Ontwikkelingen in de Europese datastrategie: van AVG naar Data Act
Pieter Wolters, Associate Professor, Radboud University Nijmegen
In de Europese datastrategie ligt de nadruk niet alleen op het beschermen van gegevens, maar ook op het delen ervan. Pieter Wolters van de Radboud Universiteit vertelt over de mogelijke impact van de Data Act op het werk van privacyprofessionals.
Met de Europese datastrategie werkt de Europese Unie aan een interne markt voor data, die bijdraagt aan innovatie en economische groei. Het uitgangspunt daarbij is dat gegevens binnen de EU – door alle lidstaten en alle sectoren – vrij stromen. De Data Act, waarvan het eerste voorstel in februari 2022 door de Europese Commissie is opgesteld, is een kernpijler van de datastrategie van de EU.
“De Europese datastrategie kent twee belangrijke componenten: het beschermen van persoonsgegevens, en het op een verantwoordelijke manier delen van data”, vertelt Pieter Wolters, universitair hoofddocent aan de Radboud Universiteit en een van de sprekers tijdens het Dataprotectie & Privacy Congres van Outvie. “De afgelopen jaren is door de grote aandacht voor de Algemene Verordening Gegevensbescherming (AVG) veel nadruk komen te liggen op de bescherming van persoonsgegevens. De actieve en soms strenge houding van rechters en toezichthouders heeft daar ook aan bijgedragen. In zekere zin is daardoor het vraagstuk van data-uitwisseling in het gedrang gekomen. De Data Act – en in mindere mate ook de Data Governance Act die al eerder is ontwikkeld vanuit de Europese datastrategie – is bedoeld om meer balans te brengen tussen privacy aan de ene kant en waardecreatie met data aan de andere kant.”
Veelkoppig monster
Wolters houdt zich als onderzoeker vanuit privaatrechtelijk perspectief bezig met actuele ontwikkelingen in privacy en cybersecurity. De komst van de Data Act raakt zowel overheden als het bedrijfsleven. “De Data Act is een veelkoppig monster: de verordening is gericht op verschillende actoren en sectoren, en geldt voor persoonsgegevens én niet-persoonsgebonden data. De rode draad is het toegankelijk maken van data. Zo krijgen niet alleen verwerkers van persoonsgegevens, maar ook producenten en ontwikkelaars van diensten te maken met regels en verplichtingen om data makkelijk deelbaar te maken.”
In de dagelijkse werkpraktijk van privacyprofessionals is de AVG een belangrijke leidraad. Straks komt daar dus de Data Act bij. Hoe verhouden de twee verordeningen zich tot elkaar? Wolters: “De AVG speelt een grote rol in de Data Act: de Data Act verwijst veelvuldig naar de regels van de AVG als het gaat om dataprotectie. Een van de kernelementen van de Data Act – het versterken van de positie van gebruikers door hen meer controle te geven over de toegankelijkheid en het gebruik van hun data – komt in principe ook ten goede aan privacy.
Tegelijkertijd betekenen de nieuwe regels en verplichtingen om data te delen soms dat de bescherming van persoonsgegevens vermindert ten faveure van het creëren van waarde met data. Er zit nu eenmaal een spanning tussen de twee hoofddoelstellingen van de datastrategie: data beschermen en data toegankelijk maken.”
Waarde uit data
Het voorstel voor de Data Act wordt momenteel beoordeeld door het Europees Parlement en de regeringen van de lidstaten. De European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS) hebben zich in een gezamenlijk advies aan de Europese Commissie al kritisch uitgelaten over de concept-verordening. “Het grote issue voor de toekomst is om een manier te vinden waarop we privacy kunnen blijven beschermen en toch meer waarde kunnen halen uit data. In theorie is er niet bij alle data sprake van persoonsgegevens. Maar in de praktijk zijn bijna alle data tegenwoordig persoonsgegevens, of is de kans groot dat informatie toch tot een persoon herleidbaar wordt. Daarom moeten organisaties die data delen er altijd rekening mee houden dat er mogelijk persoonsgegevens worden verwerkt.”
Wolters verwacht dat de gevolgen van de Data Act voor veel organisaties niet zo ingrijpend zullen zijn als van de AVG. “Vooral voor producenten en ontwerpers van diensten verandert er veel, omdat zij met allerlei nieuwe verplichtingen te maken krijgen. Organisaties die al ver zijn gevorderd met AVG-compliance moeten een aantal organisatorische en technische zaken goed regelen. Er moet bijvoorbeeld een systeem worden ingericht om het makkelijker te maken om data te delen, op een gebruiksvriendelijke en interoperabele manier. Maar mogelijk kunnen organisaties daarbij voortbouwen op de processen en systemen voor inzage, correctie en dataportabiliteit die al zijn georganiseerd vanuit de AVG.”
Een belangrijk vraagstuk waarover nog veel onzeker is, heeft te maken met de handhaving. “De ervaringen met richtlijnen zoals de AVG hebben geleerd dat de impact op de praktijk in belangrijke mate afhankelijk is van de opstelling van de toezichthouders. Hoe strikt worden de regels geïnterpreteerd? Hoe actief gaat er gehandhaafd worden?” Over de organisatie van het toezicht op de naleving van de Data Act wordt nog volop gediscussieerd.
Van privacy by design naar verantwoord datagebruik
“De AVG gaat in essentie om het privé houden van persoonsgegevens. Door de Data Act zal de balans tussen het beschermen en het gebruiken van data misschien wat meer in de richting van toegankelijkheid verschuiven”, vat Wolters samen. “De uitdaging voor privacyprofessionals is om mee te denken over goede manieren om privacy te beschermen en toch waardecreatie mogelijk te maken.”
Zorg dat je tijdig bent aangehaakt op de komst van de Data Act, adviseert Wolters. “We kennen privacy by design van de AVG, en idealiter vindt verantwoord datagebruik ook plaats volgens dergelijke principes. Je kunt dan bij het ontwerpen van nieuwe systemen, producten en diensten al rekening houden met de toegankelijkheid die de Data Act vereist.”
Alle actuele inzichten in next step compliance, het verantwoord omgaan met data, data governance en e-privacy opdoen? Tijdens het Dataprotectie & Privacy Congres op 6 en 7 oktober in Amsterdam geven experts antwoord op de vragen. Kijk voor informatie over de keynotes, powertalks en break-outs op de website van Outvie.
Certified Data Protection Officer®
Deze opleiding is speciaal voor de gevorderde Data Protection Officer ontwikkeld. Met de titel...
Privacy Officer 2.0
Realiseer een privacy bewuste én compliant organisatie. De training Privacy Officer 2.0 bereidt u...
Download de brochure Dataprotectie & Privacy congres
Share
