De Europese Commissie heeft haar voorstel voor een Datawet gepubliceerd, de tweede bouwsteen van haar datastrategie. De eerste stap was de Wet Data Governance, eind vorig jaar aangenomen wetgeving die een wettelijk kader biedt voor het delen van niet-persoonsgebonden gegevens.
De Datawet is bedoeld om een stap vooruit te gaan door bindende eisen in te voeren voor de fabrikant van aangesloten apparaten en aanverwante diensten om toegang te bieden tot de gegevens die gebruikers creëren.
Het algemene principe van de Datawet is dat zakelijke gebruikers en consumenten toegang moeten hebben tot de gegevens die ze bijdragen aan het creëren, beheren en delen wanneer ze een verbonden apparaat of een respectieve dienst zoals virtuele assistenten gebruiken.
Daarom moeten de aanbieders van deze diensten, gedefinieerd als gegevenshouders, standaard een interface creëren waar gebruikers hun gegevens gemakkelijk en zonder extra kosten kunnen openen en beheren. De gebruikers kunnen besluiten om die gegevens met een derde partij te delen, hoewel de gegevenshouder tegelijkertijd handelsgeheimen en andere vertrouwelijke informatie kan beschermen.
De geautoriseerde derde partij kan een extern platform zijn of zelfs een directe concurrent van de datahouder om de concurrentie in de data-economie te vergroten. Hoewel het deze organisaties verboden is om de verkregen gegevens te gebruiken om een direct concurrerend product te ontwikkelen, zullen ze het kunnen gebruiken om een alternatieve dienst te creëren voor die van de gegevenshouders.
Er zijn maatregelen tegen dwangmatig delen opgenomen om te voorkomen dat derden de toestemming voor het delen van gegevens afdwingen. Evenzo mogen de gegevenshouders het delen van gegevens niet te ingewikkeld maken met technische of buitensporige informatieverzoeken.
Het voorstel definieert de onlineplatforms die op grond van de Wet digitale markten als “poortwachters” worden aangemerkt, als niet in aanmerking komend voor geautoriseerde derden.
In uitzonderlijke omstandigheden kunnen overheidsinstanties toegang nodig hebben tot gegevens die in het bezit zijn van particuliere bedrijven om te reageren op een openbare noodsituatie, zoals een terroristische aanslag, een gezondheidscrisis of een natuurramp. Deze definitie dekt niet de dagelijkse rechtshandhaving.
Het verzoek zou evenredig zijn en beperkt tot de dringende behoefte, en het openbaar lichaam zou de gegevens niet bewaren. Als het verzoek de openbaarmaking van persoonsgegevens vereist, moet de houder van de gegevens alles in het werk stellen om te anonimiseren voor zover dit verenigbaar is met het verzoek.
Het wetsontwerp bevat speciale bepalingen voor het midden en kleinbedrijf, voornamelijk om te voorkomen dat de gegevenshouders eenzijdig oneerlijke contractvoorwaarden opleggen. De bewijslast wordt omgekeerd bij de gegevenshouder om voor een rechtbank of een instantie voor geschillenbeslechting aan te tonen dat de voorwaarden redelijk en niet-discriminerend zijn.
Bovendien mag het verstrekken van gegevens aan het MKB de werkelijke administratieve kosten niet overschrijden. Micro- en kleine bedrijven zijn vrijgesteld van alle verplichtingen voor het delen van gegevens, inclusief het verzoek van overheidsinstanties, tenzij een grotere entiteit hen controleert.
Of de verplichtingen voor het delen van gegevens voordelen of schade toebrengen aan een organisatie, hangt af van haar positie in de toeleveringsketen. Leveranciers, onderhoudsbedrijven en complementaire dienstverleners zullen betere diensten leveren of zelfs nieuwe uitvinden op basis van de toegenomen toegang tot data.
Daarentegen zouden fabrikanten of serviceproviders van Internet-of-Things-producten hun monopolie op door gebruikers gegenereerde gegevens verliezen en sterkere concurrentie aangaan. Deze botsing vindt vooral weerklank in een van Europa’s meest vitale sectoren, de auto-industrie.
De hoeveelheid data die wordt geproduceerd door geconnecteerde auto’s is de afgelopen jaren exponentieel toegenomen en zal naar verwachting exploderen naarmate voertuigen meer en meer worden gedigitaliseerd. Leveranciers en consumenten van de auto-industrie betreurden het echter dat autofabrikanten als poortwachters fungeren voor die schat aan data.
Aan de andere kant stellen autofabrikanten dat uit de staat van dienst van de automobielsector blijkt dat eerlijke contractuele regelingen voor het delen van gegevens de norm zijn, en dat elke interventie in deze zin deze best practices zou verstoren.
De Datawet is nodig omdat de EU Algemene Verordening Gegevensbescherming onvoldoende is gebleken om de keuzevrijheid van de consument met dataportabiliteit te garanderen.
De Data Act is gewoon een nieuwe mijlpaal in de strategie van de Europese Commissie om een Schengengebied voor data tot stand te brengen, met name door het onbenutte potentieel van enorme hoeveelheden industriële data die momenteel niet worden gebruikt, te benutten.
Tegelijkertijd zal de Datawet interageren met verschillende EU-wetten, van de AVG tot de databankrichtlijn. Juridische naleving van verplichtingen inzake het delen van gegevens en regels voor gegevensbescherming kan een uitdaging zijn, aangezien de grens tussen persoonlijke en niet-persoonlijke gegevens niet altijd duidelijk is gedefinieerd. Bovendien werd het proces van anonimisering als een uitdaging beschouwd om uit te voeren.
Tegelijkertijd blijkt de Datawet grotendeels te putten uit AVG-concepten zoals gebruikerscontrole over gegevens, gegevensportabiliteit en voorwaarden voor internationale gegevensoverdracht.
Internationale gegevensoverdracht
Het wetsontwerp vereist dat gegevensverwerkingsdiensten, met name cloudserviceproviders, alle redelijke maatregelen nemen om te voorkomen dat de overheid toegang krijgt tot niet-persoonsgebonden gegevens of deze doorgeeft die in strijd zijn met de EU- of nationale wetgeving.
De toegang tot gegevens door buitenlandse autoriteiten en rechtbanken zou alleen worden toegestaan op basis van een internationale overeenkomst. Het bestellende land zou ook aan bepaalde voorwaarden moeten voldoen en de minimaal toegestane hoeveelheid gegevens zou kunnen worden gedeeld.
Met andere woorden, voor industriële gegevens zouden in de toekomst voorwaarden gelden die vergelijkbaar zijn met die welke zijn vastgesteld voor persoonsgegevens als gevolg van de “Schrems II”-uitspraak. Waar tot nu toe het niet verwerken van persoonsgegevens een manier was om te ontsnappen aan de EU-regels voor internationale gegevensoverdracht, zou dat niet meer het geval zijn als de Datawet eenmaal van kracht is.
Tegenstanders van het voorstel wijzen op het feit dat het overdreven afhankelijk is van de goede trouw van derden, aangezien de juridische implicaties als iemand de bescherming van bedrijfsgeheimen schendt onmiddellijk duidelijk zijn. Bovendien kan de toegang tot gegevens worden gebruikt om de software te reverse-engineeren en mogelijk kwetsbaarheden te identificeren.