Hoe bepalen de Data Governance Act en de Data Act de toekomst van veilig SSH-onderzoek?

18 September 2024

Auteurs: Marlon Domingus (Erasmus Universiteit Rotterdam), Lucas van der Meer (ODISSEI)

Als onderdeel van de Europese datastrategie zijn er twee wetten die een grote impact zullen hebben op de samenleving: de Data Governance Act en de Data Act. De precieze implicaties voor onderzoek in de sociale en geesteswetenschappen zijn nog onduidelijk. In dit artikel duiken Marlon Domingus (EUR Functionaris Gegevensbescherming) en Lucas van der Meer (CTO ODISSEI) in de twee wetten en gaan in dieper in op de geschiedenis van de Europese datastrategie, geven een overzicht van de kansen voor de wetenschap, leggen terminologie zoals data-altruïsme uit en bespreken de rol van CBS en ACM.

Onderzoek is steeds meer multidisciplinair van aard geworden, waardoor disciplines met verschillende tradities van veilig datadelen steeds vaker zijn gaan samenwerken, waardoor eisen aan de datasets en aan de data-infrastructuren zijn toegenomen met het oog op interoperabiliteit. De ontwikkelingen van open science, FAIR data en de European Open Science Cloud zijn in dit licht te zien.

Het wettelijk kader is in beweging

Naarmate multidisciplinair onderzoek zich ontwikkelt, verandert ook het wettelijk kader dat deze veilige gegevensuitwisseling voor onderzoeksdoeleinden regelt. Zo kennen we de eisen vanuit de Algemene Verordening Gegevensbescherming (AVG, 2016), de Uitvoeringswet AVG (UAVG, 2018). Sinds 2019 is er de Open Data Directive, ook bekend als de Open Data Richtlijn. En voor zorgdata zijn met name van belang de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en de Wet medisch-wetenschappelijk onderzoek met mensen (WMO), de Wet op het bevolkingsonderzoek (WBO).
Daarnaast lanceerde de EUropese Commissie in 2020 de Europese data strategie [1]: ‘Een Europa dat klaar is voor het digitale tijdperk [2], waarmee de Commissie het voortouw neemt in de datagestuurde economie. Als onderdeel hiervan zijn aanvullende wettelijke kaders ontwikkeld, die enerzijds het hergebruik van data stimuleren en anderzijds niet afdoen aan de veilige omgang met data.

Digital Markets Act and Digital Services Act

Voorbeelden van aanvullende wettelijke kaders zijn de Digital Markets Act (DMA) en de Digital Services Act (DSA). Grote platformbedrijven (zogenaamde “gatekeepers”) worden vanwege de DMA namelijk verplicht om meer data te delen met onderzoekers. Dit geeft wetenschappers betere mogelijkheden om onderzoek te doen naar de maatschappelijke impact van grote online platforms. De DSA zorgt voor meer transparantie rondom algoritmes en content moderatie. Platforms moeten inzicht geven in hoe hun aanbevelingsalgoritmes werken. Dit biedt onderzoekers waardevolle informatie voor studies naar de werking en effecten van sociale media.

The Data Governance Act and the Data Act 

Meer impact kan worden verwacht van een andere set van Europese verordeningen, afkomstig uit de Europese Data Strategie [3]: de Data Governance Act (DGA) [Nederlands: datagovernanceverordening (Dgv)] en de Data Act (DA) [Nederlands: Dataverordening (Dv)]. De DGA creëert namelijk een wettelijk kader voor het hergebruik van bepaalde categorieën beschermde overheidsgegevens, waaronder persoonsgegevens en gegevens die onder intellectuele eigendomsrechten vallen. Hoewel de AVG beoogde: ‘het vrije verkeer van die gegevens’ binnen de EU te bevorderen, ten behoeve van een sterkere interne markt, is dit hergebruik van data voor onderzoek en innovatie echter niet voldoende gerealiseerd. De DGA en DA bevorderen, aanvullend op de AVG, de toegang tot waardevolle datasets voor wetenschappelijk onderzoek. Meer specifiek: de Data Act beoogt meer autonomie te borgen over zelf data gebruiken en data delen met derden en de Data Governance Act beoogt meer vertrouwen te borgen in het delen van data.

Daarnaast introduceert de DGA regels voor zogenaamde ‘databemiddelingsdiensten’ om betrouwbare en veilige omgevingen te creëren voor het delen van data. Dit kan wetenschappers helpen bij het vinden van relevante datasets, het veilig uitwisselen van onderzoeksgegevens en het waarborgen van de integriteit en herkomst van gebruikte data. De DGA moedigt feitelijk het delen van gegevens voor altruïstische doeleinden aan, hetgeen kan bijdragen aan meer ‘open science’ en het beschikbaar stellen van onderzoeksdata voor hergebruik.

De Data Governance Act is op 23 juni 2022 in werking getreden en is op 24 september 2023 van kracht geworden. De Data Act treedt op 11 januari 2024 in werking en wordt van kracht op 12 september 2025.

European Data Spaces

Deze verordeningen maken deel uit van de wettelijke instrumenten om te komen tot strategische ‘Europese dataruimten’, die enerzijds, in verschillende domeinen, betrouwbare infrastructuren worden opgezet om veilig data te delen en tevens deze data beter te beschermen en strategische autonomie beter te borgen. Deze ‘Europese dataruimten’ worden ontwikkeld in 14 sectoren/domeinen, waaronder voor de sector: “gezondheid”; de European Health Data Space – EHDS [4].

What does secure data sharing in research entail from the perspective of the DGA and DA?

De Europese verordeningen DGA en DA introduceren nieuwe principes, begrippen en organisaties die feitelijk een aanvullende governance laag borgen met betrekking tot de het hergebruik van gegevens. De Nederlandse datastrategie [5] hanteert de volgende drie uitgangspunten (Nadere praktische uitwerking van deze uitgangspunten vindt thans plaats):

  • Datadeling is bij voorkeur vrijwillig
  • De overheid kan datadeling zo nodig verplicht faciliteren
  • Mensen en bedrijven houden grip op gegevens

Daarnaast heeft de Raad van State onder meer geadresseerd met betrekking tot de Wet implementatie Open data richtlijn:

  • voorkom dat strategische gegevens onbedoeld gebruikt worden door (statelijke) actoren op een manier die de nationale veiligheid bedreigt (de zogenaamde kennisveiligheid) 
  • Hergebruik van openbare persoonsgegevens is op grond van de Who niet mogelijk als dat onverenigbaar is met de doeleinden waarvoor de gegevens zijn verkregen (doelbinding)
  • Hergebruik van persoonsgegevens in openbare registers is op grond van de Who niet mogelijk, tenzij bijzondere wetten daarin voorziet.
  • Organisaties zullen structureel in de gaten moeten blijven houden of verstrekte gegevens het risico lopen door technologische ontwikkelingen niet langer anoniem te zijn.

Hoe kan de DGA onderzoek makkelijker maken?

De introductie van de concepten ‘Data-Altruïsme’ ​​en ‘Databemiddelingsdiensten’ vergemakkelijkt onderzoek en biedt meer mogelijkheden voor interdisciplinaire samenwerking.

Data-Altruïsme: Het vrijwillig delen van gegevens voor doeleinden van algemeen belang (waaronder onderwijs, wetenschap en onderzoek). Er komt een data-altruïsme register van alle erkende data-altruïstische organisaties. Er wordt toezicht gehouden op voorwaarden die gelden voor geregistreerde data-altruïstische organisaties, bijvoorbeeld op het gebied van veiligheid en transparantie.

Databemiddelingsdiensten: Een neutrale derde partij die gegevensuitwisseling tussen partijen op een veilige manier mogelijk maakt (bijvoorbeeld datamarktplaatsen & Personal Information Management Systems). Er wordt door de Europese Commissie een register bijgehouden van alle databemiddelingsdiensten in Europa. Databemiddelingsdiensten moeten aan voorwaarden voldoen, zodat de neutraliteit en veiligheid geborgd worden.

Nadere praktische uitwerking van deze begrippen vindt thans plaats.

Hoe kan de DA onderzoek makkelijker maken?

Indirect: Gebruikers van apparaten geven toestemming om data te delen; technisch en economisch moet dit dan redelijkerwijs geregeld kunnen worden met de ‘datahouder’; Parallel gebruik van clouddiensten moet kunnen (interoperabiliteit); Data exporteren uit cloud moet kunnen;

Direct: Als onderzoekers zelf apparaten gebruiken of clouddiensten afnemen.

Hoe gaat veilig data delen ten behoeve van onderzoek via een databemiddelingsdienst concreet werken volgens de DGA?

De wet bepaalt dat elke lidstaat een bevoegd orgaan aanwijst om de herbruikbaarheid van beschermde gegevens die in het bezit zijn van overheidsinstanties te vergemakkelijken. In Nederland wordt CBS aangewezen als het bevoegd orgaan voor de ondersteuning van hergebruik van gegevens van de Nederlandse publieke sector voor wetenschappelijke en statistische doeleinden.Het CBS zal de volgende ondersteuning aan met een publieke taak belaste instellingen bieden (nadere praktische uitwerking van de ondersteunende taak vindt thans plaats):

  • een beveiligde verwerkingsomgeving waarin onderzoekers gegevens van met een publieke taak belaste instellingen kunnen analyseren
  • richtlijnen en technische steun bij structureren en opslaan van gegevens
  • technische steun bij pseudonimiseren, waarborgen voor de privacy, vertrouwelijkheid, integriteit en toegankelijkheid

De DGA schept zelf geen verplichting tot hergebruik van gegevens, maar geeft de kaders aan waarbinnen gegevens moeten worden aangeboden:

“Deze bevoegde organen moeten met een publieke taak belaste instellingen die een nationale grondslag hebben om toegang met het oog op hergebruik in het kader van de verordening te verlenen of te weigeren, bijstaan als zij dat wensen.”

Gebruikte begrippen in deze definitie:

  1. Met een publieke taak belaste instelling: de overheidsinstantie waarvan de gegevens voor hergebruik in aanmerking komen. In de praktijk vallen hieronder in elk geval alle bestuursorganen maar ook andere organisaties die door overheid worden gefinancierd of op een bepaalde manier onder leiding staan van overheidsorganisaties.(Met uitzondering van openbare omroepen, culturele en onderwijsinstellingen en overheidsbedrijven met commerciële of industriële doeleinden)
  2. Hergebruiker: natuurlijke of rechtspersoon die gegevens hergebruikt of daartoe een verzoek indient
  3. Bevoegd orgaan: heeft een ondersteunende taak
  4. Centraal informatiepunt: bevat overzichtslijst van alle beschikbare gegevensbronnen en informatie over voorwaarden

Data van private data-altruïstische organisaties

Organisaties die niet met een publieke taak belast zijn en vrijwillig gevoelige data willen delen voor onderzoeksdoeleinden, kunnen zich wenden tot bestaande domeininfrastructuren als ODISSEI en CLARIAH. Deze organisaties kunnen hun metadata vindbaar maken in domeinportalen, zoals het ODISSEI Portal en CLARIAH Ineo. Dit zorgt voor brede bekendheid in de SSH-gemeenschap, waarna wetenschappers een toegangsaanvraag bij de eigenaar van de data kunnen indienen. 

Een nieuw ontwikkelde makelaar voor datatoegang (‘Data Access Broker’) kan het proces om toegang tot de data te verlenen faciliteren door het te standaardiseren en vereenvoudigen met machine-actionable toegangsvoorwaarden. Dit scheelt de eigenaar tijd en de wetenschapper zal sneller toegang verkrijgen. Vervolgens kan de organisatie de data voor de onderzoeker beschikbaar maken in een Trusted Research Environment (TRE) als SANE, waarbij de organisatie de volledige controle over de data behoudt. Zo kan de organisatie op elk moment de toegang intrekken en een controle uitvoeren op de gegevens die de wetenschapper uit SANE wil halen, zoals een tabel met geaggregeerde gegevens. 

ODISSEI onderzoekt of het een databemiddelingsdienst tussen onderzoekers en private organisaties moet faciliteren.

Toezichthouder DGA en DAIn Nederland is de Autoriteit Consument en Markt (ACM) de beoogd toezichthouder voor de DGA en de DA.

Dit betekent concreet voor de DA:

Toezien op dat mensen hun data uit slimme apparaten kunnen delen, dat hier redelijke voorwaarden voor gelden (technisch en economisch); Toezien op dat mensen kunnen wisselen van clouddienst of verschillende clouddiensten parallel kunnen gebruiken; Toezien op dat bedrijven alleen na een grondige juridische toets data delen met overheden van buiten de EU.

Dit betekent concreet voor de DGA:

Toezicht op Databemiddelingsdiensten (verplichte registratie + voorwaarden); Het aanmerken van, en toezicht houden op, data-altruïstische organisaties (vrijwillige registratie); Nadere praktische uitwerking van de toezichthoudende rol vindt thans plaats.

Conclusie

De Data Governance Act en Data Act zullen naar verwachting grote gevolgen hebben voor SSH-onderzoek, met name voor het delen van gevoelige gegevens. Het zal makkelijker worden voor organisaties (zowel publiek als privaat) om gevoelige gegevens vrijwillig te delen, en organisaties kunnen daartoe gestimuleerd worden door de mogelijkheid om een certificaat voor data-altruïsme te ontvangen. Er wordt verwacht dat er databemiddelingsdiensten worden opgericht om de overdracht van gevoelige gegevens tussen organisaties en onderzoekers verder te vergemakkelijken, bijvoorbeeld door een Trusted Research Environment aan te bieden. Het delen van gegevens door individuen vanaf slimme apparaten moet veel gemakkelijker en sneller worden, als gevolg van verplichte API-verbindingen. 

Het CBS wordt aangewezen als bevoegd orgaan voor de ondersteuning van hergebruik van gegevens van de Nederlandse publieke sector voor wetenschappelijke en statistische doeleinden. ODISSEI onderzoekt of het een databemiddelingsdienst tussen onderzoekers en private organisaties moet faciliteren.

Net als bij de implementatie van de AVG, zullen de precieze implicaties van de DGA en DA de komende jaren duidelijker worden. ODISSEI zal deze ontwikkelingen op de voet volgen om na te gaan of zijn infrastructuur moet worden aangepast, en is van plan vervolgevenementen te organiseren. 

Veel informatie uit dit artikel is verzameld tijdens het evenement ‘De toekomst van veilige datadeling’, dat ODISSEI op 5 juni 2024 organiseerde. Een verkorte versie van dit artikel verscheen in het tijdschrift E-data (september 2024). 

Relevante links
  1. Zie: https://digital-strategy.ec.europa.eu/nl/policies/strategy-data
  2. Zie: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age_nl
  3. Zie: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020DC0066
  4. Zie: https://www.gegevensuitwisselingindezorg.nl/european-health-data-space-ehds
  5. Zie: Nederlandse Kabinetsvisie op datadeling tussen bedrijven (2019), Non-paper on the Data Act (2021), Nederlandse Strategie Digitale Economie (SDE; 2022)

Picture by Ave Calvar