skipToContentskipToFooter

19-02-2025

EU komt met regels voor data delen

E

Veilig en eenvoudig data uitwisselen dankzij wetgeving

Volgens de Europese Commissie leven we in het digitale decennium, waarin Europa zich moet voorbereiden op de digitale transformatie in 2030. Hier komt veel wet- en regelgeving bij kijken die niet alleen overheden, maar zeker ook het bedrijfsleven raakt. Data delen wordt de nieuwe norm.

Wie bij de afkorting DGA denkt aan directeur-grootaandeelhouder, heeft natuurlijk gelijk. Maar DGA verwijst ook naar de Data Governance Act, afkomstig uit de datastrategie van de Europese Commissie. En dan is er ook nog de afkorting DA, oftewel de Data Act, een andere Europese wet. Zowel DGA als DA komt voort uit de in 2019 genomen beslissing van de Europese Commissie om het lopende decennium uit te roepen tot digital decade. “We gaan digitaliseren en dat verder aanjagen, in lijn met Europese waarden”, sprak Commissievoorzitter Ursula von der Leyen. Ze beloofde in diezelfde speech dat Europa allerlei regelingen zou gaan optuigen rondom nieuwe fenomenen als blockchain en artificial intelligence (AI). Het streven was om niet alleen te zorgen voor een goede infrastructuur, maar ook voor de juiste mensen, landelijke overheden die zélf goed gedigitaliseerd zijn, burgers die goed geholpen worden en bedrijven die ondersteund worden bij hun digitaliseringsplannen.  

”Alles in lijn met Europese waarden”

voorzitter Ursula von der Leyen

Europese Commissie

EU-komt-met-regels-voor-data-delen-4.jpg


Veilig delen

Een belangrijk uitgangspunt van de digital decade is dat data niet alleen overal in de Europese Unie (EU) beschikbaar zijn, maar ook dat die veilig zijn te delen. Het idee is dat er één Europese centrale databank komt, waarin bijvoorbeeld een Duitse wijnhandelaar data over de alcoholpercentages van Spaanse Rioja kan bekijken, terwijl een Frans transportbedrijf inzichtelijk krijgt wat in Polen de meest gereden routes zijn en wat op die trajecten het gemiddelde brandstofverbruik van vrachtauto’s is. De toenmalige Nederlandse minister van Economische Zaken Eric Wiebes speelde in 2019 vrijwel direct in op de Europese wetgeving en zette een flink aantal lijnen uit voor een Nederlands datadeelbeleid. Wiebes vond dat delen van data bij voorkeur vrijwillig moest zijn. Maar als dat niet snel op gang kwam, sloot hij verplichtingen niet uit. De VVD-bewindsman stelde wel dat particulieren en bedrijven grip moesten kunnen houden op hun gegevens.

Een wijngaard in de Moezel. Data over de Duitse wijnbouw komen in de toekomst breder beschikbaar.

EU-komt-met-regels-voor-data-delen-2.jpg

Betrouwbaar

Een van de eerste dingen waar het ministerie echter tegenaan liep was het ontbreken van vertrouwen. Vooral bedrijven hadden meteen hun bedenkingen: wat gebeurt er met mijn data en mogen die allemaal zomaar worden gedeeld? Veel bedrijven houden hun informatie − zeker vertrouwelijke, concurrentiegevoelige gegevens − ook vandaag de dag liever veilig in de kluis. De Europese Commissie begrijpt dat en heeft met de Data Governance Act (die in september 2023 in werking is getreden) een duidelijk reglement opgesteld.

Veel bedrijven houden hun informatie ook vandaag de dag liever veilig in de kluis

Het belangrijkste doel van de DGA is dat data delen betrouwbaar moet zijn. Overheden, maar ook instanties als het Centraal Bureau voor de Statistiek en de Kamer van Koop­handel hebben bijvoorbeeld data waarop rechten van derden zitten. Niet alleen persoonsgegevens, maar ook soms gevoelige bedrijfsinformatie. Met de DGA wordt geregeld dat delen van die data niet exclusief met één partij kan worden afgesproken. Andere belanghebbenden moeten zo’n verzoek ook kunnen doen en de bewuste informatie (onder dezelfde voorwaarden) kunnen inzien. Populair gezegd: als de overheid data vrijgeeft, zijn die beschikbaar voor iedereen.

Privacy is belangrijk, maar als de overheid data vrijgeeft, zijn die beschikbaar voor iedereen.

EU-komt-met-regels-voor-data-delen-3.jpg

Neutraliteit

Een tweede belangrijk onderdeel van de DGA is een ‘databemiddelingsdienst’. Deze dienst regelt het delen van data door commerciële relaties, waarvan het aantal in principe onbeperkt is. Denk aan vijf brouwerijen die een stichting ter bevordering van alcoholvrij bier willen oprichten en hun beschikbare data willen kunnen delen. Een voorwaarde in Nederland is in zo’n geval registratie vooraf bij de Autoriteit Consument en Markt (ACM) en garanderen van neutraliteit. Met dat laatste wordt bedoeld dat de gedeelde informatie niet mag worden gebruikt voor andere doeleinden dan is afgesproken. Deelnemende bedrijven hebben zelfs een meldplicht van eventueel misbruik. Verder regelde de Europese Commissie een label voor het gebruik van data van algemeen belang − data-altruïsme, met een duur woord − en is er een European Data Innovation Board opgericht. Dit genootschap gaat alle ingevoerde maatregelen in goede banen leiden en de naleving ervan controleren.

En hier komt de reeds genoemde Data Act om de hoek kijken. De DA zorgt voor duidelijke regels voor wie er bij welke data mag. De regels gaan gelden voor producten van bedrijven, voor diensten en serviceverlening en niet in de laatste plaats voor clouddiensten. De verwachting is dat de DA in september 2025 in Nederland in werking treedt, want de Raad van State en het parlement moeten er eerst nog naar kijken. Dat betreft niet zozeer de inhoud van de DA (daar valt niet meer aan te tornen), maar vooral hoe we in Nederland het toezicht op de naleving organiseren en welke sancties er gelden bij overtredingen. Zoals het er nu naar uitziet, wordt ACM de toezichthouder. 

Fabrikanten moeten hun producten zó inrichten dat de data die ze verzamelen kunnen worden gedeeld met een derde partij

Alles met een sensor

Dat dit toezicht in toenemende mate belangrijk wordt mag duidelijk zijn. Denk alleen al aan een ontwikkeling als internet of things. Auto’s, maar ook televisietoestellen en zelfs koelkasten verzamelen vandaag de dag enorme hoeveelheden data. Auto’s zitten vol sensoren die van alles waarnemen, smartphones weten waar hun eigenaar is en wat die allemaal doet. Voor (het beschermen van) die gegevens zijn er in de Data Act regels opgesteld. Een vuistregel, zoals een Europese diplomaat het treffend verwoordt, is dat álles met een sensor onder de Data Act valt. “Tot windmolens aan toe.” Op dit moment is het nog zo dat data die uit een product rollen vooral alleen aan de fabrikant toevallen. Opel weet alles over Opels, maar iemand die in een Opel rijdt heeft die gegevens niet. Dat gaat veranderen; fabrikanten moeten hun producten zó inrichten dat de data die ze verzamelen kunnen worden gedeeld met een derde partij. Maar dan alleen als de gebruiker (de Opel-rijder in ons voorbeeld) dat goed vindt.

Geen verdienmodel

Al deze regels gelden voor alle verbonden producten en diensten, wat dat laatste betreft ook zeker software. Een niet onbelangrijke voorwaarde is non-discriminatie. Wie bij een bepaald product een service aanbiedt en op een concurrent stuit die diezelfde service wil gaan bieden (denk aan Bauknecht dat de wasmachines van Miele wil gaan onderhouden) hoeft die data niet te delen. Er mag, als het er toch van komt, een vergoeding voor die data worden gevraagd, maar dat bedrag moet dan wel min of meer in verhouding zijn. Anders gezegd: het mag geen verdienmodel worden. Verder is de DA duidelijk over eenzijdig opgelegde voorwaarden: die zijn niet bindend. Overheden mogen bovendien alleen data opvragen als ze die niet op een andere manier kunnen krijgen. Daarover zijn de nieuwe regels duidelijk: de overheid, ongeacht of dat nou een centrale bank is of de politie, heeft geen open bevoegdheid. Het moet een proportioneel verzoek zijn om data beschikbaar te stellen. Er moet echt iets aan de hand zijn, anders houdt de aanvraag geen stand.

Bedrijven kunnen dan bijvoorbeeld zonder problemen gegevens uit hun verkoopsoftware uitwisselen

Voor clouddiensten zijn de nieuwe regels vooral bedoeld om concurrentie van nieuwe aanbieders te stimuleren. Naar het oordeel van de Europese Unie zijn er iets te veel grote cloud-aanbieders actief die overstappen nogal belemmeren. In 2028 moeten die overstapdrempels helemaal verdwenen zijn, zeggen de regels van de DA. In dat jaar moet het bovendien mogelijk zijn om gelijktijdig gebruik te maken van verschillende diensten. Bedrijven kunnen dan bijvoorbeeld zonder problemen gegevens uit hun verkoopsoftware uitwisselen met zowel het voorraadbeheersysteem als het boekhoudprogramma. Vooral Nederland heeft op deze voorwaarde gehamerd.

Keihard nodig

Tot slot moet volgens de DA software ‘vindbaar, toegankelijk en gebruiksvriendelijk’ zijn. Dat klinkt als een open deur, maar het blijkt een eis te zijn die keihard nodig is. Vooral zaken als machineleesbaarheid, datastructuren en de toegang tot opgeslagen gegevens zijn vaak op z’n zachtst gezegd matig geregeld. Contracten die automatisch worden verlengd mogen ook niet meer, zoals contracten ook niet meer eenzijdig mogen worden opgelegd. Zo bezien vragen DGA en DA het een ander aan inspanningen van het bedrijfsleven, maar daar staat een enorm aantal voordelen tegenover.

Guus Peters

Fritz Henselmann e.a.