Data Governance Act levert Nederland vrijwel niets op

In september 2023 is de Data Governance Act (DGA) in de Europese Unie ingegaan. Onderdeel van de DGA is het commercieel hergebruik van beschermde overheidsinformatie. De DGA moet samen met de Data Act (DA) de dataeconomie van de EU vergroten en digitale soevereiniteit versterken. Het is de bedoeling dat de goudmijn aan beschermde en niet eerder gebruikte overheidsgegevens, die persoonsgegevens of bedrijfsgevoelige informatie bevatten, onder voorwaarden toch commercieel kan worden ontgonnen. Hoe staat het hiermee anderhalf jaar later? In dit artikel ga ik hier dieper op in, want in de praktijk blijkt het toch niet zo simpel en rooskleurig te zijn.

Zo blijkt namelijk dat commercieel hergebruik van overheidsgegevens onder de DGA in Nederland helemaal niet mogelijk is. Hergebruik onder de DGA levert ons economisch dus niets op, terwijl de Europese Commissie en Nederlandse overheid wel veel werk hebben zitten de implementatie. Daardoor schiet de DGA voorbij aan zijn doel: het vergroten van de data-economie. Daarnaast rijst nog de vraag of het wel wenselijk is dat deze gevoelige gegevens hergebruiken. De gevolgen van het commercieel hergebruik van deze gegevens kunnen namelijk groot zijn.

Geen grondslag voor commercieel hergebruik in Nederland

In Nederland is het mogelijk om overheidsinformatie commercieel te hergebruiken door middel van de Wet open overheid (Woo) in samenhang met de Wet hergebruik overheidsinformatie (Who). Openbaarmaking en hergebruik is alleen niet toegestaan als het gevoelige gegevens betreft, zoals persoonsgegevens of bedrijfsgevoelige informatie.[1]

Om commercieel hergebruik van deze gegevens toch te bevorderen, is de DGA in het leven geroepen. Deze verordening brengt in praktijk alleen weinig verandering. De DGA schept geen verplichting voor lidstaten om hergebruik van gevoelige overheidsinformatie toe te staan.[2] De verordening geeft wel voorwaarden hoe bepaalde overheidsinformatie toch hergebruikt kan worden[3], áls daar in nationale wetgeving een grondslag voor bestaat. We vallen in Nederland daarom terug op onze eigen grondslagen, en daar is niet heel veel mogelijk.

Op dit moment zijn er een aantal grondslagen voor hergebruik van overheidsinformatie te vinden. Een niet-limitatieve lijst:

• Artikel 5.7 van de Wet open overheid;
• Artikel 41 van de Wet op het Centraal bureau voor de statistiek;
• Artikel 3.13 van de Wet basisregistratie personen;
• Artikel 22 van de Wet politiegegevens;
• Artikel 7:458 van het Burgerlijk Wetboek;
• Artikel 15 van de Wet justitiële en strafvorderlijke gegevens.

Wie deze artikelen goed leest, ziet dat hergebruik op deze gronden alleen is toegestaan ten behoeve van historisch, statistisch, wetenschappelijk of journalistiek onderzoek.  Een commerciële grond voor hergebruik ontbreekt dus. Wie denkt dat er ergens nog wel een grondslag te vinden moet zijn, heeft het mis. In haar antwoorden op vragen van Nederlandse parlementsleden bij de behandeling van de Uitvoeringswet dataovernanceverordening, heeft de regering bevestigd dat er in Nederland geen grondslagen zijn voor commercieel hergebruik als bedoeld in deze verordening. Een dergelijke grondslag is op dit moment ook niet voorzien.[4]

Moet er dan geen grondslag voor commercieel hergebruik komen?

Een oplossing zou kunnen zijn dat er toch een grondslag voor commercieel hergebruik komt in Nederland. Zo zou bijvoorbeeld artikel 5.7 van de Woo de mogelijkheid kunnen bieden voor een bestuursorgaan om naast historisch, statistisch, wetenschappelijk en journalistiek onderzoek, ook commercieel hergebruik toe te staan.

Dan toch is het vaak niet mogelijk om persoonsgegevens zomaar commercieel te hergebruiken. De AVG en het doelbindingsbeginsel blijven onverminderd gelden en prevaleren zelfs bij strijd met de AVG.[5] Dat betekent dat overheidsinstellingen bij elke aanvraag een afweging moeten maken voor welke welbepaalde, uitdrukkelijk omgeschreven en gerechtvaardigde doeleinden de gegevens zijn verzameld, en of zij niet verder op een met die doeleinden onverenigbare wijze worden verwerkt bij de hergebruiker. De Autoriteit Persoonsgegevens (AP) heeft zich hierover al eerder kritisch uitgelaten, omdat onverenigbaarheid zich al snel voordoet.[6] Commercieel hergebruik gaat namelijk een flinke stap verder dan het doel waarvoor de gegevens zijn verzameld door de overheid.

Men kan zich ook afvragen of het wel wenselijk is dat bedrijven nieuwe producten ontwikkelen door middel van hergebruik van jouw persoonsgegevens bij de overheid. Zoals een commercieel bedrijf dat nieuwe producten kan ontwikkelen door middel van geanonimiseerde politiedata. Zou dit überhaupt mogelijk moeten worden gemaakt? En is het dan ook wenselijk dat dit bedrijf een octrooi kan vestigen op het product dat met gebruik van deze gevoelige gegevens is ontwikkeld? Daarbij valt nog te hopen dat de partij die aan de slag gaat met de gevoelige gegevens, hiermee netjes omgaat.

Er geldt wel een verbod om datasubjecten uit de geanonimiseerde of gepseudonimiseerde datasets te heridentificeren.[7] Maar ondanks dit verbod zal heridentificatie gegarandeerd vaker voorkomen als commercieel hergebruik mogelijk wordt gemaakt. De AP waarschuwde in 2022 al dat het vanwege nieuwe technologieën en meer beschikbare gegevens in de toekomst steeds makkelijker wordt om personen te heridentificeren.[8] Mocht heridentificatie voorkomen, dient de hergebruiker het bestuursorgaan hierover te informeren. Voor het bestuursorgaan gelden dan ook de meldplichten uit artikel 33 en 34 van de AVG. Wanneer het gaat om niet-persoonsgebonden gegevens informeert de hergebruiker de rechtspersoon op wie de gegevens betrekking hebben.[9] Alleen is het kwaad dan al geschied.

Wel kosten, weinig opbrengsten

Gelukkig komt er voorlopig geen grondslag voor commercieel hergebruik in Nederland en blijft het lastig om te voldoen aan het principe van doelbinding. Alleen nu is er een situatie ontstaan dat in Nederland een Europese verordening geldt, waarvan het hoofdstuk over hergebruik van overheidsinformatie geen toepassing vindt. Er zijn wel kosten gemaakt voor het maken en implementeren van deze verordening. Bovendien moet Nederland een verplicht centraal informatiepunt instellen voor data in beheer bij bestuursorganen.[10]

De kosten voor een lidstaat zijn door de Europese Commissie begroot op eenmalig 10,6 miljoen euro en daarna jaarlijks 600.000 euro voor onderhoud.[11] Volgens de Nederlandse regering zal het in Nederland minder zijn, omdat het wordt gekoppeld aan het bestaande informatiepunt data.overheid.nl.[12] Daarbovenop komen nog wel de kosten die het CBS maakt voor technische bijstand en de kosten van het desbetreffende bestuursorgaan. Deze kosten mogen worden verhaald op de aanvrager, maar organen kunnen er voor kiezen om deze kosten te laten vallen voor wetenschappelijke doeleinden, kleine en middelgrote ondernemingen en startups.[13]

Van goudmijn naar papieren tijger

Samenvattend kan de DGA op het gebied van hergebruik veel betekenen voor het vergroten van onze data-economie, maar de toegevoegde waarde in Nederland blijft beperkt. Op het gebied van open overheidsinformatie is er al heel veel mogelijk onder het stelsel van de Woo en de Who. De DGA vormt een aanvulling en regelt voorwaarden waarmee gevoelige overheidsinformatie toch hergebruikt kan worden. In Nederland ontbreekt momenteel alleen de cruciale grondslag voor commercieel hergebruik. Het blijft beperkt tot personen met een bijzondere onderzoeksfunctie, zoals wetenschappers en journalisten. De voorbereidingshandelingen voor commercieel hergebruik zijn klaar, maar de goudmijn kan nog niet worden ontgonnen.

Het doel om de Europese data-economie te vergroten wordt niet gehaald. Nederland is natuurlijk niet het enige EU-land, maar het is maar de vraag of andere landen wel een grondslag voor commercieel hergebruik van gevoelige overheidsinformatie bieden. Dat er in Nederland geen grondslag bestaat en voorlopig ook niet komt, is gezien de grote gevolgen voor privacy ook niet zo vreemd. Wat er van de DGA overblijft? Een papieren tijger.

[1] Artikel 5.1 lid 1 Woo.

[2] Artikel 1 lid 2 en overweging 11 DGA.

[3] Artikel 5 DGA.

[4] Vragen van GroenLinks-PvdA. Kamerstukken II 2023/24, 36451, nr. 6, p. 2 (NV II).

[5] Artikel 1 lid 3 DGA; overweging 4 DGA.

[6] Advies over het concept voor het wetsvoorstel implementatie Open data richtlijn (AP-advies nr. z2022-00356 van 28 juni 2022 aan de Minister van BZK), Den Haag: AP 2022, p. 3-4.

[7] Artikel 5 lid 5 DGA; overweging 8 DGA.

[8] Advies over het concept voor het wetsvoorstel implementatie Open data richtlijn (AP-advies nr. z2022-00356 van 28 juni 2022 aan de Minister van BZK), Den Haag: AP 2022, p. 5.

[9] J.B.A. Gerritsen, ‘De Data Governance Act’, p. 54-55.

[10] Artikel 8 DGA.

[11] Commission Staff Working Document, ‘Impact Assessment Report’, SWD(2020)295 final, par. 8.

[12] Rijksoverheid.nl, ‘Fiche 2 Verordening Data Governance Act’, 25 november 2020, te raadplegen via: www.rijksoverheid.nl/documenten/publicaties/2020/11/25/fiche-2-verordening-data-governance-act.

[13] Artikel 6 DGA.