Kansen met de Europese datastrategie
Data is volgens de Europese Commissie een essentiële bron voor economische groei, concurrentiekracht, innovatie, werkgelegenheid en maatschappelijke vooruitgang. | Beeld: Shutterstock
De Europese Commissie wil zijn burgers graag een alternatief bieden voor de grote Amerikaanse en Chinese platforms, in lijn is met de Europese waarden van transparantie, vertrouwen en controle. In de Europese datastrategie staat het belang van mensen voorop bij de ontwikkeling van technologie en verdedigt en bevordert de Europese waarden en de rechten van burgers in de digitale wereld.
Daarnaast heeft de Europese Commissie ingezien dat data in het hedendaagse digitale tijdperk een essentiële bron is voor economische groei, concurrentiekracht, innovatie, werkgelegenheid en maatschappelijke vooruitgang. Wanneer data wordt opgepot, blijft de waarde ervan beperkt. Om de volledige waarde te ontsluiten, is het noodzakelijk dat meer data beschikbaar komt voor gebruik in de economie en maatschappij. De sleutel daartoe is dat bedrijven en individuen controle krijgen over de data die ze genereren (datasoevereiniteit) en dat ze een eerlijk deel van de beloning krijgen (de datawaarde-balans). De Europese datastrategie is daarom erop gericht om datasoevereiniteit te verschaffen en de datawaarde-balans te herstellen.
Nieuwe aanpak voor het delen van data
De Europese Commissie beschouwt Europese data spaces als hét instrument in de nieuwe aanpak. Deze op vertrouwen gebaseerde data-ecosystemen stellen de deelnemers – inclusief dataverstrekkers, gebruikers en intermediairs – in staat om data op een transparante, veilige en efficiënte wijze te delen, terwijl ze tegelijkertijd volledige controle blijven houden over hun eigen data.
Wat gaat er gebeuren?
Op dit moment is verschillende wetgeving in ontwikkeling om de uitvoering van de in 2020 voorgestelde Europese datastrategie mogelijk te maken. De Europese Commissie heeft op dit moment vijf afzonderlijke stukken wetgeving uitgevaardigd, die elk gericht zijn op verschillende aspecten van de datastrategie (zie tabel hieronder). Drie daarvan zijn inmiddels van kracht en zullen in sommige gevallen in de loop van dit jaar van toepassing worden. De Data Act en de Artificial Intelligence Act verkeren beide nog in de ontwerpfase.
De Digital Markets Act en de Digital Service Act vormen samen een ‘digitaal dienstenpakket’ dat voorziet in de behoefte om de huidige digitale ruimte te reguleren.
Waarom moet u dit weten?
Veel bedrijven en organisaties zijn tot nu toe terughoudend geweest met het doen van investeringen in een infrastructuur die het transparant, veilig en efficiënt delen van data mogelijk maakt – of omdat ze niet de voordelen ervan inzien of omdat ze simpelweg niet weten waar ze moeten beginnen. Het is nu echter overduidelijk dat het Europese datalandschap een snelle paradigmaverschuiving ondergaat. De nieuwe Europese wetgeving betekent dat de principes van datasoevereiniteit en een eerlijke datawaarde-balans worden ondersteund door Europese wetgeving. Tot op zekere hoogte zullen bedrijven en organisaties worden ‘gedwongen’ om een bijdrage te leveren aan een innovatieve en eerlijke digitale markt waarin de mogelijkheden voor het delen van data zijn gemaximaliseerd. Het oppotten van data is voorgoed verleden tijd. Wat nu van belang is, is hoe uw organisatie hierop inspeelt.
Meer dan compliance
Wij zien we enkele parallellen met de introductie van nieuwe wetten voor het delen van data in de financiële sector (PSD2). Destijds zagen we dat onze meest succesvolle klanten niet zozeer gefocust waren op naleving van de nieuwe regelgeving, maar op de kansen die de regelgeving bood. In plaats van het minimale doen om aan de juiste kant van de wet te blijven, durfden zij een gigantische stap voorwaarts te zetten en nieuwe, innovatieve businessmodellen te introduceren.
Wat zijn dan de kansen die de nieuwe datawetten van de EU bieden? Verbeterde transparantie en overdraagbaarheid – interoperabiliteit – van data, gebaseerd op de principes van datasoevereiniteit, kweekt vertrouwen tussen bedrijven en hun klanten. En uiteindelijk leidt meer vertrouwen tot verlaging van de transactiekosten die gemoeid zijn met het delen van data. Dat stelt organisaties in staat om te focussen op de waarde van data delen en nieuwe kansen te verkennen, zodat het gebruik van data daadwerkelijk de drijvende kracht achter innovatie wordt.
Mariane ter Veen is Director Lead Data Sharing bij INNOPAY
Storm Petersen is jr. management consultant bij INNOPAY
Hoe zien jullie de relatie tussen de DMA/DSA enerzijds en eIDAS anderzijds? Zodra EU inwoners straks met een eIDAS conforme Wallet gegevens kunnen delen zal dat (ook) de infrastructuur zijn waarlangs gegevens worden gedeeld.
Traditionele standaardisatie, centralisatie en harmonisatie gaat hier natuurlijk niet werken.
Het gaat niet om de ID-WALLET, maar om de kwaliteit van de ID data en om de kwaliteit van de verificaties van de attributen samenhang/context. Je kunt EIDAS allang in Open Source downloaden en direct gebruiken: https://fiware-idm.readthedocs.io/en/latest/eidas/introduction/index.html, zie ook https://github.com/ging/fiware-idm/blob/master/doc/eidas/register_service_provider.md
In de UK kent men de ROLO, het gedistribueerde Registers of Legal Organisations, in de EU kun je via iShare.eu allang eIDAS ID combineren met eori-nummers van organisaties. Distributed Identities (DiD – https://identity.foundation/) zijn superinteressant en er zijn allang stevige ISO’s voor identiteit en de correlatie van identiteit (ISO 29003) met data kwaliteit (ISO 8000:116 (2019)
De emotionele fout die wordt gemaakt is dat digitale identiteiten en wallets CENTRAAL zouden moeten worden ingeregeld. Dat gaat toch niemand pikken? Het wordt eerder een wereld als we al 30 jaar kennen rond Public Key Infrastructures: iedereen kan een Certificate Authority beginnen, maar er zijn spelregels. Zelfde met IDS (Identity services provisioning). Centraal, decentraal, gefedereerd, gedistribueerd, wel of geen stelsel … het gaat om de verifieerbaarheid van de claims.
Deze belangrijke initiatieven zullen in Nederland niet van de grond komen zolang er geen goed werkend en breed beschikbaar e-iD stelsel in Nederland is. Zie hiervoor ook het boek Alles Transacties van Innopay. De Nordics zijn een goed voorbeeld waar dit wel goed georganiseerd is. De EU-e-id wallet biedt geen oplossing vooralsnog omdat deze niet is toegestaan voor breed gebruik in de private markt net als dat met DigiD het geval is. De enige oplossing die perspectief biedt is een model te creëren zoals dat in de Nordics wordt gebruikt door een privaat-publiek samenwerking. In Nederland lijkt dat een brug te ver met alle gevolgen van dien. Jammer!
@Bart bedankt voor je vraag, zeker relevant om te beschouwen of wallets een rol kunnen spelen in DSA/DMA.
De grote vraag daarin is wat de toegevoegde waarde is voor een Gatekeeper/groot online platform om als Issuer/Verifier van data deel te nemen in een wallet ecosysteem.
DMA/DSA compliance zal eerder verplicht zijn voor de markt dan dat EUDI wallets beschikbaar zijn. Gatekeepers/platforms zullen dus in eerste instantie een andere oplossing moeten kiezen om aan hun compliance verplichtingen te voldoen.
Vervolgens is de EUDI wallet ook niet verplicht om te hebben voor EU inwoners, tevens mag de indruk niet gewekt worden dat dit (impliciet) verplicht wordt. Voor bedrijven met een DMA/DSA compliance verplichting die wel 100% dekkend moet zijn kan voorlopig dus niet vertrouwd worden op EUDI wallets.
Tegenover compliance staat opportunity. Daarvoor is het afwachten of gebruik van de wallet onder EU inwoners populair wordt of niet. Als een aanzienlijk deel van EU inwoners een wallet heeft en gebruikt, dan kan de wallet een logisch medium worden voor portabiliteit van sommige soorten data of het toetsen van bijvoorbeeld leeftijd.
Gatekeepers doen uiteindelijk niets gratis. Is het wallet ecosysteem goedkoper/efficienter voor hen? Is er een verdienpotentieel? Meer data en inzicht? Of misschien willen ze ook actief Verifier zijn en daarmee dus gebaat bij een groot volume in het wallet ecosysteem?
Voor het succes van eIDAS/EUDI wallets gaat het vooral belangrijk zijn hoe de private sector aan de slag gaat met wallets, verder dan de gebruikssituaties waarvoor verplichte acceptatie komt.
Uitstekend artikel! Nu maar hopen dat de resources binnen de Staat veel eerder worden vrijgemaakt dan indertijd bij de invoering van de GDPR/AVG. 2024 is over een jaar!
Na de Data Governance Act is de aankomende Data Act het tweede hoofdvoorstel dat onlangs is uitgebracht als onderdeel van de Europese Data Strategie. Zij vormt een aanvulling op het bestaande datakader: de Algemene Verordening Gegevensbescherming (AVG), de Verordening Vrij verkeer van niet-persoonsgebonden gegevens en de Open Data Richtlijn. Er komen nog andere regelgevingen die van invloed zullen zijn op de huidige dataregels, zoals de Digital Markets Act of de Digital Services Act.
De European Digital Single Market strategie vereist het vrij kunnen laten circuleren van data tussen de sectoren, ten voordele van bedrijven, onderzoekers en overheidsdiensten. Nu al zie je overheden hier supergoed werk op doen, maar nog te los van elkaar. Onze kennis van Legal Engineering (Calculemus/FLINT) zou je bewust moeten combineren met Semantic HTML, LinkedData en hybrid cloud Data Planes. Cyber scan software output geeft hier een goudmijn aan end-points om te classificeren. Daarmee aan licentie beelden om te consolideren. Het zijn prachtige kansen.
Te verwachten gevolgen van de Europese gegevenswet zijn:
• Grotere bescherming van persoonsgegevens: De Europese Data Act zal naar verwachting individuen meer controle geven over hun persoonsgegevens, waaronder het recht om te weten welke gegevens worden verzameld, het recht om te vragen om verwijdering van hun gegevens en het recht om geïnformeerd te worden over datalekken. Dit zal resulteren in een hoger niveau van bescherming van de privacy en de gegevens van personen.
• Hogere nalevingseisen voor bedrijven: De Europese Data Act zal naar verwachting strengere nalevingseisen opleggen aan bedrijven die binnen de EU gegevens verzamelen en verwerken. Hierdoor zullen bedrijven meer middelen moeten investeren in maatregelen op het gebied van gegevensbescherming en -privacy, zoals het aanstellen van een functionaris voor gegevensbescherming en het regelmatig uitvoeren van privacy-effectbeoordelingen.
• Mogelijke boetes en sancties: Bedrijven die zich niet aan de Europese gegevenswet houden, kunnen aanzienlijke boetes en sancties opgelegd krijgen. Het exacte bedrag van de boetes is nog niet duidelijk, maar de verwachting is dat ze aanzienlijk zullen zijn, vooral voor grotere bedrijven. Dit moet bedrijven ertoe aanzetten gegevensbescherming en privacy serieus te nemen.
• Gevolgen voor grensoverschrijdende gegevensoverdracht: De Europese gegevenswet zal naar verwachting gevolgen hebben voor de grensoverschrijdende doorgifte van gegevens, waardoor het voor bedrijven moeilijker wordt om gegevens buiten de EU door te geven.
De wetgeving zal bedrijven namelijk waarschijnlijk verplichten expliciete toestemming van personen te verkrijgen voordat hun gegevens buiten de EU mogen worden doorgegeven.
• Potentieel voor innovatie: Verwacht wordt dat de Europese gegevenswet de innovatie op het gebied van gegevens privacy en -bescherming zal stimuleren, aangezien bedrijven op zoek gaan naar nieuwe manieren om aan de wetgeving te voldoen. Dit kan leiden tot de ontwikkeling van nieuwe technologieën en benaderingen die de privacy en de bescherming van gegevens verbeteren.
Never a dull moment!
Het gaat uiteindelijk natuurlijk niet om de Wallet, maar om de kwaliteit van de samengestelde verifieerbare context van attestaties. Iedereen kan allang de API downloaden naar alle EU e-ID’s. Daar heb je geen Wallet voor nodig. De tijd van centralisatie, standaardisatie en harmonisatie is zo’n beetje voorbij. fiware
In een gedataficeerde wereld moeten we maar zien vast te stellen of en hoe je überhaupt een virtueel object, dus ook een ‘Wallet’ kunt vertrouwen. Vertrouwen is een functie van verifieerbaarheid, dus we moeten zoeken naar Trust Ankers:
1. Juridische vertrouwensankers, die de beleidsbasis bepalen voor het vertrouwenskader en de operationele regels ondersteunen. Deze bedieningsregels en regelsets worden gestandaardiseerd voor gebruik binnen organisaties ter ondersteuning van het gemeenschappelijk beleid.
2. Gegevensverankeringsankers, die betrekking hebben op de te verwerken entiteiten en kenmerken, waarbij een zeer hoge gegevenskwaliteit van vitaal belang is.
3. Cryptografische vertrouwensankers, die de wortels van cryptografisch vertrouwen vormen en cryptografische binding, intrekking, authenticatie, ondertekening, codering en andere vertrouwensfuncties mogelijk maken.
4. Cybersecurity-vertrouwensankers, die beleidsschendingen controleren, detecteren en erop reageren en naleving van het beleid afdwingen. Dit omvat o.a. assurance-, test- en certificeringsregimes. ISO (29003 en ISO 29115) geeft al veel achtergrond hoe Vertrouwen met Zekerheid kan worden afgeleid in een virtuele wereld. Data kwaliteit in samenhang met identiteit bepaling staat beschreven in ISO 8000:2019.
Zo ontwikkelt zich een nieuwe manier van denken. Van de traditionele out-side in aanpak, die uit gaat van dreiging mitigeren met zonering en de inbouw van fysieke en logische controle en vertragingsconcepten, naar concepten waarbinnen geen mens, machine, applicatie, proces of dataset nog langer zonder context wordt vertrouwd.
Het verschil tussen een harnas aantrekken en een immuunsysteem opbouwen.
Van Wallet naar Zwiebertjes realiteit: “Van wie benne Gij d’r een?”
Interessante ontwikkeling, lees ik het goed dat leveranciers van iot connected devices meer verantwoordelijkheid gaan dragen over security aspecten van de devices NA verkoop aan consumenten en bedrijven? Dit zou een zeer goede zaak zijn aangezien consumenten EN bedrijven vaak niet weten aan welke kwetsbaarheden ze zich blootstellen door het inpluggen van deze apparatuur in the home- of bedrijfsnetwerken.
Bijkomend probleem en bewustwording in de markt zie ik: veel van de producenten van deze apparatuur verliezen door hun distributie ketens zicht op wie hun spulletjes gebruiken. De bewustwording in de markt komt en leidt to nieuwe innovatieve manieren om wereldwijd dit soort apparaten te herkennen op het web en deze dan te attribueren aan de eigenaar. Hierdoor heeft de producent zicht op wie haar producten waar gebruikt en welke protocollen wel of juist niet heeft geupdate. Gewapend hiermee kan de producent aan haar verplichtingen voldoen. Deze beweging, nu nog niet gedwongen door deze data acts, zal dus een versnelling krijgen!
@Piet hier heb je helemaal gelijk in. Naast de EU data strategie is er op dit moment ook een revisie gaande van de eIDAS wetgeving, waarbij de private sector nu betrokken wordt en een infrastructuur voor identity (& data) wallets wordt vormgegeven. En, niet onbelangrijk, overheden worden verplicht om belangrijke brondata over identiteit als digitale credential ter beschikking te stellen voor gebruik in deze wallets.
Of de consument dit massaal gaat omarmen weten we natuurlijk niet, maar de aanbod en acceptatiekant van identiteit lijkt hiermee wel een beter samenspel van publiek-privaat te gaan worden.
@Lennart in de concept Data Act zelf staat niet direct iets over aanvullende verantwoordelijkheid wat betreft security NA verkoop. De nieuwe eisen gaan vooral over het ter beschikking stellen van de gecreëerde data door gebruik van het device aan de gebruiker of een 3e partij namens de gebruiker.
Het punt dat je noemt over distributieketens gaat hierin zeker een complexe uitdaging zijn. De fabrikant heeft onder de Data Act namelijk de verplichting om vast te stellen dat iemand daadwerkelijk de gebruiker is, voordat data gedeeld wordt. Aangezien er tegenwoordig vaak geen directe relatie meer is tussen de fabrikant en eindgebruiker wordt het interessant om te zien welke (voldoende betrouwbare) identiteitsoplossing hiervoor toegepast gaat worden.
Meteen mee beginnen dan! Het in kaart en onder compliance brengen van al die relaties. Dit is nl ook de tijd van ‘virtual anything’ dus het is best fijn om zeker te weten dan een sensor waar je productie op vertrouwt ook werkelijk bestaat en doet wat hij doen moet op de juiste manier.
gitlab.com/gaia