De Europese Commissie (EC) heeft grootste dataplannen voor Europa. In zijn ‘data governance strategie’ schetst de EC een toekomstbeeld waarin Europese datapools worden gecreëerd waarbinnen data kan worden uitgewisseld tussen Europese sectoren en landen.
Het in december 2020 gepubliceerde concept voor een Data Governance Verordening biedt niet voldoende waarborgen voor data-'eigenaren'.
Eind 2020 presenteerde de EC een concept Data Governance Verordening. Deze Verordening wil o.a. de mogelijkheid creëren voor overheidsinstanties om data van private partijen die zij in hun bezit hebben onder voorwaarden te delen met andere partijen. Het gaat dan om data die beschermd zijn omdat zij commercieel vertrouwelijk zijn (als bedrijfsgeheim), of data die beschermd zijn door intellectuele eigendomsrechten van derden (als databankrecht).
De Verordening bepaalt dat de ‘eigenaren’ van beschermde data toestemming moeten geven voordat de overheidsinstantie het kan delen.
De eerste vraag die rijst is: hoe het zit met data die niet beschermd zijn? Die lijken niet onder de Verordening te vallen. Zijn die data dan vogelvrij? Mogen die onvoorwaardelijk worden gedeeld door overheidsinstanties die ze in bezit hebben?
Verder is de vraag: wie bepaalt of de data zijn beschermd? Moet de ‘eigenaar’ dat aangeven of bepaalt de overheidsinstantie dat? Of uiteindelijk een rechter, nadat de data al zijn gedeeld terwijl dat niet mocht? Omdat de Databankenwet veel aan de interpretatie van de rechter over laat is dit een bron van discussies. Een bedrijfsgeheim is alleen beschermd als het in voldoende mate geheim is gehouden. Hoe stelt de ambtenaar dat vast? En kan de ambtenaar wel altijd de ‘eigenaar’ van de data achterhalen?
Gaat het om alle data die de overheidsinstanties onder zich hebben?
Het wordt daarnaast niet erg duidelijk hoe de overheidsinstanties aan de data van private partijen komen. Omdat er geen schifting wordt gemaakt in het soort data of de manier waarop de data zijn verzameld zouden daar potentieel bijvoorbeeld ook data die door toezichthouders worden verzameld tijdens handhavingsonderzoeken onder kunnen vallen of data die de Belastingdienst over bedrijven heeft. Ik vraag me af hoe wenselijk het is dat andere partijen toegang krijgen tot dat soort data.
Wanneer mogen de data worden gedeeld?
Ook blijft de Verordening vrij algemeen over de gevallen waarin een overheidsinstantie de data mag delen. De Verordening schrijft voor dat dit kan als ‘de nationale wet de overheidsinstantie de bevoegdheid geeft om de toegang tot de data te weigeren of deze juist te verlenen’. Waar moeten we in Nederland dan aan denken? Aan de Wet openbaarheid van bestuur, die overheidsinstanties ertoe verplicht om bepaalde informatie op verzoek beschikbaar te stellen? De Wet Basisregistratie Natuurlijke Personen? Een ander soort wet?
Hoe veilig zijn de hergebruikte data?
Als er dan eenmaal is vastgesteld dat het om beschermde data gaat waar de toestemming van de ‘eigenaar’ voor nodig is, moet de overheidsinstantie de voorwaarden openbaar maken waaraan de hergebruiker van de data moet voldoen. Daarbij moet in ieder geval een verplichting worden opgelegd om te zorgen voor een beveiligde verwerking van de data. Als het om vertrouwelijke data gaat moeten deze door de hergebruiker geheim worden gehouden (waarbij je je kunt afvragen hoeveel hergebruikers er nodig zijn om de data niet meer als geheim aan te merken).
De praktijk wijst echter uit dat eenmaal vrijgegeven data, ook onder geheimhouding, een eigen leven gaan leiden. Security staat bij niet alle organisaties even hoog op de agenda. Overheidsinstanties hebben ook niet altijd een goede ‘track record’ als het gaat om het beveiligen van gegevens, zoals het recente datalek bij de GGD heeft uitgewezen.
Vraag is ook wie gaat controleren of de hergebruikers zich aan de voorwaarden houden. Welke overheidsorganisatie heeft het belang, de mankracht en middelen om dat te doen?
Met andere woorden: voordat je als private partij toestemming geeft voor het delen van (waardevolle) data zul je daar dus wel twee keer over na moeten denken.
Datasnoepwinkel?
Verder: hoe voorkomen we dat niet-Europese partijen - bijvoorbeeld Chinese, Noord-Koreaanse of Russische - toegang krijgen tot de data, data die bovendien beschermd zijn als bedrijfsgeheim of onder een intellectueel eigendomsrecht? In de Verordening staat weliswaar dat er beperkingen kunnen worden gesteld aan het delen van de data met derde landen (buiten de EU), maar wat let een Chinees staatsbedrijf om via een Europese dochter toegang te krijgen tot ‘onze’ data?
We moeten voorkomen dat we met deze Verordening een Europese datasnoepwinkel voor buitenlandse bedrijven en mogendheden creëren. Het is althans een beetje naïef om te denken dat dat niet zal gebeuren.
Terug naar de tekentafel?
Deze concept Data Governance Verordening schiet naar mijn idee zijn doel voorbij. Als het de bedoeling is om een ‘Europesen data space’ te creëren waarmee Europa innovatie vooruit kan drijven, dan moeten private partijen die – soms zeer waardevolle – data genereren meer zekerheid hebben over of hun data beschermd zijn en wat er met hun data gaat gebeuren. Deze tekst van de Verordening geeft niet voldoende duidelijke kaders om private partijen daar een comfortabel gevoel bij te geven.
Wellicht biedt de in 2021 geplande ‘Datawet’ meer duidelijkheid over bescherming van data, maar dat neemt niet weg dat deze Verordening veel vragen oproept en dat is onwenselijk.
Reactie plaatsen
Reacties