Business-to-government datadelen via een derde. Onderzoek naar een generiek juridisch-technisch data governance raamwerk download
Abstract
Bedrijven bezitten gegevens die een (lokale) overheid kunnen helpen een meer accuraat en evidence-based beleid te vormen en uit te voeren. Bestaat er een werkwijze waarop een gemeente toegang kan verkrijgen tot gegevens die bedrijven bezitten, en kunnen gemeenten die vervolgens op verantwoorde wijze verwerken zonder de rechten, belangen en het vertrouwen van de betrokken bedrijven, consumenten en burgers te beperken of te schaden? Op dit moment vindt business-to-government gegevensdeling (‘B2G’) op beperkte schaal plaats, en voor zover het al gebeurt, geschiedt het veelal op ad hoc basis. Een dergelijke onsystematische toegang tot gegevens is problematisch omdat deze een meer georganiseerde en voorspelbare ondersteuning van accuraat, evidence-based beleid kan belemmeren. De EU-wetgever heeft wetgeving aangenomen (Data Act) om B2G een kader te bieden, maar dat biedt nog niet de gewenste duidelijkheid – noch voor gemeenten, noch voor bedrijven.
Bedrijven zijn terughoudend met het delen van gegevens, omdat met gegevens economische, technische, politieke en juridische risico’s gemoeid zijn. Deze en andere hindernissen zouden deels mogelijk kunnen worden overkomen door het delen van de gegevens te laten verlopen via een derde partij die erop gericht is de gegevensdeling tussen bedrijven en de gemeente op een juridisch correcte wijze en daarmee betrouwbare manier te (laten) delen. Deze derde, die we ‘data intermediary’ noemen mag, teneinde een dergelijke dienst aan bedrijven als de gemeente te kunnen bieden, deze gegevens alleen delen volgens een toegankelijk, transparant en handhaafbaar en specifiek op de situatie gericht juridisch data governance regime. De onlangs in werking getreden EU-Data Governanceverordening (‘DGA’) biedt data intermediaries enkele normen, maar nog geen sluitend data governance regime.
Omdat er geen sluitende regelgeving is voor een dergelijk data govenance regime voor B2G via een data intermediary (B2G3P) dat de rechten en belangen van alle belanghebbenden, met name van hen die hun gegevens beschikbaar stellen, op juridische wijze reguleert, onderzoek ik in deze paper of een generiek data governance raamwerk ontwikkeld kan worden, dat juridische, organisatorische en technische voorwaarden die aan een dergelijk raamwerk moeten worden gesteld, op adequate wijze waar kan maken. We concluderen voorlopig het volgende:
i. een geschikt generiek juridisch data governance raamwerk dient de juridische, organisatorische en technische (‘socio-technische’) aard van gegevensdeling tussen bedrijven, lokale overheden en de data intermediary op passende wijze te reguleren;
ii. dat de EU-wetgeving enkele grondlijnen maar geen sluitend kader voor een generiek juridisch data governance raamwerk biedt;
iii. dat bestaande wetgeving op coherente en consistente wijze moet worden toegepast maar dat dit rechtsonzekerheid met zich meebrengt voor lokale overheden; en
iv. dat bij het ontwikkelen van een generiek juridisch data governance raamwerk een effectieve mix van juridische, organisatorische en technische (‘socio-technische’) aspecten moet worden geadresseerd en dat daarvoor passende socio-technische mechanismen moeten worden ontworpen.