Vanaf 24 september 2023 is in de hele EU de Data Governance Act (DGA) van kracht. Dit betekent dat er sinds kort nieuwe mogelijkheden zijn voor partijen om data uit te wisselen en te hergebruiken. Doel van de DGA is om de toegang tot data voor partijen die deze willen gebruiken te vereenvoudigen. Ook biedt de verordening kaders om ervoor te zorgen dat personen en organisaties hun data op een veilige en makkelijke manier kunnen delen.
Achtergrond
Omdat het gaat om een Europese verordening, net als eerder de GDPR en binnenkort ook de AI Act, heeft deze rechtstreekse werking in Nederland. De DGA is onderdeel van de European Strategy for Data van de Europese Unie. Dit is een pakket van op elkaar aansluitende wetten, waaronder bijvoorbeeld ook de Data Act valt (die regels geeft voor de toegang tot IoT-data) en de European Health Data Space (over de zeggenschap rond elektronische gezondheidsgegevens). Het overkoepelende doel hiervan is het genereren, delen en gebruik van data zo veel mogelijk te stimuleren en het tegelijkertijd zo veilig mogelijk te maken. Bijvoorbeeld ten behoeve van medisch onderzoek, slimme apparaten, machine learning en het trainen van kunstmatige intelligentie.
Door de snelle technische ontwikkelingen en de noodzaak om de risico’s hiervan in goede banen te leiden komt er nu in hoog tempo allerlei regelgeving op ons af. Als organisatie is het de kunst om hier het overzicht over te houden, iets waar we als VKA uiteraard graag bij helpen. Kijken we naar de DGA, dan valt op dat het over meer gaat dan data-governance alleen. Naast het benoemen van rollen en verantwoordelijkheden, worden namelijk ook een aantal nieuwe rechten en verplichtingen en in het leven geroepen.
Rollen
Onderstaand schema toont de verschillende rollen die de DGA kent in hun onderlinge samenhang. De pijlen die er overheen lopen geven aan bij welk type dataverzoeken zij betrokken kunnen zijn. Deze verzoeken lichten we vervolgens kort toe.
Hergebruik gegevens openbare lichamen
Een belangrijke rol in de DGA is die van openbaar lichaam. Dat zijn overheidsorganisaties of publieke instellingen die op basis van deze verordening een verzoek tot hergebruik van bepaalde beschermde gegevens kunnen ontvangen. Het gaat dan specifiek over gegevens die wettelijk beschermd zijn en daardoor niet vrijelijk gedeeld mogen worden. Voorbeelden hiervan zijn persoonsgegevens of data die met intellectueel eigendom beschermd zijn. Zij mogen alleen in geaggregeerde vorm of met toestemming van betrokkenen of rechthebbenden gedeeld worden.
Potentiële hergebruikers kunnen bij een openbaar lichaam een verzoek tot hergebruik indienen. Dit kan op twee manieren. Ten eerste bij het openbaar lichaam zelf. Dit betekent dat het openbaar lichaam een loket moet inrichten waar dergelijke verzoeken aan gericht kunnen worden. Een andere manier voor hergebruikers om een verzoek in te dienen is via het centraal informatiepunt. Daar kan men tevens informatie inwinnen over de beschikbare data. De DGA regelt verder dat openbare lichamen zich bij de afwikkeling van verzoeken tot hergebruik mogen laten bijstaan door een bevoegd orgaan. In de Memorie van Toelichting bij de (nog niet aangenomen) Uitvoeringswet voor de DGA wordt het voornemen vermeld om in ieder geval het CBS deze rol te laten vervullen.
Databemiddelingsdiensten en data-altruïsme
Naast hergebruik van data van openbare lichamen, kent de DGA nog twee manieren om toegang tot data van derden te krijgen.
De eerste is via een databemiddelingsdienst. Dat is een organisatie die bemiddelt tussen datasubjecten/gegevenshouders en gegevensgebruikers en daarbij een commerciële relatie tussen deze partijen tot stand brengt. Databemiddelingsdiensten die onder de definitie van de DGA vallen moeten zich verplicht aanmelden de bevoegde autoriteit (voorlopig is dat de ACM). In Nederland zijn vooralsnog geen gevallen bekend van databemiddelingsdiensten. Voorbeeld van een buitenlands initiatief dat mogelijk wel als databemiddelingsdienst kwalificeert is Dawex. Dat is een platform dat datadistributie en datadeling in een beveiligde en betrouwbaar ecosysteem faciliteert en daarmee vraag (datagebruikers) en aanbod (datahouders) met elkaar in verbinding brengt.
De tweede mogelijkheid is om gegevens te gebruiken die zijn verzameld door een organisatie voor data-altruïsme. Kenmerkend hiervoor is dat de gegevens verzameld zijn met het oog op het algemeen belang. De DGA geeft strikte regels voor erkenning van data-altruïstische organisaties, die voor de Nederlandse situatie in de Uitvoeringswet zullen worden uitgewerkt. Voorbeeld van een Europese dienst die mogelijk als organisatie voor data-altruïsme kwalificeert is Smart Citizen. Dat is een platform waarop burgers vrijwillig via sensoren in huis data over luchtkwaliteit en geluidsniveaus delen. Overheden, beleidsmakers en onderzoekers kunnen hier dan gebruik van maken.
Aan de slag
Duidelijk is dat de DGA meer betekent dan nieuwe regels voor data governance alleen. De concrete impact ervan hangt echter direct samen met de rol die je hebt, of zou willen hebben.
Partijen die direct met de verplichtingen uit de DGA te maken krijgen, zijn (semi-)overheidsinstellingen die kwalificeren als openbaar lichaam. Deze kunnen immers ook nu al een verzoek tot hergebruik ontvangen, dat dan in principe binnen twee maanden moet worden afgewikkeld. Ten eerste betekent dit dat hiervoor een loket moet zijn. Daarnaast zul je als openbaar lichaam goed zicht moeten hebben op de beschikbare data en een werkproces om verzoeken tijdig af te handelen. En maak je hierbij gebruik van ondersteuning door een bevoegd orgaan, dan zul je met deze partij werkafspraken moeten maken.
Wil je aan de slag als databemiddelingsdienst of data-altruïstische organisatie, dan bestaat de eerste stap uit registratie bij het bevoegd orgaan. De uitvoeringswet wijst hiervoor de ACM aan. Hoewel je in deze rollen aan diverse wettelijke eisen moet voldoen, heb je het tempo waarin je deze stappen zet zelf in de hand.
En last but not least: ook datagebruikers en hergebruikers kunnen met de DGA aan de slag. Met de DGA komen immers tal van potentiële nieuwe databronnen beschikbaar.
Heeft u zelf nog vragen over de DGA, of ben u benieuwd wat deze wetgeving voor uw organisatie betekent? Neem dan vrijblijvend contact op met de auteurs, of één van onze andere Digital Law experts.
Auteurs: Dorus-Jan ten Boom, Sebastiaan Bouthoorn