We bevinden ons halverwege de zogenoemde Digital Decade, het decennium dat door de Europese Unie is uitgeroepen tot omslagpunt naar een zo digitaal mogelijke wereld. En dat hebben we wel gemerkt. Met de Data Act, de NIS2-richtlijn, de AI Act, de Data Governance Act en veel eerder de AVG, timmert de Europese Commissie stevig aan de interne vrije markt, met name het vrij verkeer van data.

Auteur kennisbijdrage: Mr. Corry-Anne van der Tang, M&I/Partners

Er komt nog veel aan; om maar te noemen de Cyber Resilience Act, Critical Entities Resilience Directive en de Cyber Security Act. Voordat je door de bomen het bos niet meer ziet in deze stortvloed aan regelgeving, zal ik je in dit artikel meenemen in de gedeelde thema’s in al deze regelgeving. We duiken in de overkoepelende thema’s en geven je een overzicht in onze wetgevingsradar van de aankomende wetgevingen voor gemeenten.

Verschillend in focus

Het is goed om in al die regelgeving het verschil te zien in waar de focus wordt gelegd. Er is een onderscheid in productwetgeving en organisatiewetgeving. Productwetgeving zie je heel goed terug in de AI Act: de regels gelden voor een AI-systeem dat aan de definitie moet voldoen, met certificeringseisen, beveiligingseisen en kwaliteitseisen. Hetzelfde soort regels zie je terug in de Data Act en de Cyber Resilience Act. Anderzijds zie je organisatiewetgeving die van toepassing is als de organisatie aan bepaalde drempelwaarden moet voldoen. Dit zie je terug in de AVG, de NIS2-richtlijn en de Critical Entities Resilience Directive. Het soort regels is hier verantwoordingsplicht, zorgplicht en meldplicht.

Data Act

We zoomen even in op de Data Act die recent in werking is getreden, net als de Uitvoeringswet dataverordening. De Data Act wil datagestuurde innovatie stimuleren door belemmeringen voor hergebruik van data op te ruimen. De Data Act richt zich met name op leveranciers van producten die data genereren (Internet of Things, IoT). Gebruikers krijgen rechten om die data op te vragen en te gebruiken. Voor organisaties in zorg en overheid zijn de wijzigingen beperkt.

Overkoepelende thema’s

Door geopolitieke spanningen aan de grenzen van Europa en internationale handelsconflicten, krijgt cyberweerbaarheid en digitale beveiliging tegen externe aanvallen steeds meer aandacht. Daarnaast werkt Europa aan hogere standaarden en meer innovatie voor onze producten en diensten. Om niet alle wetgeving te hoeven doorspitten, geef ik een samenvatting met een focus op governance, geletterdheid, hergebruik, interoperabiliteit, gebruikersrechten en beveiliging, die ik hierna bespreek. Hierbij kan je goede beveiliging zien als het fundament en goede governance als het dak dat alles overspant en met elkaar verbindt (afbeelding 1)

1. Governance

Anders dan je van de naam zou verwachten, creëren de Data Act en de Data Governance Act geen standaarden voor kwaliteit en governance van data door organisaties. Deze wetgeving ziet vooral op het inrichten van een Europees brede strategie en toezicht op dataverwerkers. De AI Act daarentegen stelt wel specifieke eisen aan datasets als daarop een hoog risico AI-systeem wordt getraind of draait.[1]

2. Geletterdheid

Als je de governance op de achtergrond goed geregeld hebt, moet je als organisatie ook weten hoe je met al die data om moet gaan. Er zijn hoge subsidies in het vooruitzicht gesteld om het kennisniveau van de Europese werkende op te krikken. In de Data Act worden overheden verplicht om de datageletterdheid van burgers en organisaties te bevorderen. [2] De Cyber Resilience Act zet in op het verhogen van cybergeletterdheid door overheden. [3] Volgens de AI Act moeten alle organisaties die hun personeel met AI-systemen laten werken de AI-geletterdheid opkrikken.[4] En specifiek in het kader van cyberveiligheid worden bestuurders en werknemers van essentiële entiteiten verplicht om opleidingen te volgen om risico’s te kunnen beoordelen. [5]

3. Hergebruik

Duidelijk is dat al die data die je als organisatie verwerkt, niet achter slot en grendel moet blijven liggen, maar vrij moet stromen binnen de Europese Unie. Hergebruik van data voor andere doelen dan waarvoor het oorspronkelijk werd verzameld wordt gestimuleerd, met name als het gaat om beleidsonderzoek en wetenschap. Volgens de Data Governance Act moeten overheden geld besteden aan het beter beschikbaar maken van data voor hergebruik.[6] Beschikbaarheid van data bleek in de coronacrisis van onschatbare waarde voor beleidsmakers; het verkrijgen van die data van ziekenhuizen ging niet altijd even soepel. De Data Act geeft overheden nu het recht om bij noodsituaties actief data op te eisen van organisaties voor hergebruik. [7] Ook maakt de AI Act het mogelijk om bijzondere persoonsgegevens te gebruiken bij het trainen van hoog-risico AI-systemen.[8]

4. Interoperabiliteit

Een van de grootste struikelblokken om die goed geïnformeerde kenniswerkers al die data te laten hergebruiken, is de geslotenheid van systemen. Verschillende verplichtingen willen dat openbreken door de interoperabiliteitsnormen te harmoniseren. De Europese Commissie krijgt een leidende rol om interoperabiliteitsnormen vast te stellen, bijvoorbeeld voor de dataruimten (data spaces) die op poten worden gezet [9] en voor databemiddelingsdiensten.[10] Als onderdeel van de transparantieverplichtingen uit de AI Act voor GenAI moeten synthetische data een machineleesbaar format hebben en technische oplossingen moeten doeltreffend, interoperabel, robuust en betrouwbaar zijn.[11] Hopelijk worden deze normen breder in de markt toegepast.

Deze versturen we 3-4x per jaar.