De Europese verordening voor gegevensbeheer (DGA, Data Governance Act) waardoor bedrijven gemakkelijker toegang krijgen tot (overheids)data uit verschillende EU-lidstaten, is zeer abstract en ook erg technisch. Doorvertaling naar de praktijk wordt uiterst lastig. Dit stelt de Raad van State in een advies over de uitvoeringswet die regelt dat de DGA ook in Nederland kan worden uitgevoerd. Dit adviesorgaan vreest dat de eerste datawet uit een lange serie verordeningen al bijna onwerkbaar wordt.
De DGA stelt regels voor het hergebruik en beschikbaar stellen van overheidsgegevens. Daarnaast regelt de verordening het delen van gegevens door burgers of organisaties via een intermediair dat bemiddelt in data. Ook moet de DGA het vrijwillig delen van gegevens bevorderen.
Maar door het complexe karakter van de DGA is het niet gemakkelijk te zien welke betekenis deze verordening krijgt, klaagt de Raad van State in een advies. Niet altijd zal duidelijk zijn wat de normen van de DGA concreet inhouden, zo waarschuwt het hoogste adviesorgaan van de regering.
De verordening is een belangrijk onderdeel van de Europese datastrategie om de data-economie te ondersteunen. Het is ook de eerste Europese verordening op dit gebied. Er zullen nog andere verordeningen volgen. Dat maakt het allemaal nog ingewikkelder, aldus de Raad van State. Want in de praktijk zal veel afstemming nodig zijn, wat tot vragen kan leiden.
In de haren vliegen
Ook het toezicht wordt een probleem. De Raad van State vreest dat de twee toezichthouders die hierover gaan, elkaar in de haren zullen vliegen. De Autoriteit Consument & Markt (ACM) moet letten op de naleving van de wet. Maar die taak raakt aan bevoegdheden van andere toezichthouders, zoals de gegevensbeschermings- of cybersecurity-autoriteit. In het wetsvoorstel krijgt de Autoriteit Persoonsgegevens (AP) de taak om de ACM te adviseren over de vraag of databemiddelingsdiensten en data-altruïstische organisaties aan de AVG voldoen. De ACM bepaalt vervolgens of zo’n dienst kan worden geregistreerd, zodat deze een Europees label en logo mag voeren. Daarnaast regelt het wetsvoorstel dat de ACM en de AP in een protocol afspraken moeten maken over hun samenwerking.
De Afdeling advisering van de Raad van State vindt deze regeling niet passend. Het is niet uitgesloten dat de ACM bij een negatief advies van de AP toch tot registratie overgaat. Dat strookt niet met de gedachte van de DGA dat bij een ‘conflict’ de AVG voorgaat. Als het gaat om de uitleg en de toepassing van de AVG zou de interpretatie van de AP beslissend moeten zijn. De Afdeling adviseert dit in de toelichting expliciet te bevestigen.
Goh, verrassend.
Overigens abstract en technisch tegelijkertijd!
Bij private bedrijven doen ze dan vaak een ‘case study’ waarbij van alle entiteiten een of meerdere fictieve organisaties worden bedacht met een gedetailleerde beschrijving van de procesinitialisatie en van de respectievelijke toepassingstrajecten. Het voordeel ervan is ook dat de ontwerpers dan als eerste tegen hun eigen ellende aanlopen. Waarschijnlijk was dan het meeste van waar de Raad van State nu tegenaan loopt al nooit in het voorlopige of zelfs definitieve ontwerp terecht gekomen.
@Rob Koelmans Ik vraag me werkelijk af tot welk detail niveau dergelijke wetgeving wordt opgesteld. En nog belangrijker is een “werkbare” situatie vanuit de praktijk. Vaak heeft men een standaard gevonden waar in de praktijk helemaal geen concrete mainstream producten voor bestaan. De vertaling van een hoogover (abstract) idee naar concrete realistische oplossingen (techniek) is een vak en volgens mij, moeten juristen zich daar verre van houden. Zelfs als je alle vrijheid van de wereld hebt is het al lastig genoeg. Zodra je in de ontwerpeisen allerlei extra aspecten mee laten wegen, moet je echt van goede huize komen. Ik hoor dan vaak we doen het “by-design”. Wat ze bedoelen is op de tekentafel (dus van tevoren) nadenken en uittekenen hoe je het uiteindelijk wilt hebben. Helaas zie ik bij veel van die aspecten te weinig kennis en kunde, zonder overal “nee” op te antwoorden, om een werkbare oplossing te komen.
@Atilla, geen idee tot welk detailniveau. Daar zit wel vaak de angel inderdaad. Het geheel lijkt van nature een balanceer act. In zoverre lijkt het me zinniger dan GDPR dat alleen maar de boevenvangers machteloos maakt.
Dit zegt ChatGPT erover:
1. Data Delende Tussenpersonen: De DGA streeft naar het creëren van een kader voor data delende tussenpersonen, die entiteiten zijn die gegevensuitwisseling tussen gegevensbeheerders en gegevensgebruikers faciliteren. Deze tussenpersonen zullen als vertrouwde entiteiten fungeren om veilige en eerlijke gegevensuitwisseling te waarborgen.
2. Verbeterde Toegankelijkheid van Gegevens: De DGA beoogt de toegankelijkheid van gegevens te vergroten door meer bedrijven en organisaties aan te moedigen om gegevens te delen, terwijl tegelijkertijd wordt voldaan aan de regels voor gegevensbescherming en privacy.
3. Bescherming van Persoonsgegevens: Ondanks de bevordering van gegevensuitwisseling, benadrukt de DGA het belang van de bescherming van persoonsgegevens. Het doel is ervoor te zorgen dat alle gegevensuitwisselingsactiviteiten met betrekking tot persoonlijke informatie voldoen aan de Algemene verordening gegevensbescherming (AVG).
4. Gegevensgebruik voor Algemeen Belang: De DGA voorziet in het gebruik van bepaalde datasets van hoge waarde (zoals openbare sector data) voor het algemeen belang, met als doel innovatie te bevorderen en nieuwe kansen te creëren voor bedrijven en onderzoeksinstellingen.
5. Data Altruïsme: De DGA bevordert het concept van data altruïsme en moedigt individuen en organisaties aan om vrijwillig hun gegevens te delen voor het algemeen belang.
6. Overdraagbaarheid van Industriële Gegevens: De DGA bevat bepalingen om de overdraagbaarheid van industriële gegevens te vergemakkelijken, waardoor bedrijven gemakkelijker kunnen overstappen naar andere dienstverleners zonder de toegang tot hun gegevens te verliezen.
7. Regelgevend Toezicht: De DGA schetst een regelgevend kader om toezicht te houden op gegevensuitwisselingsactiviteiten en data tussenpersonen, om naleving van de voorgestelde regels en voorschriften te waarborgen.
8. Data Governance Certificatiemechanisme: De DGA introduceert het concept van een Data Governance Certificatiemechanisme om de naleving van data tussenpersonen met de regels voor gegevensuitwisseling te beoordelen.