Met nog minder dan een jaar te gaan tot een nieuw Europees Parlement wordt gekozen, loopt de zittingstermijn van de Europese Commissie ten einde. Aanleiding om het programma en de resultaten van de Europese Data Strategie, één van de zes pilaren van het werkprogramma 2019-2024, voor het voetlicht te brengen.
Lees verder of kies één van de knoppen. Gebruik △ rechts-onder de pagina om naar de top van dit bericht te komen
Introductie
De Europese Data Strategie neemt de toegangsbeperkingen tot de data-economie als uitgangspunt. De strategie staat niet op zichzelf maar past binnen het werkprogramma 2019-2024 van de Europese Commissie als één van de zes prioriteiten. Vier pijlers bepalen de structuur onderscheiden: 1. het beheer (governance) van datatoegang en -gebruik; 2. voorwaarden scheppen; 3. vaardigheden ontwikkelen en 4. Europese dataruimtes.
Aanleiding – 9 toegangsbeperkingen tot de data-economie
De problemen die aanleiding zijn voor de Europese Data Strategie zijn samen te vatten in negen thema’s:
- een versnipperde aanpak tussen EU lidstaten op het gebied van wetgeving;
- onvoldoende beschikbaarheid van data t.b.v. innovaties, maar eigenaarschap en gebruik van data;
- ongelijke machtsverhoudingen op de markt, door bijv. marktmacht van online platformen en zoekmachines (Meta / Facebook, Google, Microsoft, Amazon, X / Twitter)
- het ontbreken van interoperabiliteit en kwaliteitsstandaarden van data, noodzakelijk om data uit verschillende bronnen en sectoren te kunnen uitwisselen en te combineren;
- het ontbreken van beheersstructuren voor data (datagovernance);
- een gebrekkige ontwikkeling en inrichting van een data-infrastructuur en -technologie;
- het kunnen uitoefenen van burgerrechten, zoals privacyrechten;
- het niveau van vaardigheden (bijv. big data en analytics) en datageletterdheid;
- het niveau van cyberveiligheid om bedreigingen te beheersen en aanvallen te kunnen weerstaan.
Onderdeel van het ‘Digital Decade Framework’
De Europese data strategie is onderdeel van het ‘Digital Decade‘ kader. Dit is er op gericht dat in 2030 alle aspecten van technologie en innovatie ook daadwerkelijk werken voor burgers. Er worden vier hoofddoelen onderscheiden:
Vier strategie-pijlers
Een belangrijke koers in de strategie is de totstandkoming van een interne markt voor data, naast het oplossen van de bovengenoemde problemen. De strategie leunt op vier pijlers, die zijn geoperationaliseerd in kernacties zoals wet- en regelgeving, strategieën en beleid.
- Een sectoroverschrijdend beheerskader (governance) voor datatoegang en -gebruik
- een ondersteunend wetgevingskader voor het beheer van gemeenschappelijke Europese dataruimtes
- meer kwalitatieve overheidsdata voor hergebruik beschikbaar te stellen
- wetgeving om horizontale datadeling tussen verschillende sectoren aan te moedigen
- maatregelen overwegen die het gebruik van data in producten en diensten makkelijker maken en de vraag naar datagestuurde diensten doen toenemen
- Voorwaarden: investeringen in data en versterking van de capaciteit en infrastructuur van Europa voor de hosting, verwerking en het gebruik van data, alsmede interoperabiliteit
- ontwikkeling van gemeenschappelijke Europese gegevensruimtes en interconnectie van cloudinfrastructuren
- ruimte voor concurrerende, veilige en eerlijke Europese clouddiensten
- vooruitgang op het gebied van datatechnologieën ondersteunen; zoals privacytechnologie en technologie voor bedrijfs- en persoonlijke dataruimtes
- Vaardigheden: mensen mondiger maken, investeren in vaardigheden en in kleine tot middelgrote ondernemingen
- mensen mondiger maken met betrekking tot hun data
- investeringen in vaardigheden en algemene datageletterdheid
- speciale capaciteitsopbouw voor het midden- en kleinbedrijf
- Gemeenschappelijke Europese dataruimtes in strategische sectoren en gebieden van algemeen belang
- sectoren en domeinen waar datagebruik systemische gevolgen heeft voor het hele ecosysteem, maar ook voor individuele burgers, en dient ter ondersteuning van de voorgaande drie pijlers.
Het resultaat – A Europe Fit for the Digital Age
De Europese Commissie heeft een werkprogramma voor de periode 2019-2024 opgesteld om deze strategie uit te werken. Het ‘wetgevingsspoorboekje’ van het Europees Parlement (mede-wetgever in Europa), het Legislative Train Schedule, geeft inzicht in de voortgang van werkprogramma van de EC. Hieruit blijkt dat de omvang van het werkprogramma veel groter is dan alleen de realisatie van wet- en regelgeving.
Zes Wetten
De prioriteit ‘A EUROPE FIT FOR THE DIGITAL AGE‘ omvat 113 verschillende onderdelen (treinstellen), hiervan worden zes belangrijke wetten uitgelicht.
Lees verder of kies één knop voor meer informatie.
1. Data Governance Act – toegang tot en gebruik van data
De Data Governance Act (DGA) is een sectoroverschrijdend instrument dat tot doel heeft meer gegevens beschikbaar te stellen door (a.) het hergebruik van openbare/bewaarde, beschermde gegevens te reguleren, (b.) door het delen van gegevens te stimuleren via de regulering van nieuwe gegevenstussenpersonen en (c.) door het delen van gegevens voor altruïstische doeleinden aan te moedigen. De DGA is in mei 2022 aangenomen in het Europees Parlement en de Europese Raad.
A. Hergebruik van bepaalde categorieën gegevens waarover openbare lichamen beschikken
De richtlijn inzake open gegevens regelt het hergebruik van openbaar/beschikbare informatie die in het bezit is van de overheidssector. De overheidssector beschikt echter ook over grote hoeveelheden beschermde gegevens (bv. persoonsgegevens en commercieel vertrouwelijke gegevens) die niet als open gegevens kunnen worden hergebruikt, maar die volgens specifieke EU- of nationale wetgeving opnieuw kunnen worden gebruikt.
Voorbeeld De Finse autoriteit voor de vergunning voor sociale en gezondheidsgegevens, Findata, verwerkt verzoeken en verleent toegang tot gegevens voor hergebruik. Voorbeelden van de gegevensbronnen van Findata zijn de sociale verzekeringsinstelling, het pensioenregister en het bevolkingsregister.
B. Diensten voor gegevensbemiddeling
De DGA stelt een reeks regels vast voor aanbieders van databemiddelingsdiensten (zogenaamde gegevensbemiddelaars, zoals datamarktplaatsen) om ervoor te zorgen dat zij zullen fungeren als betrouwbare organisatoren van het delen of bundelen van gegevens binnen de gemeenschappelijke Europese dataruimten. Om het vertrouwen in het delen van gegevens te vergroten, stelt deze nieuwe aanpak een model voor dat gebaseerd is op de neutraliteit en transparantie van gegevenstussenpersonen en waarbij personen en bedrijven de controle over hun gegevens krijgen.
Voorbeeld Dawex is een Frans bedrijf dat zichzelf omschrijft als een „global data marketplace”. Dawex koopt of verkoopt geen gegevens, maar brengt bedrijven samen die geïnteresseerd zijn in het genereren en hergebruiken van gegevens, en bevordert transparantie tussen dataleveranciers en gebruikers door ervoor te zorgen dat ze de transactie rechtstreeks op haar platform communiceren en uitvoeren.
C. Data-altruïsme – beschikbaarheid op basis van toestemming
Data-altruïsme betekent dat individuen en bedrijven hun toestemming geven om gegevens beschikbaar te stellen die zij — vrijwillig en zonder beloning — genereren om in het algemeen belang te worden gebruikt. Dergelijke gegevens hebben een enorm potentieel om onderzoek te bevorderen en betere producten en diensten te ontwikkelen, onder meer op het gebied van gezondheid, milieu en mobiliteit.
Het EU-register van erkende data-altruïsme-organisaties houdt een openbaar register bij van alle erkende data-altruïsme-organisaties die hun diensten in de Europese Unie aanbieden.
Voorbeeld De Duitse Corona-Datenspende-App is opgezet om gegevens te verzamelen (bijv. hartslag, lichaamstemperatuur, bloeddruk, slaappatronen) van fitnessarmbanden en smartwatches. Door deze gegevens te monitoren, konden onderzoekers in een vroeg stadium mogelijke COVID-19-hotspots identificeren.
D. Europese Raad voor gegevensinnovatie vergemakkelijkt uitwisseling
De Europese Commissie zal een Europese Raad voor gegevensinnovatie (EDIB) oprichten om de uitwisseling van beste praktijken te vergemakkelijken, met name op het gebied van gegevensbemiddeling, data-altruïsme en het gebruik van openbare gegevens die niet als open gegevens beschikbaar kunnen worden gesteld, alsook inzake de prioritering van sectoroverschrijdende interoperabiliteitsnormen.
Internationale gegevensstromen – uitwisseling
Hoewel de DGA een sleutelrol speelt bij het versterken van de open strategische autonomie van de Europese Unie, draagt het ook bij tot het creëren van vertrouwen in internationale gegevensstromen. Hoewel de AVG alle nodige waarborgen in het kader van persoonsgegevens heeft ingevoerd, is het dankzij de DGA dat er vergelijkbare waarborgen bestaan voor verzoeken om toegang van derde landen in het kader van niet-persoonsgebonden gegevens.
Onderzoek – Impact van de DGA
Caranova en Finck (2023) publiceerden een open access artikel (“Regulating data intermediaries: The impact of the Data Governance Act on the EU’s data economy) in het tijdschrift ‘Computer Law and Security Review’ over de impact van de DGA op de data economie. Hierin komen een aantal kritische aandachtspunten aan bod die met de DGA worden geïntroduceerd, zoals het eisenkader voor data-intermediairs, de noodzaak en proportionaliteit van de regelgeving voor intermediairs en inconsistenties tussen de DGA en andere wetgeving zoals GDPR, Data Act en Digital Markets Act.
In onderstaande afbeelding wordt de samenhang van de data-delen conform de DGA met andere geselecteerde EU wetten weergegeven.
Méér weten/ bronnen
- EU Wetgeving: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R0868
- Digitale strategie EU – Data Governance Act: https://digital-strategy.ec.europa.eu/nl/policies/data-governance-act-explained
- International Association of Privacy Pprofessionals: https://iapp.org/media/pdf/resource_center/data-governance-act-101-chart.pdf
- Wetgevingsspoorboekje van het Europees Parlement: Data Governance Act
2. Data Act – waarde creatie uit data
De dataverordening (Data Act) vormt een aanvulling op de Data Governance Act het eerste resultaat in het kader van de Europese datastrategie. De Data Act is op 23 februari 2022 door de Europese Commissie vastgesteld en op 9 november 2023 aangenomen door het Europese Parlement. Na opname in de EU wetgeving zal de verordening na 20 maanden van kracht worden. De Data Act is een belangrijke pijler van de Europese datastrategie.
Eerlijke toegang tot en gebruik van gegevens
De focus van deze wet zijn geharmoniseerde regels inzake eerlijke toegang tot en het gebruik van gegevens. Terwijl de Data Governance Regulation de processen en structuren creëert om data te faciliteren, verduidelijkt de Data Act wie waarde kan creëren uit data en onder welke omstandigheden.
Doelstellingen
Het voorstel heeft een aantal specifieke doelstellingen (bron):
1. De toegang en het gebruik van data door consumenten en bedrijven vergemakkelijken, met behoud van stimulansen om te investeren in manieren om door middel van data waarde te genereren;
2. Voorzien in het gebruik door overheidsinstanties en EU-instellingen – agentschappen of – organen van data die in de handen zijn van ondernemingen in bepaalde situaties waarin er sprake is van een uitzonderlijke noodzaak om de data te gebruiken;
3. Het overstappen tussen cloud- en edgediensten vergemakkelijken;
4. Voorzien in waarborgen tegen onrechtmatige data-overdracht zonder kennisgeving door aanbieders van clouddiensten;
5. Interoperabiliteitsnormen ontwikkelen voor data die tussen sectoren kunnen worden hergebruikt. Bron
Méér weten/ bronnen
- EU Wetgeving: https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=COM%3A2022%3A0068%3AFIN
- Digitale strategie EU – Data Act: https://digital-strategy.ec.europa.eu/en/policies/data-act
- Voortgang behandeling wetgeving in Eerste en Tweede Kamer: https://www.eerstekamer.nl/eu/edossier/e220008_voorstel_voor_een#p4
- Wetgevingsspoorboekje van het Europees Parlement: Data Act
3. Digital Services Act – regulering van platformen en zoekmachines
De DSA komt voort uit een gebrek aan en/of tekortkomingen in de regulering van online platformen en internet zoekdiensten de resulterende bescherming van de gebruikers van deze platformen en zoekdiensten. In combinatie met de Digital Markets Act vormt deze EU verordening het ‘Digital Services Package‘; een invloedrijk en krachtig instrument bij het reguleren van zeer grote platformen en zoekmachines.
Op 16 november 2022 werd de Digital Services Act van kracht; in februari 2024 treedt de Digital Services Act (DSA) (‘Digitale Diensten Verordening‘) (DDV) in werking. Vanaf 25 augustus 2023 moeten de in april 2023 door de EU aangewezen zeer grote platformen (Very Large Online Platforms) en zeer grote zoekmachines (Very Large Online Search Engines) voldoen aan de DSA. In februari 2024 volgen de ‘kleinere’ platformen en zoekmachines.
In het blog The bird will fly by our EU rules…’ wordt de DSA verder toegelicht.
Méér weten/ bronnen
- EU Wetgeving: https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=uriserv%3AOJ.L_.2022.277.01.0001.01.NLD&toc=OJ%3AL%3A2022%3A277%3ATOC
- Digitale strategie EU – Digital Services Act Package: https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package
- IAPP – EU Digital Services Act: 101. This chart is part of a series providing an overview of new EU legislation adopted under the European Union’s Strategy for Data. https://iapp.org/resources/article/eu-digital-services-act-101/
- Wetgevingsspoorboekje van het Europees Parlement: Digital Services Act
4. Digital Markets Act – Poortwachters tot digitale markten
Op 16 november 2022 werd de Digital Markets Act van kracht; in mei 2023 treedt de Europese Digital Markets Act (DMA) (‘Digitale Markten Verordening‘) in werking. In combinatie met de Digital Markets Act vormt deze EU verordening het ‘Digital Services Act Package‘; een invloedrijk en krachtig instrument bij het reguleren van zeer grote platformen en zoekmachines.
Gatekeepers/ Poortwachters
De Verordening inzake digitale markten (Digital Markets Act) bevat een reeks zorgvuldig gedefinieerde objectieve criteria om te bepalen of een groot onlineplatform als “poortwachter” mag worden beschouwd. Zo pakt de wet de problemen met grote, systemische onlineplatforms gericht aan.
Een bedrijf is een poortwachter als het:
- een sterke economische positie en een aanzienlijke impact op de interne markt heeft en actief is in meerdere EU-landen
- een sterke bemiddelingspositie heeft, wat betekent dat het een groot aantal gebruikers verbindt met een groot aantal bedrijven
- een stevig verankerde en duurzame marktpositie heeft (of op het punt staat te hebben), wat betekent dat de onderneming in elk van de laatste drie boekjaren aan de twee bovengenoemde criteria voldoet. Bron
Voordelen van de verordening en de betekenis voor poortwachters
- Voor bedrijven die van poortwachters afhankelijk zijn om hun diensten op de interne markt aan te bieden, wordt het ondernemingsklimaat eerlijker.
- Innovators en startende technologiebedrijven krijgen nieuwe kansen om te concurreren en te innoveren in de wereld van onlineplatforms zonder vast te zitten aan oneerlijke voorwaarden die hun ontwikkeling beperken.
- Consumenten krijgen een groter aanbod, betere diensten, meer mogelijkheden om van provider te veranderen, ruimere toegang en eerlijkere prijzen.
- Poortwachters zelf behouden alle mogelijkheden om te innoveren en nieuwe diensten aan te bieden. Ze mogen alleen geen oneerlijke praktijken toepassen ten aanzien van zakelijke gebruikers en geen oneerlijk voordeel halen uit klanten die van hen afhankelijk zijn. Bron
Welke gatekeepers/ poortwachters zijn vastgesteld door de EU?
De Europese Commissie heeft op 6 september 2023 voor het eerst zes poortwachters – Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft – aangewezen in het kader van de wet digitale markten (DMA). In totaal zijn 22 door poortwachters aangeboden kernplatformdiensten aangewezen.
De Poortwachters die zijn toegewezen zijn vermeld op de EU ‘Poortwachters’ pagina waar ook de beoordelingen van iedere case (Amazon, Google, Microsoft etc.) is terug te vinden. Die beoordelingen zijn in het wet- en regelgevingsregister van de EU, EUR-Lex terug te vinden als wettelijke onderbouwing voor de beslissing.
Compliance / voldoen aan wet- en regelgeving
De poortwachters hebben zes maanden de tijd om te voldoen aan de volledige lijst van zaken die ze wel en niet mogen doen in het kader van de wet digitale markten, waardoor eindgebruikers en zakelijke gebruikers van de diensten van de poortwachters meer keuze en meer vrijheid krijgen.
De Commissie controleert de daadwerkelijke uitvoering en naleving van deze verplichtingen. Als een poortwachter de verplichtingen op basis van de wet digitale markten niet nakomt, kan de Commissie geldboeten opleggen tot 10 % van de totale wereldwijde omzet van de onderneming, die in geval van herhaalde inbreuken tot 20 % kunnen oplopen. Bron
Méér weten/ bronnen
- EU Wetgeving: https://digital-markets-act.ec.europa.eu/legislation_en
- Digitale strategie EU – Digital Markets Act: https://digital-strategy.ec.europa.eu/en/policies/data-act
- Digitale strategie EU – Digital Services Act Package: https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-packa
- Voortgang behandeling wetgeving in Eerste en Tweede Kamer: https://www.eerstekamer.nl/eu/edossier/e220008_voorstel_voor_een#
- IAPP – EU Digital Markets Act: 101. This chart is part of a series providing an overview of new EU legislation adopted under the European Union’s Strategy for Data. https://iapp.org/resources/article/eu-digital-markets-act-101/
- Wetgevingsspoorboekje van de EU: Digital Markets Act
5. Cyber Resilience Act – cybeveiligheid van producten en diensten
Een acceptabel niveau van cybersecurity in software en producten
De wetgeving moet twee problemen oplossen: 1. het niveau van cyberveiligheid in digitale producten, software updates is onvoldoende. 2. Consumenten en bedrijven zijn onvoldoende in staat om de cyberveiligheid van producten te beoordelen of hiervoor zelf maatregelen te nemen.
Onderdeel van de EU Cybersecurity strategie
De wetgeving is onderdeel van de 2020 EU Cybersecurity Strategy (gericht op een open, wereldwijd Internet met sterke garanties gericht op beveiliging en fundamentele rechten voor Europese burgers) en vult bestaande wetgeving aan, specifiek het NIS2 Framework (wettelijke maatregelen om het algemene niveau van cyberveiligheid in de EU te verbeteren). Het heeft betrekking op alle (digitale)producten die direct of indirect zijn verbonden met een ander product of netwerk. Uitzonderingen zijn open-source software of diensten die al zijn gereguleerd zoals medische software, de luchtvaart en auto’s.
Verplichte garanties – veilige digitale producten van planning tot en met gebruik
De wetgeving garandeert:
- eenduidige regels (harmonisatie) voor producten en software met digitale componenten;
- een framework van verplichte cyberveiligheidsvoorwaarden voor het plannen, ontwerpen, ontwikkelen en onderhouden van deze producten;
- een zorgplicht gedurende de levenscyclus van deze producten.
Het Factsheet impliceert dat producenten en leveranciers o.a. moeten voldoen aan een CE keurmerk zodat consumenten kunnen zien dat producten (90%) voldoen aan normen van cyberveiligheid. Bijv. in het geval van smart speakers of consumenten software zoals word processors of foto bewerkingsprogramma’s). Voor 10% an de producten en software is ook een onafhankelijke beoordeling door derde partijen noodzakelijk. Denk bijv. aan wachtwoordmanagers, firewalls en besturingssystemen.
Méér weten/ bronnen
- EU Wetgeving: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act en https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52022PC0454
- Digitale strategie EU – Cyber Resilience Act: https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
- Factsheet Cyber Resilience Act: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-factsheet
- EU Cyberssecurity strategie: https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-strategy
- Wetgevingsspoorboekje van de EU: Cyber Resilience Act
6. Artificial Intelligence Act
Betrouwbare AI, gecentreerd rondom de mens
De Europese AI strategie heeft tot doel om van de EU een ‘ world-class hub’ voor AI te maken en te garanderen dat AI gecentreerd is rondom de mens én betrouwbaar. De Europese Commissie ontwikkelde o.a. een kader gericht op:
- facilitatie van de ontwikkeling en acceptatie van AI in de EU;
- de ontwikkeling van AI van broedplaats tot marktimplementatie;
- de verzekering dat AI werkt vóór mensen, als positieve kracht in de maatschappij;
- het bouwen van strategisch leiderschap in sectoren met een hoge impact op AI.
Wettelijk kader voor AI – vier risico niveau’s
Eén van de wettelijke initiatieven gericht op het ontwikkelen van een betrouwbare AI is een wettelijk kader voor AI waarmee fundamentele rechten en veiligheidsrisico’s gerelateerd aan AI systemen worden gewaarborgd. Dit kader hanteert een gemakkelijk te begrijpen benadering, gebaseerd op vier verschillende risiconiveau’s: onacceptabel-, hoog-, beperkt- en minimaal risico.
De regulering verzekerd dat Europeanen AI kunnen vertrouwen; dit zal in de meeste systemen het geval zijn (zij vertegenwoordigen een beperkt tot geen risico); sommige systemen zullen een zodanig risico creëren waardoor maatregelen genomen moeten worden om ongewenste uitkomsten te voorkomen.
Werkwijze voor high-risk AI systemen
Onderstaande afbeelding toont de voorgestelde werkwijze voor hoog-risico AI systemen
Regelgeving zal:
- van toepassing zijn op risico’s die worden gecreëerd door AI applicaties;
- een lijst van hoog-risico applicaties voorstellen;
- duidelijke eisen stellen aan AI systemen voor hoog-risico applicaties;
- specifieke voorwaarden definiëren voor AI gebruikers en leveranciers van hoog-risico applicaties;
- een conformiteitsbeoordeling voorstellen vóórdat het AI-systeem in gebruik wordt genomen of op de markt wordt gezet;
- regulering afdwingen nadat een AI-systeem in de markt is gezet;
- een governance structuur op lidstatelijk en Europees niveau voorstellen.
Méér weten/ bronnen
- Digitale strategie EU – A European approach to AI: https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence
- Europese wetgeving: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai & https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52021PC0206
- Wetgevingsspoorboekje van de EU: Artificial Intelligence Act
Dit werk valt onder een Creative Commons Naamsvermelding-NietCommercieel 4.0 Internationaal-licentie.