Maak bestuurders aansprakelijk voor hun data
De oorsprong en kwaliteit van data zijn niet altijd bekend, stelt het Wetenschappelijk Onderzoek- en Datacentrum (WODC) in een nieuw rapport. In de praktijk hebben overheden vaak zelfs nauwelijks overzicht van hun eigen gegevens, laat staan waar deze te vinden zijn. De gevolgen en risico’s hiervan zijn groot, maar worden vaak nog niet zo gevoeld. Met name bestuurders staan hier nog veel te ver van weg.
Het WODC-rapport gaat over data lineage, het toevoegen van metadata om grip te krijgen op de kwaliteit en herkomst van data. Geen onderwerp waar bestuurders snel warm voor lopen. Ten onrechte, want dit gaat niet over alleen data. Het gaat over het kunnen nemen van zorgvuldige en goed gemotiveerde besluiten, over kunnen innoveren met verantwoorde AI, en uiteindelijk over het vertrouwen van burgers in de overheid.
Dat vertrouwen heeft de laatste jaren al de nodige deuken opgelopen. En nog steeds komen regelmatig fouten aan het licht waarbij de overheid achteraf moet concluderen dat uitkeringen niet kloppen of dat er onterecht een schadevergoeding is toegekend. Onbetrouwbare data leiden dan ook tot een onbetrouwbare overheid, en staan haaks op de algemene beginselen van goed bestuur. Data is geen bijzaak, het is een kerntaak van goed bestuur.
Echter, in plaats van lering trekken en verantwoordelijkheid nemen voor data sluiten overheden nu vaak juist de luiken. Data zijn niet vindbaar, niet toegankelijk en niet geschikt voor hergebruik. Daardoor komt ook gegevensdeling onder druk te staan, en komt er weinig terecht van het streven naar één digitale overheid.
Het wordt dan ook tijd dat de overheid data serieus neemt. Data is niet iets van de IT-afdeling en zelfs niet van de Chief Data Officer. De plicht om zorgvuldig met data om te gaan raakt de hele organisatie en is fundamenteel voor goed bestuur. Bestuurders moeten daarom ook expliciet verantwoordelijk en aansprakelijk worden gemaakt voor de eigen gegevenshuishouding, en een veel stevigere rol krijgen bij bijvoorbeeld gegevensdeling. Bestuurders wijzen nu nog vaak naar de techniek, naar systemen, of naar wet- en regelgeving, maar zelden naar zichzelf. Tijd dus om de spiegel voor te houden en duidelijk te maken dat data hún verantwoordelijkheid is.
Lees ook:
Mijn eerste afkeurende reactie na het lezen van de kop van het artikel werd gelukkig positief bijgesteld in de laatste zin: Data is hun verantwoordelijkheid (die niet afgeschoven kan worden en dat zijn ze een beetje vergeten…).
” … dat data hún verantwoordelijkheid is. ” En dat (gegevensverantwoordelijkheid van het bestuursorgaan), is vanuit juridisch perspectief al jaren zo. De oproep tot hernieuwde aandacht voor die verantwoordelijkheid is een spreekwoordelijke open deur en toch volkomen terecht.
Binnen de overheid is het vergaren, beschikbaar hebben en gebruiken van gegevens gekoppeld aan de juridische bevoegdheid. Die bevoegdheid leidt tot verantwoordelijkheid die (ook) ziet op (wettelijke) verplichtingen zoals verantwoording. Bij het geheel (ook het arbeidsrecht, zelfs na de WNRA) gelden de Algemene beginselen van behoorlijk bestuur, met de zorgvuldigheidsvereiste als sterke norm voor gegevens en gegevensbeheer.
Verantwoordingen spelen een grote rol bij inzicht in maatregelen en functioneren en dat inzicht moet ook gebaseerd kunnen zijn op de inhoud van het archief.
Hear hear, Christian. Maar laten we het meteen breder trekken. Er ligt een integrale samenhang tussen bestuurlijke verantwoordelijkheid voor data en Data Governance, compliance boetes, procesmodellering en asset management. Als je niet weet waar je data liggen, wat de kwaliteit is, hoe ze langs welke weg om welke reden door wie gebruikt wordt en waar de boel staat, hoe kun je dan de integriteit, veiligheid en effectiviteit van data binnen je organisatie waarborgen? Data Governance omvat de algehele managementstructuur, beleidslijnen, normen, processen, en technologieën die nodig zijn om ervoor te zorgen dat data effectief wordt beheerd en gebruikt binnen een organisatie. Het is domweg de basis waarop verantwoordelijkheden worden toegewezen en naleving van regelgeving wordt gewaarborgd. Zodat dat ‘doe je maar wat’.
Bestuurders hebben de taak om te zorgen voor een effectieve Data Governance-structuur binnen hun organisaties. Dit betekent dat zij de rol van Data Eigenaar, Data Leverancier, en Data Consument expliciet zouden moeten definiëren en verantwoordelijkheden zouden moeten toewijzen. Dit gebeurt nog nergens op die manier (zolang we de Data Spaces architectuur niet omarmen) Deze rollen zijn cruciaal voor het waarborgen van de kwaliteit, privacy, beveiliging en het legitieme gebruik van data. Bestuurlijke verantwoordelijkheid houdt in dat bestuurders ervoor zorgen dat de organisatie voldoet aan de wettelijke vereisten, zoals die van de NIS2 Richtlijn en de EU Data Act, om zo de integriteit en vertrouwelijkheid van de data te waarborgen. Non-compliance met wettelijke vereisten, zoals de NIS2 Richtlijn en de EU Data Act, kan leiden tot significante financiële sancties (4%). Bestuurlijke verantwoordelijkheid houdt dus ook in het implementeren van adequate maatregelen om aan deze vereisten te voldoen en het risico op compliance boetes te minimaliseren. Al was het maar om imagoschade te voorkomen. Daarvoor is het handig als we organisaties niet langer als organisch gegroeide samenwerkingsvormen zien, maar als data ecosystemen. We zouden HOE we werken moeten modelleren om ook echt te begrijpen waar onze mandaten beginnen en eindigen. Procesmodellering is het in kaart brengen van bedrijfsprocessen, inclusief hoe data wordt gecreëerd, bewerkt, opgeslagen en gedeeld binnen en buiten de organisatie. Dit is essentieel voor het begrijpen en beheren van de dataflow en het waarborgen van de kwaliteit en beveiliging van data. Bestuurders moeten ervoor zorgen dat de procesmodellering rekening houdt met de vereisten voor data governance en compliance. Als data dus zo belangrijk zijn, dan is het een asset. Geen resource. Asset management in de context van data governance houdt in dat er beleid en procedures zijn voor het classificeren, beheren en beschermen van data assets. Dit omvat het vaststellen van eigendom (data eigenaren), het waarborgen van de kwaliteit en het implementeren van beveiligingsmaatregelen. Kortom: de tijd is voorbij dat we data als content zien en als iemands bezit, tenzij geexpliciteerd waarom (met de bijbehorende verantwoordelijkheden als Data Eigenaar). De integratie van Data Governance, bestuurlijke verantwoordelijkheid, compliance boetes, procesmodellering en asset management vormt een holistische benadering voor het beheer van datakwaliteit en -beveiliging. Bestuurders spelen hierin een sleutelrol, als zien ze dat nog niet altijd zo. Zij moeten zorgen voor een sterke governance-structuur, het toewijzen van duidelijke verantwoordelijkheden en het implementeren van processen en systemen die zowel aan de wettelijke vereisten voldoen als de organisatie beschermen tegen mogelijke risico’s en boetes. Door proactief te handelen en data governance te integreren in de kern van de organisatiestrategie, kunnen bestuurders niet alleen compliance waarborgen maar ook waarde creëren door het vertrouwen van belanghebbenden te versterken en innovatie te bevorderen. Inlezen (en liefst omarmen) van http://www.ishare.eu zou een goed begin zijn.
Grotendeels eens met Vincent Hoek, maar houdt het zuiver. Eigendom en eigenaarschap zijn juridische termen waarbij eigenaarschap van gegevens juridisch niet bestaat. Vervang dat begrip door het drietal; bevoegd, verantwoordelijk en te verantwoorden. Er zijn nu teveel (rechts)gebieden die de vakinhoudelijke ondersteuning missen en waar dan van alles gebeurt zonder theorie, methode en structuur.
@Hans Donkhorst: Dat eigenaarschap van gegevens juridisch niet bestaat en vervangen zou moeten worden door de termen ‘bevoegd’, verantwoordelijk’ en ’te verantwoorden’, kunnen we, zowel vanuit juridisch perspectief als vanuit de frameworks van http://www.iShare.eu en het International Data Spaces Reference Architecture Model (IDS-RAM) nuanceren. Het klopt juridisch dat de term “eigendom” in de context van data en informatie niet altijd past in de traditionele zin, zoals die geldt voor fysieke objecten. Dat komt omdat data an sich moeilijk te classificeren is volgens het traditionele eigendomsrecht. Dat betekent alleen niet dat er geen juridische mechanismen of concepten bestaan die de controle en het gebruik van data regelen. Het gaat hier meer om auteursrechten, databankenrechten en persoonsgegevensbescherming (zoals de AVG/GDPR in Europa) concepten, die samen een complex kader vormen waarbinnen de rechten op data wel degelijk kunnen worden beheerst.
De Stichting http://www.iShare.eu is een afsprakenstelsel voor de identificatie, authenticatie en autorisatie van partijen en het delen van data dat EU breed omarmd en erkend is. Het doel van iShare is om een betrouwbaar en veilig ecosysteem te creëren voor data-uitwisseling op basis van Smart Contracts. Binnen iShare gaat het vooral om het vaststellen van vertrouwen en het definiëren van rollen en verantwoordelijkheden tussen partijen. Dit sluit meer aan bij het idee van bevoegdheid, verantwoordelijkheid en verantwoording in plaats van traditioneel eigendom. iShare maakt het mogelijk om duidelijke afspraken te maken en af te dwingen over wie bevoegd is tot wat, wie ergens verantwoordelijk voor is en wie zich moet verantwoorden voor het gebruik van data. Het International Data Spaces Reference Architecture Model (IDS-RAM) (https://docs.internationaldataspaces.org/knowledge-base/ids-ram-4.0) biedt een bewezen architectuur voor het creëren van veilige en betrouwbare dataspace-ecosystemen. Het benadrukt de soevereiniteit van data en de mogelijkheid voor data-eigenaren om controle te houden over hun data. Hoewel de term “data-eigenaar” ook hier gebruikt wordt, gaat het hier meer om de controle en beheersing van toegang tot data dan om eigendom in de traditionele zin. De principes van IDS-RAM, zoals data-soevereiniteit, sluiten volledig aan bij het belang van het definiëren van bevoegdheden, verantwoordelijkheden en verantwoording over data. Zowel het juridische kader, als de frameworks van iShare en IDS-RAM zijn solide middelen om de controle, het beheer en het delen van data te structureren. Ze dwingen om strak te focussen op bevoegdheid, verantwoordelijkheid en verantwoording met kaders die helpen om de complexiteit van datamanagement en -uitwisseling te navigeren, zonder noodzakelijkerwijs te leunen op het concept van eigendom. Dit past wel degelijk binnen een bredere trend van het erkennen van data als een uniek activum dat andere management- en regelgevingsbenaderingen vereist dan fysieke objecten.