Dossier DGA deel 2: databemiddelingsdiensten komen langzaam van de grond

Datamiddelingsdiensten zijn een nog niet zo bekend fenomeen, maar kunnen dat in de toekomst wel worden. Deze diensten maken onderdeel uit van de Data Governance Act (DGA), die de Europese dataeconomie moet vergroten. Bijna twee jaar na inwerkingtreding kunnen we de eerste balans opmaken. Op dit moment zijn er 24 bemiddelingsdiensten geregistreerd in de Europese Unie, waarvan 8 uit Nederland. In deel 2 van Dossier DGA onderzoek ik wat deze diensten doen, wat ze ons opleveren en wat ze betekenen voor onze privacy. In deel 1 ben ik ingegaan op het commercieel hergebruik van beschermde overheidsinformatie.

Het doel van de DGA is om het vertrouwen van datasubjecten en datahouders te vergroten, waardoor ze sneller data gaan delen. Regels uit de DGA moeten dit bewerkstelligen. Hoofdstuk III over databemiddelingsdiensten is een van de pijlers van de DGA, samen met het commercieel hergebruik van beschermde overheidsinformatie (hoofdstuk II), data-altruïsme (hoofdstuk IV) en een Europees Comité voor gegevensinnovatie (hoofdstuk VI).

Wat zijn databemiddelingsdiensten precies?
Databemiddelingsdiensten zijn onafhankelijke intermediairs die datasubjecten en datahouders enerzijds en datagebruikers anderzijds met elkaar in contact brengen. Een voorbeeld is een marktplaats waar bedrijven datasets aan elkaar kunnen verkopen om er zo nieuwe producten mee te ontwikkelen. Deze platforms moeten tegenwicht bieden aan Big Tech-platforms die vaak al over genoeg data beschikken. Vooral het midden- en kleinbedrijf zou hierdoor makkelijker kunnen innoveren en producten ontwikkelen.

De DGA maakt onderscheid in drie soorten databemiddelingsdiensten[1]. Het Joint Research Centre van de Europese Commissie specificeert deze drie soorten vervolgens met een aantal concrete toepassingen[2]:

Data Governance Act	Joint Research Centre
a.       Bemiddelingsdiensten tussen gegevenshouders en potentiële gegevensgebruikers, vooral op het gebied van business-to-business (B2B).	–              Datamarktplaatsen: bijvoorbeeld waar agrarische data kan worden verhandeld. –              Data pools: gemeenschappelijke data pools waar meerdere bedrijven in dezelfde toeleveringsketen informatie met elkaar uitwisselen.
b.       Bemiddelingsdiensten tussen datasubjecten en gegevensgebruikers. Dit betreft vooral business-to-customer (B2C) relaties.	–              Personal Information Management Systems (PIMS): websites waar gebruikers hun data bij verschillende organisaties kunnen beheren, terugtrekken en organiseren.
c.       Gegevenscoöperaties die natuurlijke personen of het MKB helpen met de uitoefening van hun rechten of onderhandelt met potentiële gegevensgebruikers	–              Datacoöperaties: democratische controle over data door leren, gericht op collectieve besluitvorming over het gebruik van data. –              Data trusts: een neutrale entiteit die data beheert namens de datasubjecten op basis van juridische principes. –              Databonden: collectieve bonden die onderhandelen over de rechten op persoonlijke data, vaak voor platformgebruikers.

Hoewel dit best breed is geformuleerd, is het niet de bedoeling dat cloudopslag, data-analyse, webbrowsers en e-maildiensten onder deze definitie vallen.[3] Ook marktplaatsen met data waar auteursrecht op rust, PSD2-diensten en ‘consolidated tape’-platforms (met beursinformatie) vallen hier niet onder.[4] Het is dus vooral de bedoeling dat datagebruikers in contact worden gebracht met datahouders -of subjecten én dat er geen rechten worden overgedragen aan de databemiddelingsdiensten. Databemiddelingsdiensten moeten zich registreren voordat ze aan de slag mogen.

Steeds meer databemiddelingsdiensten geregistreerd
Een blik op het register van de EU toont ons dat er op dit moment (27 juni 2025) 24 diensten zijn geregistreerd uit 6 verschillende landen, waarvan 8 uit Nederland.[5] Vooral laatste tijd gaat het hard. Eind 2024 stonden er nog 11 organisaties geregistreerd, waarvan geen uit Nederland. Dat komt ook deels omdat Nederland pas in november 2024 de Autoriteit Consument & Markt (ACM) heeft aangewezen als bevoegde autoriteit voor databemiddelingsdiensten uit de DGA.[6] In februari 2025 keurde de ACM de eerste Nederlandse organisatie goed en daarmee de eerste registratie. De acht Nederlandse goedgekeurde organisaties lopen uiteen van een commercieel handelsplatform voor gegevens uit de openbare ruimte tot een ID-app gesteund door een Nederlandse stichting.

Kritiek op registratie en toezicht
De voorgaande voorbeelden zijn initiatieven die best wel impact kunnen maken op de privacy van betrokkenen. Zonder voldoende waarborgen kunnen er risico’s ontstaan voor datasubjecten bij deze databemiddelingsdiensten. De EDPB en de EDPS benoemen dit in hun gezamenlijk advies op het voorstel van de verordening. Het verplichte registratiesysteem uit het voorstel – dat nu in werking is getreden – voorziet in hun ogen “niet in een voldoende strenge screeningsprocedure van deze diensten”.[7] Zij zien meer in vergelijkbare verantwoordings- en nalevingsinstrumenten zoals in de AVG. Denk hierbij aan gedragscodes of certificeringsmechanismen.

Het huidige registratiemechanisme is als volgt. De diensten moeten zich eerst registreren bij de bevoegde autoriteiten, zoals de ACM.[8] Daarna kunnen ze aan de slag in de gehele EU als ze voldoen aan de voorwaarden voor bemiddelingsdiensten uit hoofdstuk III.[9] Daarbij kan de ACM aan de Autoriteit Persoonsgegevens (AP) om advies vragen of de aanvrager voldoet aan de voorwaarden uit de DGA wat betreft de bescherming van persoonsgegevens.[10] Na bevestiging door de ACM mogen de databemiddelingsdiensten ook een logo gebruiken dat ze een erkend aanbieder zijn.[11]

De belangrijkste voorwaarde om vertrouwen te wekken, is dat bemiddelingsdiensten neutraal zijn. Ze mogen geld verdienen aan en data gebruiken van de bemiddelingsdienst zelf, maar ze mogen niet geld verdienen aan de hand van de data die op het platform wordt verhandeld.[12] Ook mag er geen belangenverstrengeling ontstaan met andere (commerciële) activiteiten die ze ondernemen. Zo moet de bemiddelingsdienst via een losse rechtspersoon moet worden aangeboden en mogen de commerciële voorwaarden van de bemiddelingsdienst niet afhangen van het gebruik van andere diensten bij het bedrijf.[13] Er zijn verder nog een aantal andere eisen, zoals interoperabiliteit, beveiliging, continuïteit, transparantie, een meldplicht en logging van activiteiten.[14] De vraag is of dit voldoende waarborgen zijn voor de privacy van betrokkenen.

Ook de manier waarop de ACM na de registratie toezicht gaat houden deze databemiddelingsdiensten, is nog niet duidelijk. Wat kan een organisatie verwachten ten aanzien van dit toezicht? Gaat de ACM bij deze organisaties regelmatig en fysiek controleren of zij stiekem de verkregen data uit de bemiddelingsdiensten niet gebruiken om zelf producten te ontwikkelen? Dit is wel nodig om het vertrouwen in deze diensten te vergroten.

Wat levert het economisch op?
De Europese Commissie heeft in haar voorstel niet voor niets gekozen voor deze ‘certificering’ van databemiddelaars. De overgebleven opties waren (1) een geschiktheidscontrole op de wettelijke vereisten voor bemiddelingsdiensten door de bevoegde autoriteiten of (2) verplichte certificering door particuliere certificeringsorganisaties.  Beide opties leveren ongeveer evenveel economische groei op voor bedrijven. Het zou databemiddelingsbedrijven 25% tot 50% meer omzet en klanten opleveren en een versnelling tot 50% in de groei van het bedrijf.

Daarentegen kan de tweede optie wel een buitensporig effect hebben op midden- en kleinbedrijven en startups. Voor de eerste optie zijn de certificeringskosten namelijk eenmalig €20.000 tot €50.000 en vervolgens €20.000 tot €35.000 per jaar. De tweede optie kost bedrijven eenmalig €35.000 tot €75.000 en dan €20.000 – €50.000 per jaar.[15] Hoeveel dit op jaarbasis in de hele EU oplevert, blijkt niet duidelijk uit de studie ter ondersteuning van de Impact Assessment. Dat komt omdat er te weinig kwantitatieve economische data is om met enige zekerheid de impact op de economie te berekenen. Alleen blijkt uit de onderliggende schattingen die Deloitte gebruikt dat de totale economiegroei voor databemiddelingsdiensten in de EU ongeveer 70 miljoen euro is over de periode 2024 tot en met 2028, nog los van de kosten voor bedrijven en toezichthouders.[16] Gezien de totale verwachte groei van de dataeconomie door invoering van de DGA  van 7,2 tot 10,9 miljard euro, is dit dus een druppel op een gloeiende plaat.[17]

Eind 2025 evaluatie door Europese Commissie
Hoewel databemiddelingsdiensten tegenwicht moeten bieden aan de dataplatforms van Big Tech, lijkt de impact bijna twee jaar na inwerkingtreding nog erg beperkt. De DGA moet het vertrouwen van datasubjecten en -houders in databemiddelingsdiensten verhogen, zodat er sneller en meer data wordt gedeeld. Het is nog niet duidelijk of dit vertrouwen echt wordt gewekt. De EDPB en EDPS leveren kritiek op de manier van certificeren, die beter in lijn kan worden gebracht met de AVG. Ook het toezicht op databemiddelingsdiensten moet duidelijker worden omgeven, zodat data met een gerust hart kan worden gedeeld op deze platforms. De toename in registraties laat zien dat het systeem langzaam begint te werken, maar vertrouwen is dus het sleutelwoord bij de DGA en ook de factor die het succes van bemiddelingsdiensten gaat bepalen. In september 2025 komt de Europese Commissie met een evaluatie van de DGA, samen met de Open datarichtlijn en Datarichtlijn.[18] Daaruit moet blijken of dat is gelukt.

[1] Artikel 10 DGA.

[2] M. Micheli e.a., Mapping the landscape of data intermediaries, Publications Office of the European Union, https://dx.doi.org/10.2760/8943.

[3] Overweging 28 DGA.

[4] Overweging 29 DGA.

[5] https://digital-strategy.ec.europa.eu/en/policies/data-intermediary-services

[6] Artikel 2, lid 6, onder a, van de Uitvoeringswet datagovernanceverordening.

[7] Gezamenlijk advies nr. 3/2021 van de EDPB en de EDPS over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende Europese datagovernance (Datagovernanceverordening), punt 140.

[8] Artikel 11 lid 1 DGA

[9] Artikel 11 lid 4 en 5 DGA.

[10] Artikel 7 lid 1 Uitvoeringswet datagovernanceverordening.

[11] Artikel 11 lid 9 DGA.

[12] Artikel 12 onder c DGA.

[13] Artikel 12 onder a en b DGA.

[14] Artikel 12 onder d t/m o DGA.

[15] Commission Staff Working Document, ‘Impact Assessment Report’, SWD(2020)295 final, par. 8.

[16] Europese Commissie (uitgevoerd door Deloitte), Support Study to this Impact Assessment, SMART 2019/0024, p. 188.

[17] Commission Staff Working Document, ‘Impact Assessment Report’, SWD(2020)295 final, par. 8.1.

[18] Artikel 35 DGA; zie ook https://digital-strategy.ec.europa.eu/en/funding/call-tenders-evaluation-data-related-legislation