Data Governance Act 2023

De Europese Data Governance Act is een belangrijke wetgeving die tot doel heeft om het beheer van data in de EU te reguleren en te bevorderen. De wetgeving zal ervoor zorgen dat het delen van data binnen de EU transparanter en betrouwbaarder wordt, en dat individuele privacy en gegevensbeschermingsrechten beter beschermd worden. Deze richtlijn is een aanvulling op Richtlijn (EU) 2019/1024 inzake open data en het hergebruik van overheidsinformatie, ook wel de richtlijn open data genoemd.[1]

De afgelopen jaren hebben digitale technologieën grote veranderingen teweeggebracht in de economie en samenleving. Dit heeft invloed gehad op alle sectoren en het dagelijks leven. Gegevens spelen hierbij een belangrijke rol: door gegevens te gebruiken voor innovatie, kunnen we bijvoorbeeld op maat gemaakte medische behandelingen, nieuwe manieren van transport en een bijdrage aan een duurzame toekomst realiseren. De Europese Commissie heeft een visie opgesteld voor een gemeenschappelijke Europese gegevensruimte, waarbij gegevens kunnen worden gebruikt ongeacht waar ze zijn opgeslagen en in overeenstemming met de wet. Zij pleit ook voor een vrije en veilige stroom van gegevens van en naar landen buiten de EU, met uitzonderingen voor veiligheid en beleidsdoeleinden.

Door het vergroten van het vertrouwen in data delen, zal de wetgeving de groei van de digitale economie stimuleren en nieuwe mogelijkheden bieden voor innovatie en ontwikkeling. De wetgeving ondersteunt de opzet en ontwikkeling van gemeenschappelijke Europese gegevensruimtes in strategische domeinen, waardoor zowel private als publieke spelers betrokken zijn bij de ontwikkeling van deze ruimtes. Sectoren zoals gezondheid, milieu, energie, landbouw, mobiliteit, financiën, productie, openbaar bestuur en vaardigheden zullen hierdoor beter kunnen samenwerken en informatie delen. Naast het beschermen van individuele privacy en gegevensbeschermingsrechten, stelt de Data Governance Act ook nieuwe eisen aan organisaties die binnen de EU opereren. Deze eisen zijn bedoeld om ervoor te zorgen dat organisaties data op een verantwoorde en transparante manier verzamelen, verwerken en gebruiken. Het niet voldoen aan deze eisen kan leiden tot aanzienlijke boetes, wat organisaties kan aanzetten om data beheer en naleving te prioriteren.

Eén van de belangrijkste doelen van de Data Governance Act is het beschermen van de privacy en gegevensbeschermingsrechten van individuen binnen de EU. Om dit doel te bereiken, creëert de wet mechanismen voor het handhaven van gegevensbescherming en privacywetten, inclusief de oprichting van een Europese Raad voor gegevensbescherming. Deze raad zal de handhaving van gegevensbescherming en privacywetten in de EU overzien, zodat individuen meer controle hebben over hun persoonlijke data. De wet geeft individuen het recht om hun data in te zien, te corrigeren en te verwijderen, zodat ze hun privacy en gegevensbeschermingsrechten kunnen beschermen.

De Data Governance Act is op 23 juni 2022 in werking getreden en zal na een gratieperiode van 15 maanden vanaf september 2023 van toepassing zijn. Dit betekent dat bedrijven en organisaties binnen de EU voldoende tijd hebben om zich voor te bereiden op de nieuwe regelgeving en hun data management processen op orde te brengen. Bedrijven die niet voldoen aan de eisen van de wetgeving kunnen aanzienlijke boetes verwachten.[2]

Welke gevolgen kan dit hebben voor bedrijven?

Bedrijven hebben vaak gegevens nodig uit verschillende lidstaten van de EU zodat zij gegevens en diensten voor de gehele Europese Unie kunnen ontwikkelen. Bovendien is het vaak nodig om op gegevens gebaseerde producten en diensten die ontwikkeld zijn in één lidstaat, aan te passen aan de voorkeuren van klanten in andere lidstaten. Dit vereist lokale gegevens op lidstaatniveau. Om ervoor te zorgen dat de gegevensstroom soepel kan verlopen via EU-brede en sector overschrijdende waardeketens, is een sterk geharmoniseerd wetgevingskader essentieel.
Bedrijven zullen ervoor moeten zorgen dat zij voldoen aan de nieuwe voorschriften van de Data Governance Act 2023. Dit kan leiden tot een potentiële toename in de kosten omdat er misschien extra middelen nodig zijn. Echter zullen deze kosten hoofdzakelijk door de nationale autoriteiten worden gedragen. Dit neemt niet weg dat ondernemingen zelf ook bij zullen moeten dragen. Enerzijds zou dit kunnen leiden tot uitdagingen omdat kleinere bedrijven mogelijk niet alle middelen hebben om aan de voorschriften te voldoen. Anderzijds kan dit ook kansen bieden voor bedrijven om nieuwe markten te betreden en hun activiteiten uit te breiden.

Het recht op privacy.

De maatregelen zijn ontworpen om volledig in overeenstemming te zijn met de wetgeving inzake gegevensbescherming, aangezien persoonsgegevens binnen het toepassingsgebied van sommige onderdelen van de verordening vallen. Deze maatregelen zullen in de praktijk natuurlijke personen meer controle geven over de gegevens die ze genereren. Bij het intensiever hergebruik van overheidsgegevens worden geen grondrechten op het gebied van gegevensbescherming, privacy en eigendom aangetast. Eigendomsrechten op bepaalde gegevens, zoals commercieel vertrouwelijke of intellectuele eigendomsrechtelijk beschermde gegevens, worden ook gerespecteerd. Aanbieders van gegevensuitwisselingsdiensten moeten zich houden aan de geldende regels inzake gegevensbescherming met betrekking tot datasubjecten die gebruikmaken van hun diensten. Het kennisgevingskader voor gegevensbemiddelaars kan mogelijk de vrijheid van ondernemerschap aantasten, aangezien het opleggen van verschillende eisen beperkingen kan opleggen aan de werking van dergelijke entiteiten.

De voormalige richtlijn bracht belemmeringen met zich mee omdat bepaalde categorieën niet hergebruikt konden worden als deze het recht van derden (zoals het recht op privacy) zouden aantasten. De nieuwe Data Governance Act maakt dit wel mogelijk omdat er specifieke maatregelen zijn om misbruik te voorkomen. Voor persoonsgegevens moeten er technische maatregelen zijn, zoals het anonimiseren van deze gegevens. Echter kan dit nog problemen opleveren als de hergebruiker van informatie niet direct verbonden is aan de richtlijn. Dit kan gebeuren als bijvoorbeeld de gegevens worden overgedragen naar landen waar de handhaving van de DGA niet op hetzelfde niveau is zoals in de Europese Unie. Om deze reden zijn er speciale maatregelen vastgelegd in de DGA als er beschermde data wordt verzonden naar landen buiten de Europese Unie.[3]

Conclusie.

De Data Governance Act 2023 is een belangrijke wetgeving met significante implicaties voor diverse belanghebbenden binnen de Europese Unie. De wet heeft als kern een omvattend raamwerk op te zetten voor het beheer van data, waarbij alle aspecten van datacollectie, -verwerking, -opslag en -delen omvat worden. Dit raamwerk is ontworpen om verantwoord en transparant databeheer te bevorderen, zodat data op een betrouwbare manier gebruikt wordt. In de huidige maatschappij, waar technologie op een rap tempo groeit, moeten de leemtes worden opgevuld welke zijn ontstaan in de wet-en regelgeving. Door middel van de DGA zal er een inhaalslag worden gemaakt om de groeiende ontwikkeling in technologie bij te benen. Dit zal ervoor zorgen dat bedrijven minder tijd nodig hebben om nieuwe producten en diensten op de markt te brengen die zijn gebaseerd op gegevens.

Whitney Naomi van den Brand
Adviseur L2P

[1] Europese Commissie, Richtlijn (EU) 2019/1024 van het Europees Parlement en de Raad van 20 juni 2019 inzake openbare sectorinformatie (herschikking) (Brussel, 26 juni 2019), PbEU 2019, L 172/56, https://eur-lex.europa.eu/lega...
[2] https://digital-strategy.ec.eu...
[3] JDSupra, "The Reuse and Transfer of Data Held by Public Bodies in the EU: New Guidelines Published", (gepubliceerd op 22 februari 2021), https://www.jdsupra.com/legaln... (laatst geraadpleegd op 14 mei 2023).