie, beheersing van platforms & diensten en cybersecurity. Wat is de reden hiervoor en waarom zijn er zoveel verschillende Europese wetten? Had dit niet in 1 grotere, allesomvattende Europese wet gepast?   

Op 19 februari 2020 publiceerde de Europese Commissie haar Europese Datastrategie. Voor deze datastrategie is een aantal doelen: de mens centraal stellen bij de ontwikkeling van technologie, mondiale concurrentie met andere landen en regio’s, Europa in control over data die in Europa wordt gegenereerd, zorgen dat er meer data beschikbaar komt voor economie en samenleving.  

Om genoemde doelen te realiseren moet veel van de reeds bestaande Europese wetgeving op verschillende gebieden worden aangepast en aangevuld. Daarom zijn er sinds 2020 diverse Europese wetten aangenomen of nog in behandeling. Naast algemene regels voor het beheer en het delen van gegevens, die zullen gelden voor alle sectoren van de economie en de samenleving, heeft elke sector zijn eigen kenmerken en niet alle sectoren ontwikkelen zich even snel.   

Het is niet praktisch om dit allemaal in één allesomvattende wet te regelen. Bij een eventuele toekomstige wijziging van een klein onderdeel van zo’n wet, is de kans groot dat in de te volgen procedure de gehele wet opnieuw ter discussie zal komen te staan. Dit risico zal de Europese Commissie ervan kunnen weerhouden om nuttige of noodzakelijke wijzigingen voor te stellen.  

Welke wet zal naar verwachting de grootste impact op organisaties en bedrijfsprocessen hebben en waarom?  

 Met afstand zal dat de Europese Datawet (DW) zijn. Met deze (ontwerp) wet wordt getracht de belemmeringen weg te nemen voor een goed functionerende interne datamarkt, onder andere door het hergebruik van gegevens te bevorderen. Om dit te bereiken zullen gegevens worden losgekoppeld van de producten en diensten waardoor deze worden gegenereerd.  

De Datawet geeft de gebruikers van apparaten die gebruiksgegevens genereren en delen, toegang tot die gegevens. Gebruikers kunnen individuen zijn of organisaties. Gebruikers zullen door hen gegenereerde gegevens straks zelf kunnen delen met derden. Het gaat om de gegevens die zij genereren door het gebruik van apparaten die gekoppeld zijn aan netwerken via welke deze gegevens kunnen worden doorgegeven. Het gaat bijvoorbeeld om slimme meters, stappentellers, voertuigen, maar ook smartphones en smartTV’s. 

De Datawet dient in samenhang te worden gelezen met de Datagovernancewet (de Europese wet over gegevensbeheer – DGW). De DGW regelt op welke wijze waarde kan worden gecreëerd met data (commerciële waarde via gegevensdelingsdiensten en maatschappelijke waarde via gegevensaltruïsme). De DW vult de DGW aan door duidelijk te maken wie waarde mag creëren uit data en onder welke voorwaarden. 

Deze twee Europese wetten zullen een enorme game changer zijn voor bedrijven die gegevens onder zich houden van klanten die deze gegevens genereren doordat zij gebruik maken van de producten en aanverwante diensten van de desbetreffende bedrijven. Bedrijven zullen die gegevens niet meer zomaar voor eigen doeleinden mogen delen met derden, zonder dat daarover contractuele afspraken worden gemaakt met de gebruikers van hun producten en daaraan gekoppelde diensten. Dit kan enorme gevolgen hebben voor bijvoorbeeld de Adtech en de Real-Time Bidding industrie.

Bovendien zullen bedrijven ook moeten investeren in een technische interface, zodat zij de door de gebruikers van hun producten en diensten gegenereerde gegevens op verzoek van die gebruikers, kunnen delen met door die gebruikers geselecteerde derden.  

Wat zijn nieuwe rollen of verantwoordelijkheden die in de Europese wetten centraal staan?  

Er komen nieuwe diensten voor het delen van persoonsgegevens en van niet-persoonsgebonden gegevens. De DGW introduceert “gegevensdelingsdiensten” en “gegevensaltruïsme”. 

Gegevensdeling betreft de “verstrekking van gegevens door een gegevenshouder aan een gegevensgebruiker, met het oog op gezamenlijk of individueel gebruik van de gedeelde gegevens, op basis van vrijwillige overeenkomsten, hetzij rechtstreeks, hetzij via een bemiddelaar.” Er zullen dan ook bemiddelingsdiensten voor gegevensdeling kunnen ontstaan.

Gegevensaltruïsme gaat over de toestemming van individuen om persoonsgegevens die op hen betrekking hebben te verwerken, of toestemmingen van individuen of organisaties om door hen gegenereerde niet-persoonsgebonden gegevens te gebruiken zonder een vergoeding te vragen, met het oog op het algemene belang, zoals wetenschappelijk onderzoek of verbetering van openbare diensten. Organisaties die aan gegevensaltruïsme willen doen mogen onder andere geen winstoogmerk hebben, moeten zijn opgericht om doelstellingen van algemeen belang te verwezenlijken, moeten transparant zijn en voldoen aan de eisen van de Europese Commissie wat betreft de informatie-, beveiligings- en interoperabiliteitsnormen.

In het geval van gegevensaltruïsme zullen betrokkenen toestemming moeten geven en datahouders zullen er akkoord mee moeten gaan. Er komt een Europees toestemmingsformulier voor gegevensaltruïsme, waarmee toestemming of toelating makkelijker moet worden verkregen maar ook om toestemming weer in te trekken.  

Rondom het beheer en het delen van gegevens die in handen zijn van overheidsinstanties is veel te doen en is regulering in aantocht. Wat zijn hierbij de grootste uitdagingen en waarom?  

Qua uitdagingen rondom het beheer en het delen van gegevens denk ik aan het volgende:  

• De DGW bevat regels voor het hergebruik van gegevens in bepaalde categorieën die in het bezit zijn van overheidsinstanties. Het gaat om gegevens die beschermd zijn op grond van het handelsgeheim, maar vaak niet beschikbaar zijn om te delen. Daar wil de Europese wetgever met de DGW verandering in brengen.  

• Overeenkomsten die het hergebruik van gegevens die in het bezit zijn van overheidsinstanties beperken, waarbij exclusieve rechten worden toegekend of die tot doel of gevolg hebben dergelijke exclusieve rechten toe te kennen of de beschikbaarheid van gegevens voor hergebruik door andere entiteiten dan de partijen bij dergelijke overeenkomsten te beperken, worden verboden. 

• Overheidsinstanties mogen de toegang met het oog op hergebruik verlenen of weigeren. Zij moeten de voorwaarden voor het toestaan van dat hergebruik en de procedure om toestemming voor hergebruik aan te vragen openbaar maken. Die voorwaarden moeten niet-discriminerend, transparant, evenredig en objectief gerechtvaardigd zijn wat betreft de gegevenscategorieën, het doel van het hergebruik en de aard van de gegevens waarvoor hergebruik wordt toegestaan. Die voorwaarden mogen niet worden gebruikt om de mededinging te beperken.  

• Voor het geven van toestemming voor hergebruik mogen overheidsorganisaties een vergoeding vragen. Dergelijke vergoedingen moeten wel transparant, niet-discriminerend, evenredig en objectief gerechtvaardigd zijn. De gegevens mogen desgewenst tegen een gereduceerde vergoeding of kosteloos ter beschikking worden gesteld aan MKB-bedrijven, start-ups, maatschappelijke organisaties of onderwijsinstellingen.  

Een veel gehoord issue bij deze acts is, wie in de organisatie is verantwoordelijk voor welke Act? In hoeverre staat in deze acts duidelijk welke functie verantwoordelijke is en wat is hierover bekend?  

Het antwoord op deze vraag is niet eenvoudig te beantwoorden.  

Tussenpersonen zullen vormen van gegevensdelingsdiensten gaan aanbieden. Zij zullen diensten gaan aanbieden aan gegevenshouders, gegevensgebruikers en gebruikers die door hun gebruik van bepaalde producten en diensten gegevens genereren die worden gedeeld met de aanbieder van die producten en diensten. Compliance afdelingen zullen moeten bewaken of aan de wettelijke eisen wordt voldaan. Juridische afdelingen zullen overeenkomsten moeten gaan opstellen met gebruikers van de producten of diensten van hun organisatie, zodat hun organisatie ook voor eigen doeleinden kan beschikken over de data die de gebruikers genereren.

Data Protection Officers & Security Officers zullen moeten samenwerken om de reeds bestaande gegevensbeschermingseffectbeoordelingen (ook wel DPIA’s genoemd) aan te passen. Security Officers zullen ook moeten sparren met de IT-afdelingen en mogelijk met externe aanbieders van datakoppelingen om de beveiliging van de gegevensontsluiting en het dataverkeer op orde te brengen. Openbare organisaties zullen de in de DGW vastgelegde procedures moeten inrichten en gaan volgen. Organisaties die aan gegevensaltruïsme willen doen zullen daarvoor een juridisch onafhankelijke structuur moeten creëren.   

Welke issues of uitdagingen rondom de EU Datastrategie gaat u in uw key-note EU Datastrategie behandelen en waarom mogen geïnteresseerden deze niet missen?  

Tijdens mijn key-note op het DPP2023 ga ik dieper in op: de inhoud, de maatschappelijke context, de economische impact en de juridische gevolgen van de Europese Datastrategie. Maar ook de kansen die de Europese Datastrategie zal bieden voor innovatie, beter functionerende markten, kostenbesparing, nieuwe verdienmodellen en een betere bescherming van de rechten van het individu. Ook sta ik stil bij de uitdagingen en kansen van de Europese Datastrategie voor bedrijven, overheden en individuen. 

Mocht er tijd over zijn dan zal ik een sluiter oplichten over wat er ondertussen in de financiële sector met uw betaalgegevens gaat gebeuren.