Nadat de Raad de Datagovernanceverordening (DGV) op 16 mei 2022 had goedgekeurd, werd de DGV op 3 juni 2022 bekendgemaakt in het Publicatieblad van de Europese Unie. Hierdoor zal de DGV vanaf 24 september 2023 in de lidstaten van toepassing zijn. Databemiddelingsdiensten die diensten verlenen op 23 juni 2022 krijgen meer tijd om zich voor te bereiden op de verplichtingen op hen van toepassing, namelijk tot 24 september 2025.
De DGV is erop gericht om de huidige beperkte uitwisseling van data binnen de Europese Unie (EU) aan te pakken. Daarom creëert de DGV opportuniteiten om data beschikbaar te maken. De Verordening biedt een kader om de uitwisseling van gegevens tussen bedrijven, particulieren en de publieke sector te vergemakkelijken. De idee is dat een beter gebruik van data zal leiden tot verbeteringen in het algemeen belang en dus ook voor bedrijven en burgers.
Om dit doel te bereiken bevordert de DGV het vrijwillig delen van data, zowel persoonsgegevens als niet-persoonsgebonden gegevens. Daarvoor voert de Verordening drie bestuursmodellen in: 1) ze stelt voorwaarden vast voor een beter hergebruik van beschermde overheidsgegevens; 2) ze vestigt vertrouwen in databemiddelingsdiensten; en 3) ze faciliteert gegevensaltruïsme. Voor persoonsgegevens, zal de DGV de regels aanvullen van de Algemene Verordening Gegevensbescherming (AVG), die van toepassing blijven.
Hergebruik van beschermde overheidsgegevens
Overheidsinstanties hebben de mogelijkheid om hun beschermde gegevens ter beschikking te stellen. Het gaat om gegevens die beschermd zijn op grond van het handelsgeheim (bijvoorbeeld een bedrijfsgeheim), statistisch geheim, intellectuele-eigendomsrechten en persoonsgegevens die door de AVG worden beschermd.
Als de overheidsinstanties ervoor kiezen om de gegevens te delen, moeten zij geharmoniseerde voorwaarden voor het hergebruik ervan invoeren. Het hergebruik moet gepaard gaan met technische maatregelen om de gegevensbescherming, de privacy en de vertrouwelijkheid van de gegevens te waarborgen, bijvoorbeeld door de gegevens te anonimiseren of te pseudonimiseren voordat ze worden gedeeld. De overheden moeten ook in staat zijn om de resultaten van de gegevensverwerking door de hergebruiker te controleren. Verder kunnen ze het gebruik van deze resultaten verbieden indien het de rechten en belangen van derden in gevaar zou brengen. Exclusieve overeenkomsten zijn in principe verboden. Onder bepaalde voorwaarden zijn echter uitzonderingen voor maximaal 12 maanden mogelijk.
De DGV regelt alleen het hergebruik van beschermde overheidsgegevens binnen de EU. De doorgifte van deze overheidsgegevens naar derde landen wordt beperkt. Hier gelden gelijkaardige vereisten als onder de AVG, wat betekent dat de doorgifte moet gepaard gaan met waarborgen.
Hoe zal u nu kunnen achterhalen welke data beschikbaar zijn voor hergebruik? De lidstaten zullen een centraal informatiepunt moeten oprichten om onderzoekers en bedrijven bij te staan bij de identificatie van geschikte data. De Commissie zal een Europees centraal toegangspunt oprichten in de vorm van een doorzoekbaar elektronisch register van alle gegevens die beschikbaar zijn in de nationale centrale informatiepunten. Het Europees centraal toegangspunt zal bedrijven, onderzoekers en overheden bijstaan om data op te vragen via deze centrale informatiepunten.
Databemiddelingsdiensten
Het delen van gegevens wordt verder gefaciliteerd door databemiddelingsdiensten. Deze diensten vereenvoudigen de uitwisseling van data en brengen een commerciële relatie tot stand tussen enerzijds de gegevenshouders (die het recht hebben om toegang te verlenen tot de gegevens of de gegevens te delen, maar geen betrokkenen zijn, zoals een werkgever) en anderzijds datasubjecten (die de betekenis van betrokkene onder de AVG hebben: een geïdentificeerde of identificeerbare natuurlijke persoon) en gegevensgebruikers (een natuurlijke of rechtspersoon die rechtmatig toegang heeft tot gegevens en die gemachtigd is om de gegevens te gebruiken). De regels voor databemiddelingsdiensten zijn niet beperkt tot overheidsgegevens, maar gelden voor alle soorten data.
De DGV voorziet in een systeem van melding en toezicht voor aanbieders van deze databemiddelingsdiensten. Deze systemen moeten het nodige vertrouwen creëren bij particulieren en bedrijven om hun (persoons-)gegevens te delen. Entiteiten die een aanbieder van databemiddelingsdiensten willen worden moeten zich aanmelden bij een nationale bevoegde autoriteit die toezicht zal houden op hun diensten. De aanbieders moeten aan bepaalde voorwaarden voldoen: ze moeten bijvoorbeeld hun neutraliteit ten aanzien van de gedeelde gegevens bewaren; ze mogen de gegevens niet voor andere doeleinden gebruiken; ze mogen de gegevens niet verrijken of ze transformeren door er substantiële waarde aan toe te voegen en ze moeten in principe in de EU gevestigd zijn.
Gegevensaltruïsme
Het derde model voor het delen van gegevens is gegevensaltruïsme. Dit betekent het vrijwillig delen van gegevens op basis van de toestemming van de betrokkene of de toelating van de gegevenshouder, zonder dat zij daarvoor een vergoeding vragen, en dit in het algemeen belang. Ook hier geldt dat deze gegevens niet beperkt zijn tot overheidsgegevens, maar alle types data kunnen omvatten.
Organisaties die aan gegevensaltruïsme willen doen, kunnen zich vrijwillig laten registreren om het vertrouwen in hun activiteiten te vergroten. De registratie zal worden behandeld door een nationale bevoegde autoriteit. Alle erkende organisaties zullen worden opgenomen in een openbaar nationaal en een Unieregister en zullen een specifiek EU-logo mogen gebruiken. Ook zij zullen aan bepaalde voorwaarden moeten voldoen. Zo mogen ze geen winstoogmerk hebben, moeten ze zijn opgericht om doelstellingen van algemeen belang te verwezenlijken, moeten ze deze diensten verstrekken in een juridisch onafhankelijke structuur die losstaat van hun andere activiteiten, moeten ze bepaalde transparantievereisten naleven, een volledige administratie bijhouden en voldoen aan het rulebook van de Commissie inzake informatie-, beveiligings- en interoperabiliteitsnormen.
Het probleem met gegevensaltruïsme is natuurlijk de vereiste van een geldige rechtsgrondslag: hoe kunnen betrokkenen hun toestemming geven of hoe kunnen gegevenshouders hun toelating geven? Daarom introduceert de DGV een Europees toestemmingsformulier voor gegevensaltruïsme. Dit formulier moet het gemakkelijker maken om de toestemming of toelating te verkrijgen, maar ook om deze weer in te trekken.
Bestuur
Twee entiteiten zullen een centrale rol spelen bij het naleven van de DGV. Ten eerste zal het pas opgerichte Europese Comité voor gegevensinnovatie (ECGI) de inspanningen in de lidstaten en op Europees niveau coördineren en de Commissie adviseren. Het ECGI wordt een formele deskundigengroep met leden uit de academische en onderzoekswereld, de bedrijfswereld en het middenveld. Daarnaast zal elke lidstaat een bevoegde autoriteit moeten aanwijzen om toezicht te houden op de databemiddelingsdiensten en de organisaties voor gegevensaltruïsme, onder meer door sancties en boetes op te leggen. Natuurlijke en rechtspersonen kunnen een klacht indienen bij de nationale bevoegde autoriteiten. De DGV laat de verdere uitwerking van de regels voor sancties over aan de lidstaten.
Eubelius staat klaar om u bij te staan bij de toepassing van de DGV en bij uw zoektocht naar mogelijkheden om gegevensuitwisseling in uw organisatie te verbeteren.