EUROPESE COMMISSIE

Brussel, 25.4.2018

SWD(2018) 125 final

WERKDOCUMENT VAN DE DIENSTEN VAN DE COMMISSIE

Richtsnoeren betreffende het delen van gegevens van de particuliere sector in de Europese data-economie

bij

Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's

"Naar een gemeenschappelijke Europese gegevensruimte"

{COM(2018) 232 final}

1. Inleiding

Gegevensgestuurde innovatie is een belangrijke aanjager voor groei en banen in Europa. Het belang van online verzamelde gegevens, het toenemende belang van gegevens die worden gegenereerd door met het internet der dingen (Internet of Things - IoT) verbonden objecten, de toenemende beschikbaarheid van analysetools voor big data en de brede beschikbaarheid van bepaalde kunstmatige-intelligentietoepassingen zijn belangrijke technische drijfveren. Gegevens zijn niet-rivaliserend van aard. Dezelfde gegevens kunnen daarom leiden tot een waaier aan nieuwe producten, diensten of productiemethoden. Voor bedrijven zou het dan ook efficiënt kunnen zijn om de gegevens waarover zij beschikken in toenemende mate met andere bedrijven te delen, zodat de waarde van de gegevens maximaal kan worden benut.

Nieuwe gegevensgestuurde bedrijfsmodellen die op deze technische drijfveren zijn gebaseerd, houden niet alleen een kans in voor grote ondernemingen, maar ook voor kleine en middelgrote ondernemingen en start-ups in Europa. De overheid begint eveneens in te spelen op de kansen van gegevensgestuurde innovatie. Ondernemingen profiteren al van de toegang tot overheidsinformatie die als open data 1 beschikbaar is en van gegevensdeling onderling. Kleine en middelgrote ondernemingen en start-ups ondervinden echter nog belemmeringen wanneer zij hun gegevens beschikbaar stellen of gegevens van andere bedrijven hergebruiken. Dit is vooral het geval wanneer het gaat om door machines gegenereerde, niet-persoonsgebonden gegevens. Ook overheidsinstanties moeten hun wijze van functioneren moderniseren en het potentieel van nieuwe databronnen benutten om meer gegevensgestuurd en kostenefficiënt te worden. Burgers en ondernemingen, in het bijzonder kleine en middelgrote ondernemingen, zullen naar verwachting voordeel hierbij hebben. Soms kunnen relevante op gegevens gebaseerde diensten op de markt worden verkregen. In andere gevallen kan het voor de overheid nodig zijn om gegevens van een particuliere onderneming rechtstreeks te analyseren of een regelmatige verwerving van gegevens op te zetten, bijvoorbeeld voor officiële statistieken. Deze gegevens zijn misschien niet altijd toegankelijk voor de overheid door bezorgdheid over de vertrouwelijkheid van de gegevens of vermeende risico's voor de commerciële belangen van bedrijven. Er moet dus worden gekeken naar de levering en het (her)gebruik van gegevens ("gegevensdeling") in twee situaties: tussen ondernemingen (B2B) en tussen ondernemingen en overheid (B2G).

De Commissie heeft al maatregelen voorgesteld om de beschikbaarheid van gegevens voor ondernemingen te doen toenemen. Met de algemene verordening gegevensbescherming (AVG) en de e-privacyrichtlijn 2 heeft de EU een solide kader vastgesteld voor de verwerking van persoonsgegevens en van elektronische-communicatiegegevens. De bedoeling hiervan is te bouwen aan digitaal vertrouwen (vertrouwen in de digitale wereld), een belangrijke voorwaarde voor iedere vorm van gegevensdeling. Dit kader legt de basis voor een toekomstig concurrentievoordeel voor Europese ondernemingen die optimaal gebruik willen maken van datatechnologieën. Bovendien zal het voorstel voor een verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens 3 de overdracht van dergelijke gegevens binnen de EU vergemakkelijken.

In de mededeling ʻBouwen aan een Europese data-economieʼ van 10 januari 2017 4 gaf de Commissie een eerste beschrijving van mogelijke problemen rond de toegang tot gegevens, vooral in verband met door machines gegenereerde gegevens en relaties tussen platforms en ondernemingen. Ook wees zij op het belang van de toegang tot gegevens van de particuliere sector voor doeleinden van openbaar belang.

Op basis van deze mededeling had een brede dialoog met de belanghebbenden plaats. De conclusie was dat deze kwestie in dit stadium geen horizontale wetgevende maatregelen rechtvaardigde en dat richtsnoeren meer aangewezen zouden zijn 5 . 

In de mededeling waarbij dit werkdocument van de diensten van de Commissie is gevoegd 6 , definieert de Commissie een reeks centrale beginselen waarmee rekening moet worden gehouden om gegevensdeling tussen ondernemingen en tussen ondernemingen en overheid tot een succes te maken voor alle betrokken partijen.

Daarnaast beoogt zij met dit werkdocument te voorzien in een toolbox voor bedrijven die houders van gegevens, gebruikers van gegevens of beide tegelijk zijn. Het werkdocument bevat hiertoe een handleiding voor de juridische, zakelijke en technische aspecten van gegevensdeling die in de praktijk kan worden gebruikt wanneer men de gegevensoverdracht tussen bedrijven uit dezelfde sector of uit verschillende sectoren overweegt of voorbereidt.

De richtsnoeren in dit document zijn bedoeld voor alle sectoren van de economie. Ten gevolge van verschillen in structuur van individuele markten kan er behoefte zijn aan aanvullende sectorspecifieke maatregelen.

Tot slot is dit document geen rechtsregel en het laat de uitlegging van het EU-recht door het Hof van Justitie van de Europese Unie onverlet. Het bindt de Commissie niet wat betreft de toepassing van het EU-recht, in het bijzonder de mededingingsregels in de artikelen 101 en 102 van het Verdrag betreffende de werking van de Europese Unie (VWEU).

2. Beginselen voor gegevensdeling tussen ondernemingen (business-to-business - B2B) en tussen ondernemingen en overheid (business-to-government - B2G)

In de mededeling waarbij dit werkdocument van de diensten van de Commissie is gevoegd 7 , worden de volgende beginselen gedefinieerd om eerlijke markten te garanderen voor de objecten van het internet der dingen en voor producten en diensten die afhankelijk zijn van door deze objecten gecreëerde gegevens:

In de mededeling staat verder vermeld dat de levering van gegevens van de particuliere sector aan overheidsinstanties onder preferentiële voorwaarden voor hergebruik gestoeld kan worden op de naleving van de volgende beginselen:

3. Gegevensdeling tussen ondernemingen (B2B), een handleiding

De aanlevering en het hergebruik van gegevens in relaties tussen ondernemingen kan vele vormen aannemen, qua technische mechanismen, onderliggende bedrijfsmodellen en rechtsinstrument waarop de gegevensdeling tussen ondernemingen stoelt. In dit deel worden enkele hiervan nader beschreven.

3.1. Modellen voor gegevensdeling tussen ondernemingen

De onderliggende bedrijfsmodellen voor gegevensdeling kunnen aanzienlijk van elkaar verschillen: het soort gegevens waarop zij betrekking hebben en de strategische bedrijfsbelangen zijn daarbij zeer bepalend. Zij kunnen variëren van een opendata-aanpak tot exclusieve datapartnerschappen met slechts één partij:

a)Een opendata-aanpak: Voor een opendata-aanpak, waarbij de gegevensverstrekker de gegevens ter beschikking stelt aan een in beginsel open reeks (her)gebruikers, met zo weinig mogelijk beperkingen en zonder vergoeding of tegen een zeer geringe vergoeding, kan worden gekozen wanneer de gegevensverstrekker een groot belang heeft bij het hergebruik van de gegevens. Voorbeelden zijn dienstenaanbieders die gebruik zouden willen maken van een ecosysteem van ontwikkelaars van derdentoepassingen om de eindafnemers te bereiken.

b)Tegeldemaking van gegevens op een gegevensmarktplaats: De tegeldemaking van gegevens of gegevenshandel kan plaatshebben via een gegevensmarktplaats die als intermediair opereert op basis van bilaterale contracten en tegen een vergoeding. Dit kan interessant zijn voor bedrijven die geen potentiële hergebruikers voor hun gegevens kennen en via eenmalige inspanningen gegevens te gelde willen maken. Deze procedure lijkt geschikt wanneer: 1) de risico's van onrechtmatig gebruik van de betreffende gegevens beperkt zijn; 2) de gegevensleverancier redenen heeft om de (her)gebruiker te vertrouwen; of 3) de gegevensleverancier beschikt over technische mechanismen om onrechtmatig gebruik te voorkomen of vast te stellen. De kosten van het opstellen van overeenkomsten voor gegevensgebruik kunnen worden verlaagd met modelcontractvoorwaarden.

c)Gegevensuitwisseling via een gesloten platform: Gegevens kunnen worden uitgewisseld via een gesloten platform dat is opgezet door één belangrijke speler in een gegevensuitwisselingsomgeving of door een onafhankelijke intermediair. De gegevens kunnen in dit geval worden verstrekt tegen een geldelijke vergoeding of diensten met toegevoegde waarde die bijvoorbeeld binnen het platform worden verleend. Deze formule maakt het mogelijk diensten met toegevoegde waarde aan te bieden: de uitgebreidere oplossing draagt bij tot stabielere datapartnerschappen en laat meer controlemechanismen toe voor toezicht op het gebruik van de gegevens; de kosten van het opstellen van overeenkomsten voor gegevensgebruik kunnen worden verlaagd met modelcontractvoorwaarden. Indien de gegevensdeling exclusief is, zal deze moeten voldoen aan mededingingsregels 9 .

Variaties en combinaties van deze modellen zijn mogelijk en moeten aan elke concrete bedrijfsbehoefte worden aangepast. De term ʻgegevensdelingʼ wordt gebruikt om alle mogelijke vormen van en modellen voor gegevenstoegang of -overdracht tussen ondernemingen te beschrijven.

3.2. De juridische aspecten van gegevensdeling: overeenkomsten voor gegevensgebruik of licentieovereenkomsten

Gegevensdeling tussen ondernemingen gebeurt gewoonlijk op basis van contracten. Bij overeenkomsten voor gegevensgebruik of licentieovereenkomsten worden de partijen het eens over het onderwerp en de waarde van de overeenkomst en over alle andere bepalingen die in contractvoorwaarden worden vastgelegd. Overeenkomsten inzake het te gelde maken van gegevens kunnen bilateraal van aard zijn of tussen meerdere partijen worden gesloten.

Bij het opstellen van de contractvoorwaarden voor gegevensgebruik of licentieovereenkomsten moet er speciaal op worden toegezien dat er wordt voldaan aan bestaande wetgeving, vooral wetgeving die gegevensdeling verbiedt of aan speciale voorwaarden onderwerpt. Ook dienen de strategische belangen van alle partijen in acht te worden genomen en geen afbreuk te worden gedaan aan mededinging.

Er worden al modelcontractvoorwaarden opgesteld voor verschillende soorten overeenkomsten voor gegevensdeling en voor bepaalde sectoren of soorten gegevensdeling. De Commissie is voornemens beste praktijken, bestaande modelcontractvoorwaarden en checklists te verzamelen via een ondersteuningscentrum voor gegevensdeling dat begin 2019 operationeel wordt 10 . 

De volgende overwegingen kunnen bedrijven helpen bij het opstellen en/of bespreken van overeenkomsten voor gebruikersgegevens:

a)Welke gegevens worden beschikbaar gemaakt?

-Beschrijf de gegevens die u wenst te delen zo concreet en precies mogelijk (bijvoorbeeld O&O-gegevens, klantgegevens, diagnostische gegevens), met inbegrip van de niveaus voor de in de toekomst te verwachten updates. Wanneer er interpretatiemiddelen worden gedeeld die analyses mogelijk maken (bijvoorbeeld methoden, modellen), in combinatie met databases, zouden deze beschreven moeten worden.

-Welke kwaliteitsniveaus kunnen worden gewaarborgd voor de gegevens, ook na verloop van tijd? Gedeelde gegevens moeten van goede kwaliteit zijn, dat wil zeggen nauwkeurig, betrouwbaar en zo nodig actueel. Zorg ervoor dat er geen ontbrekende, dubbele of ongestructureerde gegevens zijn. Specificeer de bron/oorsprong van gegevens en hoe de gegevens zijn verzameld/gestructureerd. Er kan een uitsluitingsmechanisme worden ontworpen voor fouten in de gegevens.

-Gaat het bij de gegevensverzameling om een dataset of een datastroom?

-Zorg ervoor dat er wordt voldaan aan eventuele wettelijke verplichtingen die de toegang tot de gegevens in kwestie of de overdracht van deze gegevens aan anderen verbieden. Zorg ervoor dat de rechten van anderen ten aanzien van de gegevens worden geëerbiedigd. Controleer of er rechten rusten op de inhoud die de gegevens vormen (intellectuele- en industriële-eigendomsrechten)

-Zorg ervoor dat de gegevensbeschermingswetgeving wordt nageleefd. Controleer onder meer of er een rechtsgrondslag is voor de verwerking van gegevens, in overeenstemming met de algemene verordening gegevensbescherming.

b)Wie heeft toegang tot de gegevens en wie mag deze (her)gebruiken?

-Zorg ervoor dat in de overeenkomst op een transparante, duidelijke en begrijpelijke manier wordt omschreven wie recht heeft op toegang tot de gegevens, wie het recht heeft om gegevens te (her)gebruiken, wie het recht heeft om gegevens te verspreiden en onder welke voorwaarden. Specificeer of en hoe er een licentie tot hergebruik mag worden verleend. Leg in duidelijke bewoordingen uit welke voorwaarden gelden voor licenties tot hergebruik en verspreiding van gegevens. Verder moet er worden gedacht aan sublicenties: het uitgeven van sublicenties dient specifiek te worden uitgesloten of er dient te worden gespecificeerd onder welke voorwaarden het is toegestaan en voor welke soort gegevens.

-Het recht op toegang tot en (her)gebruik van gegevens hoeft niet onbeperkt te zijn. In de overeenkomst kan, bijvoorbeeld, het recht op toegang worden beperkt: tot de leden van een specifieke beroepsgroep (bijvoorbeeld landbouwers), of het kan worden gekoppeld aan bepaalde doeleinden van het gebruik van de gegevens (bijvoorbeeld een beperkt commercieel gebruik).

c)Wat kan de (her)gebruiker doen met de gegevens?

-Bij de cliëntenbesprekingen dient de (her)gebruiker zo open en duidelijk mogelijk te zijn over de wijze waarop de gegevens zullen worden gebruikt, zoals door downstreampartijen. Dit zorgt voor transparantie en vergroot het vertrouwen van de verstrekker van de gegevens.

-Specificeer in precieze bewoordingen hoe de gegevens mogen worden gebruikt, inclusief rechten op derivaten van de gegevens (analyses).

-Stel geheimhoudingsregels op met betrekking tot downstreampartijen.

d)Omschrijf de technische middelen voor de toegang tot en/of de uitwisseling van gegevens, inclusief:

-frequentie van gegevenstoegang en maximale ladingen;

-IT-beveiligingseisen;

-dienstniveau voor ondersteuning.

e)Welke gegevens moet ik beschermen en hoe bescherm ik deze?

-Neem passende maatregelen om uw gegevens te beschermen. Deze maatregelen dienen betrekking te hebben op gegevensdeling en gegevensopslag, aangezien gegevens kunnen worden gestolen of misbruikt door georganiseerde criminele groepen en individuele hackers. Gegevens kunnen ook per ongeluk worden vrijgegeven, bijvoorbeeld door een menselijke fout of een technisch probleem. Gegevens kunnen verder door onbevoegden worden ingezien, openbaar worden gemaakt of verloren gaan.

-Zorg voor de bescherming van bedrijfsgeheimen, gevoelige commerciële informatie, licenties, patenten, intellectuele-eigendomsrechten. Geen van de partijen mag gevoelige informatie van de ander partij trachten te verwerven via de gegevensuitwisselingen.

f)Neem aansprakelijkheidsbepalingen op voor de levering van foutieve gegevens, onderbrekingen in de gegevensoverdracht, interpretatiewerk van lage kwaliteit, indien dit samen met datasets wordt gedeeld, of voor de vernietiging/het verlies of de wijziging van gegevens (onrechtmatig of per ongeluk) waardoor schade kan ontstaan.

g)Omschrijf de rechten van beide partijen om controles te verrichten op de nakoming van de wederzijdse verplichtingen.

h)Wat is de beoogde contractduur? Welke rechten zijn er om het contract te beëindigen? Wanneer moeten uw partners hiervan in kennis worden gesteld?

i)Speek met elkaar af welk recht en welke geschillenbeslechtingsregelingen van toepassing zijn.

3.3. De technische aspecten van gegevensdeling

Er zijn enkele technische mechanismen voor gegevensdeling tussen ondernemingen. Sommige van de technische mechanismen kunnen voorzien in regels voor gegevensgebruik en bieden tegelijkertijd een vertrouwde en beveiligde omgeving aan voor de uitwisseling van datasets 11 .

Er kunnen drie soorten procedures worden onderscheiden: a) de houder van gegevens stelt geselecteerde gegevens rechtstreeks ter beschikking van een groter aantal hergebruikers, bijvoorbeeld via een application programming interface; b) de houder van gegevens stelt geselecteerde gegevens via een intermediair (een gegevensmarktplaats) ter beschikking van één of meerdere hergebruikers, met een beperkte controle op het daaropvolgende gebruik; c) de houder van gegevens stelt geselecteerde gegevens via een intermediair (een gegevensruimte of dataplatform) ter beschikking van één of meerdere hergebruikers in een omgeving met een striktere controle op en traceerbaarheid van het daaropvolgende gebruik.

a)Gegevensdeling van één naar velen via een application programming interface (API) of een industrieel dataplatform: Sommige bedrijven die gegevens uitwisselen met andere partijen, maken gebruik van unilaterale mechanismen om de toegang tot gegevens technisch mogelijk te maken, zoals API’s or specifieke platforms die zij hebben opgezet om gegevens op te slaan, te verwerken en uit te wisselen.

Steeds vaker worden gegevens voor derden toegankelijk gemaakt via openbare API’s, dat wil zeggen een API die toegankelijk is voor een breder publiek en niet alleen voor partijen binnen dezelfde organisatie. Het aantal API’s is sinds 2010 drastisch gestegen en blijft stijgen 12 . 

API’s maken het vooral voor kleinere bedrijven mogelijk om op eenvoudige wijze bedrijfsgegevens te gebruiken of te hergebruiken. Gebruikersvriendelijke en goed ontwikkelde API’s helpen ecosystemen te creëren en uit te breiden met nieuwe en innovatieve producten die gebruik maken van gegevens die al verzameld zijn.

API’s kunnen interoperabiliteit bevorderen, omdat zij softwaretoepassingen in staat stellen om datasets en datastromen uit te wisselen 13 . Vanwege hun specifieke kenmerken kunnen API’s specificaties van de datasets zelf omvatten en het beheer van toegangsrechten op een technisch niveau aanbieden.

Op basis hiervan moedigt de Commissie bedrijven in heel Europa aan 14 om een breder gebruik van open, gestandaardiseerde en goed gedocumenteerde API’s te overwegen. Hierbij kan het gaan om gegevens die ter beschikking worden gesteld in machineleesbare formaten en de levering van bijbehorende metagegevens.

TomTom is een Nederlands bedrijf dat verkeers-, navigatie- en karteringsproducten produceert. Volgens de bevindingen van een door de Commissie gefinancierd onderzoek 15 is het leeuwendeel van de opbrengsten uit de activiteiten van het bedrijf afkomstig van de gegevens (kaarten en onlinediensten) die in licentie worden gegeven aan andere bedrijven. TomTom biedt application programming interfaces 16 aan voor ontwikkelaars als middel om toegang tot gegevens te krijgen. Volgens TomTom heeft dit, in vergelijking met andere technische middelen voor gegevensdeling, de volgende voordelen: -gemakkelijke en snelle toegang tot gegevens; -toezicht op het gegevensgebruik; -verificatie van contractbreuk; -snel optreden bij misbruik van gegevens (d.w.z. toegang tot gegevens beëindigen of tijdelijk blokkeren).

Bedrijven, vooral grotere bedrijven, ontwikkelen ook gespecialiseerde dataplatforms om regelmatige gegevensuitwisselingen met derden te beheren. Zij bieden extra functionaliteiten aan bij gegevensuitwisseling, vooral voor tweewegsgegevensuitwisseling, voor opslag binnen het platform en voor aanvullende diensten (gebaseerd op data-analyses) bij de gegevens.

Airbus is een Europese multinationale onderneming die burger- en militaire luchtvaartproducten ontwerpt, bouwt en verkoopt. Na gebruik te hebben gemaakt van diverse manieren om gegevens aan overheden en zakelijke partners beschikbaar te stellen, lanceerde Airbus in juni 2017 Skywise 17 , een "open digitaal platform voor de luchtvaart". Zakelijke cliënten stellen gegevens ter beschikking in ruil voor diensten op basis van data-analyses. Het voornaamste voordeel van deze technische benadering, gebaseerd op Hadoop-software, is de naadloze integratie met de bestaande IT-infrastructuren van luchtvaartmaatschappijen. Hierdoor kunnen deelnemers hun gegevens op eenvoudige wijze op het platform ter beschikking stellen. Airbus kan werken met het oorspronkelijke bestandsformaat en inzichten bieden via het platform met behulp van gemeenschappelijke tabellen en visualiatietools.

b)Tegeldemaking van gegevens via een gegevensmarktplaats van velen naar velen: De term "gegevensmarktplaats" wordt hier gebruikt om een specifiek type intermediair aan te duiden dat drie wezenlijke functies kan hebben: 1) het samenbrengen van potentiële leveranciers en afnemers van gegevens; hierbij kan sprake zijn van specifieke settings waarin de potentiële leverancier en de potentiële afnemer in eerste instantie anoniem kunnen blijven bij de voorbereiding van de gegevensoverdracht, omdat de intentie om te leveren of af te nemen al geheime bedrijfsinformatie kan prijsgeven (toekomstige bedrijfsstrategieën); 2) de feitelijke overdracht van de gegevens (en de overeengekomen vergoeding), met name het creëren van het vertrouwen dat het onderwerp van de onderhandelingen niet zal worden gewijzigd tijdens de onderhandelingen; 3) een certificeringsfunctie die zekerheid biedt dat de transactie daadwerkelijk heeft plaatsgevonden, mogelijk interessant voor verslaggeving in de financiële balans van de onderneming. Daarnaast kunnen dergelijke intermediairs aanvullende diensten aanbieden, zoals modelcontractclausules of anonimiseringsdiensten (indien persoonsgegevens of vertrouwelijke gegevens worden uitgewisseld). De rol van dit type intermediair eindigt zodra de gegevens zijn doorgegeven.

DAWEX 18 is een Frans bedrijf dat zichzelf beschrijft als een "Global Data Marketplace" die in 2015 is opgericht. Dawex koopt of verkoopt geen gegevens. Dawex brengt bedrijven samen die gegevens te gelde willen maken of willen hergebruiken. Het bedrijf bevordert de transparantie tussen leveranciers en gebruikers van gegevens door ervoor te zorgen dat de onderlinge communicatie en de transactie rechtstreeks op het platform plaatshebben. Dawex ontwikkelde een reeks tools om leveranciers en gebruikers van gegevens te helpen bij het begrijpen en beoordelen van en het communiceren over de gegevens. Visualisatietools (bv. hittekaarten, bomenkaarten) bieden gebruikers van gegevens uiteenlopende informatie over een volledige dataset; deze informatie kan op een veilige manier worden gedeeld voordat een transactie is afgerond. Steekproeftools genereren automatisch een gegevenssample op basis van algoritmes om vertekening te voorkomen. Gebruikers en leveranciers van gegevens communiceren met elkaar middels een berichtenfunctie die in het platform is ingebed. Daarnaast faciliteert Dawex de onderhandelingen over de contractuele overeenkomst door middel van modelvoorwaarden die automatisch kunnen worden gegenereerd.

c)Gegevensdeling via een technische enabler: Anders dan het eerder besproken type intermediair zijntechnische enablers sterk gericht op dienstverlening bij een uitwisseling van gegevens, zoals de verwerking van die gegevens om te voorzien in bepaalde bedrijfsbehoeften of om bepaalde vragen te beantwoorden. Belangrijker nog: een dergelijk type intermediair kan aanvullende functionaliteiten aanbieden waarmee de gegevensleverancier het gebruik van de gegevens kan controleren, met name de naleving van de bepalingen in de overeenkomst voor gegevensoverdracht. Hierbij kan het gaan om vormen van track-and-trace voor het gebruik van de gegevens, bijvoorbeeld het vastleggen van alle toegang tot de gegevens en verwerkingsactiviteiten – mogelijk door "distributed ledger"-technology (blockchain) te gebruiken of vormen van digitale watermerken te ontwikkelen. De intermediair kan ook zelfregulering ontwikkelen binnen de community van gebruikers van de gegevensruimte of het dataplatform, mogelijk met een reeks sancties voor gebruikers die in strijd handelen met individuele overeenkomsten voor gegevensoverdracht.

Nallian 19 heeft een cloudgebaseerd platform ontwikkeld dat realtime gegevensdeling mogelijk maakt en processynchronisatie ondersteunt. Het bedrijf werkt met een onderliggende technologielaag voor het delen van gegevens die kan worden aangepast aan de behoeften van gebruikers binnen een bepaalde community of een bepaald domein. Het platform is gebaseerd op cloudtechnologie, gecombineerd met een tool voor communitybeheer. De huidige gebruikers van de technische oplossing van Nallian zijn bedrijven die actief zijn in logistiek, in verticale leveringsketens en in multimodale transportnetwerken. Voor deze bedrijven blijkt het van cruciaal belang te zijn om fragmentieproblemen te kunnen overwinnen en op een naadloze wijze gegevens te kunnen uitwisselen. Het platform aanvaardt een brede reeks opties voor de invoer gegevens in de cloud: van het simpelweg uploaden van bestanden tot API-gebaseerde integraties. Het platform is verrijkt met waardetoevoegende API’s en apps die gebruik maken van een gemeenschappelijk gegevensmodel om alle opgeslagen gegevens op het platform te benutten en gebruikers waardevolle inzichten te bieden. Tot slot aanvaardt het platform ook gegevens die via aangesloten apparaten gepusht worden of B2B-berichten die via EDI (elektronische gegevensuitwisseling) worden uitgewisseld. Het platform stelt gegevensleveranciers in staat een gedifferentieerde controle te behouden op wie toegang heeft tot welke gegevens en voor welk doeleinde. Deze controle is mogelijk door een in het platform ingebedde toepassing voor het toekennen van rechten die gegevensleveranciers in staat stelt rollen en regels voor de gegevensdeling te bepalen voor de verschillende leden van een community, tot op veldniveau, onder wie aanbieders van apps. Daarnaast faciliteert het platform het anonimiseren en aggregeren van gegevens om te voldoen aan de noodzakelijke privacyvereisten.

4. De samenwerking tussen ondernemingen en overheden op het gebied van gegevens tot een succes maken, een checklist met aanwijzingen

De levering en het hergebruik van gegevens in B2G-relaties kan vele vormen aannemen, voor wat betreft de onderliggende mechanismen en het rechtsinstrument waarop de levering en het hergebruik stoelen. In dit deel worden enkele hiervan nader beschreven.

4.1. Modellen voor gegevensdeling tussen ondernemingen en overheden

a)Datadonorschap: De gegevensverstrekking tussen ondernemingen en overheden kan de vorm aannemen van een datadonorschap. Het kan worden gezien als een vorm van maatschappelijk verantwoord ondernemen. Een van de potentiële effecten hiervan zou zijn dat een dergelijk datadonorschapsprogramma wordt ondersteund door een speciaal team dat assistentie biedt aan iedere potentiële partij die geïnteresseerd is in het gebruiken van de gegevens.

b)Prijzen: Bij de samenwerking tussen ondernemingen en overheden kunnen ook prijzen in het leven worden geroepen die personen en bedrijven gespecialiseerd in data-analyses ertoe zouden kunnen aanmoedigen om oplossingen te vinden voor een bepaalde uitdaging van openbaar belang. Zo zou een overheidsorganisatie een uitdaging kunnen oppakken in samenwerking met een bedrijf dat de nodige gegevens van de particuliere sector versterkt om een dergelijke uitdaging tot een goed einde te brengen.

c)Datapartnerschappen tussen ondernemingen en overheden: De samenwerking tussen ondernemingen en overheden kan de vorm aannemen van datapartnerschappen. Overheidsinstanties kunnen met particuliere ondernemingen regelingen treffen die betrekking hebben op het wederzijds delen van gegevens en die in overeenstemming zijn met de PSI-richtlijn 22 , voor wat betreft overheidsinformatie die gedeeld wordt met de particuliere sector. Dit kan ook voordelen opleveren voor de particuliere onderneming, aangezien deze inzichten uit de correlatie tussen de gegevens van de particuliere sector en die van de overheidssector zal kunnen verkrijgen.

d)Intermediairs: Wanneer er geen vroegere relatie tussen een bedrijf en een overheidsinstantie is en er geen vertrouwen is tussen beide, kan een intermediair de opdracht krijgen de nodige inzichten te verwerven voor doeleinden van openbaar belang.

e)"Maatschappelijk delen van gegevens": Personen kunnen ertoe worden aangemoedigd om overheidsinstanties toestemming te verlenen voor de verwerking van hun persoonsgegevens die voorheen door een particuliere onderneming werden verwerkt. Hierbij dient te worden benadrukt dat overheidsinstanties in dit geval ook moeten voldoen aan de gegevensbeschermingswetgeving. De verwerking moet in overeenstemming zijn met een passende rechtsgrond (bijvoorbeeld: toestemming ingevolge artikel 6, lid 1, onder a), of de vervulling van een taak van algemeen belang ingevolge artikel 6, lid 1, onder e) 26 ). Een dergelijk "maatschappelijk delen van gegevens" heeft de meeste kans van slagen in situaties waarin een voldoende sterke band is tussen de burger en de overheidsinstantie in kwestie (bv. de gemeente waarin hij of zij woont) of wanneer het doel van openbaar belang bijzonder overtuigend is vanuit het oogpunt van de burger (bepaalde ziekten bestrijden, zorgen voor een goede afwikkeling van reizigersstromen bij populaire evenementen, enz.).

4.2. Juridische en praktische overwegingen bij de samenwerking tussen ondernemingen en overheden op het gebied van gegevensdeling

De volgende overwegingen kunnen overheidsinstanties en ondernemingen tot nut zijn bij het onderhandelen over en/of het opstellen van overeenkomsten voor gegevensgebruik:

a)Overheidsinstanties dienen een doel van openbaar belang, de gegevens van de particuliere sector en het vereiste niveau van gedifferentieerdheid aan te duiden. Enkele voorbeelden van gegevens van de particuliere sector die van belang kunnen zijn voor doeleinden van openbaar belang, zijn: socialemediagegevens, transactiegegevens of detailhandelgegevens. Ondernemingen kunnen ook onderzoeken of hun gegevens kunnen bijdragen tot een doel van openbaar belang en het onderhandelingsproces starten.

b)De partijen dienen de interne uitdagingen en beperkingen in verband met gegevensdeling te identificeren.

-Overheidsinstanties en ondernemingen dienen misschien te investeren in kennis- en gegevensbeheer.

-Ondernemingen die bedrijfsafdelingen oprichten voor gegevensdeling, inclusief het te gelde maken van gegevens in B2B-relaties, zullen ontdekken dat gegevensdeling tussen ondernemingen en overheidsinstanties (B2G) minder duur en moeilijk is qua gegevensbeheer, infrastructuur en het opstellen van juridische teksten. Naarmate gegevensdeling voor meer ondernemingen aan belang wint, zullen de kosten en de lasten per individuele samenwerking waarschijnlijk dalen.

-Ondernemingen en overheidsinstanties dienen ervoor te zorgen dat de bepalingen van de AVG en de e-privacywetgeving worden nageleefd (zorg dragen voor de rechtmatigheid van de verwerking, inclusief zich baseren op een rechtsgrond, zoals toestemming, correct gebruik van anonimiseringstechnieken, vertrouwelijkheid, eerbiediging van het beginsel van gegevensbescherming door ontwerp en door standaardinstellingen, gebruik van privacybeschermende analysemethoden, gegevensbeschermingseffectbeoordelingen, indien nodig).

-Om tot representatieve inzichten te komen en vertekening in de selectie te voorkomen, moeten overheidsinstanties een zorgvuldige analyse maken van potentiële databronnen en vaststellen welke beperkingen één specifieke gegevensverstrekker met zich brengt. Zij moeten zorgvuldig het volgende in overweging nemen: kijken naar overeenkomsten en verschillen van gegevens (triangulatie), modellen voortdurend controleren en herijken en zorgen voor een combinatie van, bijvoorbeeld, openbare raadpleging en instrumenten om bewijzen en opvattingen van belanghebbenden te verzamelen en risico's en mogelijke methodologische beperkingen bij databronnen van de particuliere sector te verkleinen.

c)De partijen dienen de technische voorzieningen of praktische regelingen voor gegevensdeling te kiezen die het meest geschikt zijn voor de interne uitdagingen en het gegevensbeheer.

-Overheidsinstanties dienen te voorzien in waarborgen voor de bescherming van legitieme commerciële belangen (bijvoorbeeld vertrouwelijke bedrijfsinformatie, bedrijfsgeheimen) en voor de beveiliging van de technische voorzieningen voor toegang tot de gegevens van de particuliere sector te zorgen. Gegevens van de particuliere sector die aan een overheidsinstantie worden verstrekt, dienen als vertrouwelijke gegevens te worden behandeld. In de betreffende gegevensverwerkingsinfrastructuren moet middels een verklarende aantekening en toegangsbeperkingen uitdrukkelijk worden aangegeven dat de gegevens onder vastgestelde vrijstellingen vallen wanneer de overheidsinstantie wordt onderworpen aan wetgeving inzake de toegang tot documenten. Er dienen passende maatregelen te worden getroffen om de beveiliging van de netwerk- en informatiesystemen te waarborgen.

-Overheidsinstanties dienen misschien hun technische en personeelscapaciteit te vergroten om de mogelijkheden te benutten die het gebruik van gegevens van de particuliere sector biedt.

d)De toepassingsvoorwaarden, de termijnen en de specifieke datasets die zullen worden gebruikt, dienen in het contract te worden vermeld.

-Overheidsinstanties dienen ervoor te zorgen dat hun verzoek om specifieke gegevens van de particuliere sector voldoet aan het evenredigheidsbeginsel en noodzakelijk is voor het bereiken van het omschreven doel van openbaar belang. In de overeenkomst dient te worden gespecificeerd dat de doorgegeven gegevens moeten worden gewist nadat het doel is bereikt of nadat de gebruiksduur is verstreken. Om dezelfde gegevens voor een ander doel te kunnen gebruiken, is een nieuwe of aangepaste samenwerkingsovereenkomst nodig.

-De partijen dienen de operationele voorwaarden voor de gegevensoverdracht vast te stellen: formaat van gegevens en metadata, kwaliteit, gedifferentieerdheid en duur van toegang en toegangsvorm.

-De partijen dienen de vergoeding te bepalen. Hiervoor zijn er verschillende opties, namelijk: beperking van de vergoeding tot een vergoeding pro rato van de aangegane kosten bij de productie, het behoud en de verspreiding van de gegevens – alleen bij uitzondering gecombineerd met een billijk rendement op investering – en beperking van de vergoeding tot maximaal de kosten van de verspreiding van de gegevens, aangezien de kosten in verband met de productie en het behoud van de gegevens al gedekt kunnen zijn door andere opbrengsten, afhankelijk van het geval. Bij de keuze van de optie zou rekening kunnen worden gehouden met het nagestreefde doel van openbaar belang en de bijzonderheden van de maatschappelijke behoefte waarin men tracht te voorzien.

-Om overheidsinstanties in staat te stellen de nodige kwaliteitsbeoordeling te maken en daarbij na te gaan of er mogelijk sprake is van een vertekening in de selectie of van andere kwaliteitsbeperkingen die misschien pas na het sluiten van de overeenkomst naar voren komen, dienen de bedrijven die de gegevens leveren, naar beste vermogen, in redelijke en proportionele mate steun te verlenen om de kwaliteit van de gegevens voor de vermelde doeleinden te kunnen beoordelen, bijvoorbeeld via de mogelijkheid om de gegevens te controleren of anderszins te verifiëren, wanneer dit wenselijk is.

e)De partijen dienen gemeenschappelijke richtsnoeren overeen te komen voor het toezicht op de uitvoering van het contract:

-Zij kunnen het eens worden over een gedragscode of bestaande ethische normen hanteren, zoals de praktijkcode Europese statistieken 27 , een coördinatiecomité instellen of een onafhankelijke controleur aanwijzen om toe te zien op het gegevensgebruik.

-De overheidsinstanties bouwen de nodige waarborgen in om te voorkomen dat de geraadpleegde gegevens worden misbruikt voor andere doelstellingen dan die welke contractueel zijn vastgelegd.

f)Het contract dient aansprakelijkheidsbepalingen te bevatten voor de levering van foutieve gegevens, onderbrekingen in de gegevensoverdracht, interpretatiewerk van lage kwaliteit, indien dit samen met datasets wordt gedeeld, of voor de vernietiging/het verlies of de wijziging van gegevens (onrechtmatig of per ongeluk) waardoor schade kan ontstaan.

g)In het contract dient te worden vastgesteld welk recht en welke geschillenbeslechtingsregelingen van toepassing zijn.
Iedere partij moet vrij kunnen zijn om het contract te beëindigen wanneer er sprake is van een juridisch of technisch risico met betrekking tot de verwerking of het gebruik van de uitgewisselde gegevens.

h)Overheidsinstanties dienen de resultaten/inzichten van de B2G-samenwerking te verspreiden en te zorgen voor feedbackmogelijkheden voor het publiek, wanneer dit nodig of van belang is, zonder afbreuk te doen aan de vertrouwelijkheid van de gegevens van de particuliere sector.

4.3. Technische middelen om samenwerking tussen ondernemingen en overheden tot stand te brengen

Bij iedere samenwerking tussen ondernemingen en overheden moet er worden besloten op welke wijze inzichten uit de gegevens van de particuliere sector zullen worden verkregen voor doeleinden van openbaar belang. Dit kan de daadwerkelijke overdracht van gegevens van de particuliere sector naar de IT-omgeving van de betreffende overheidsdienst inhouden. Dit is echter niet de enige mogelijkheid; er kunnen andere procedures worden overwogen. In dit deel wordt een overzicht gegeven van technische middelen die een alternatief vormen voor de overdracht van gegevens van de particuliere sector naar de IT-omgeving van de overheidsdienst. Deze technische mechanismen kunnen voorzien in regels voor de toegang tot en het gebruik van gegevens en tegelijkertijd een vertrouwde en beveiligde omgeving voor de uitwisseling van datasets aanbieden.

a)Dataplatforms: Dataplatforms kunnen een beveiligde omgeving bieden voor gegevensopslag en de uitwisseling van gegevens tussen ondernemingen en overheidsinstanties. Dergelijke platforms kunnen overheidsinstanties voorzien van gestandaardiseerde gegevens waarmee gedeelde databronnen of inzichten kunnen worden verkregen, in samenwerking met ondernemingen.

b)Algoritme naar de gegevens: Het algoritme naar de gegevens brengen kan een oplossing zijn voor beveiliging, gegevensbescherming en uitdagingen op het gebied van de privacy van gegevens. Deze oplossing komt tegemoet aan één van de voornaamste overwegingen voor het beschermen van persoonsgegevens en privacy: gegevens zo weinig mogelijk overbrengen of verplaatsen. Bij deze oplossing wordt het algoritme in de IT-omgeving van de particuliere onderneming geïnstalleerd; daar vindt de analyse plaats. Slechts de door het algoritme verkregen anonieme inzichten worden aan de overheidsinstantie teruggekoppeld. De dataverzoekinterface en analysemogelijkheden zouden door de onderneming en/of de overheidsinstantie in kwestie (of een betrouwbare intermediair) gezamenlijk kunnen worden ontworpen.

c)    Privacybeschermende berekening: In de afgelopen jaren zijn er diverse berekeningsmodellen ontwikkeld die het mogelijk maken bewerkingen uit te voeren op gegevens die vertrouwelijk moeten blijven. Dergelijke modellen maken het mogelijk de gewenste uitvoerinformatie op te halen zonder de invoergegevens openbaar te maken. Er kan dus een gegevensberekening plaatshebben op verschillende administratieve terreinen (openbaar of particulier) tegelijk, waarbij de gegevens het bedrijf niet hoeven te verlaten. Dergelijke modellen houden een fundamentele paradigmaverschuiving in van "gegevens delen" naar "berekening delen". Onder de bestaande methoden voor privacybeschermende berekening lijkt de categorie beveiligde multipartijberekening bijzonder geschikt voor B2G-samenwerking op het gebied van gegevens. Enkele eenvoudige technieken voor beveiligde multipartijberekening zijn zeer schaalbaar en krachtig. Een aantal bedrijven biedt de technologie en de betreffende platforms al aan. Er zijn studies verricht waarbij gebruik is gemaakt van deze techniek bij B2G-samenwerking.

(1)

Inclusief het Europees dataportaal https://www.europeandataportal.eu .

(2)

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37). Zie ook: Voorstel voor een verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie), COM(2017) 10 final van 10.1.2017.

(3)

COM(2017) 495 final.

(4)

COM(2017) 9 final.

(5)

  https://ec.europa.eu/digital-single-market/en/news/synopsis-report-public-consultation-building-european-data-economy  

(6)

COM(2018) 232.

(7)

COM(2018) 232.

(8)

Bijvoorbeeld door robots geproduceerde gegevens in het kader van industriële processen, die relevant zijn voor de klantenservice (bv. herstel en onderhoud), of gegevens over de beoordeling van dienstverleners.

(9)

     Zie bijvoorbeeld de Richtsnoeren inzake verticale beperkingen van de Commissie, PB C 130, 19.5.2010, blz. 1, en de Richtsnoeren betreffende de handhavingsprioriteiten van de Commissie bij de toepassing van artikel 82 van het EG-Verdrag [nu artikel 102 VWEU] op onrechtmatig uitsluitingsgedrag door ondernemingen met een machtspositie, PB C 45, 24.2.2009, blz. 7.

(10)

Zie "Annex to the Commission implementing decision on the adoption of the work programme for 2018 and on the financing of Connecting Europe Facility (CEF) - Telecommunicatienet Sector", blz. 42.

(11)

De beschreven mechanismen en de voorbeelden zijn genomen uit een onderzoek naar gegevensdeling tussen bedrijven in Europa, dat namens de Commissie is verricht door Everis (onderzoeksverslag in voorbereiding).

(12)

  http://www.programmableweb.com/api-research  

(13)

Zie de bijzonderheden van het document met richtsnoeren voor API’s, opgesteld door het netwerk Share-PSI dat medegefinancierd is door de Europese Commissie in het kader van het Kaderprogramma voor concurrentievermogen en innovatie: http://www.w3.org/TR/dwbp/#useanAPI .

(14)

COM(2017) 9 final.

(15)

Everis, "Study on data-sharing between companies in Europe" (Onderzoek naar gegevensdeling tussen bedrijven in Europa, verslag in voorbereiding)

(16)

  https://developer.tomtom.com/tomtom-maps-apis-developers  

(17)

  https://services.airbus.com/maintenance/expertise-and-other-services/skywise/skywise

(18)

  https://www.dawex.com/en/  

(19)

  https://www.nallian.com/  

(20)

  https://mastercardcenter.org/action/call-action-data-philanthropy/  

(21)

  http://ec.europa.eu/research/horizonprize/index.cfm?prize=bigdata  

(22)

Richtlijn 2003/98/EG van het Europees Parlement en de Raad van 17 november 2003 inzake het hergebruik van overheidsinformatie (PB L 345 van 31.12.2003, blz. 90).

(23)

De Meersman et al (2016): Assessing the Quality of Mobile Phone Data as a Source of Statistics, https://ec.europa.eu/eurostat/cros/system/files/assessing_the_quality_of_mobile_phone_data_as_a_source_of_statistics_q2016.pdf  

(24)

Bureaus voor de statistiek houden registers bij met persoons- en bedrijfsgegevens. Deze registers kunnen echter niet met andere partijen worden gedeeld wegens de bescherming van persoonsgegevens en beperkingen in verband met de statistische geheimhoudingsplicht. Gegevens van de particuliere sector kunnen evenwel worden gekoppeld aan registergegevens; de beveiliging van de gegevens blijft daarbij gewaarborgd. Geaggregeerde statistische resultaten die niet naar de betrokkene kunnen worden teruggeleid, mogen als resultaat van deze analyse worden gepubliceerd.

(25)

  https://www.cdrc.ac.uk/  

(26)

Indien overheidsinstanties zich beroepen op artikel 6, lid 1, onder e), van de AVG ("de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang") moet een dergelijke rechtsgrond worden vastgesteld bij Unierecht of lidstatelijk recht. In het geval van een dergelijk "maatschappelijk delen van gegevens", moeten betrokkenen bovendien duidelijk worden geïnformeerd, zoals over het recht om hun toestemming in te trekken en over een mogelijke verdere verwerking van hun persoonsgegevens door de overheidsinstanties.

(27)

In het geval van overeenkomsten met bureaus voor de statistiek, valt te denken aan de praktijkcode Europese statistieken, http://ec.europa.eu/eurostat/web/products-manuals-and-guidelines/-/KS-32-11-955  

(28)

  https://www.cbs.nl/nl-nl/onze-diensten/innovatie/big-data  

(29)

  http://www.opalproject.org/about-us/  

(30)

Bogdanov (et al.), Students and Taxes: a Privacy-Preserving Social Study Using Secure Computation. In Proceedings on Privacy Enhancing Technologies, PoPETs, 2016 (3), pp 117–135, 2016. (Uitgebreide versie, pdf).