Halverwege Digital Decade

Auteur kennisbijdrage: Mr. Corry-Anne van der Tang, M&I/Partners

We bevinden ons halverwege de zogenoemde Digital Decade, het decennium dat door de Europese Unie is uitgeroepen tot omslagpunt naar een zo digitaal mogelijke wereld. En dat hebben we wel gemerkt. Met de Data Act, de NIS2-richtlijn, de AI Act, de Data Governance Act en veel eerder de AVG, timmert de Europese Commissie stevig aan de interne vrije markt, met name het vrij verkeer van data. Er komt nog veel aan; om maar te noemen de Cyber Resilience Act, Critical Entities Resilience Directive en de Cyber Security Act. Voordat je door de bomen het bos niet meer ziet in deze stortvloed aan regelgeving, zal ik je in dit artikel meenemen in de gedeelde thema’s in al deze regelgeving. We duiken in de overkoepelende thema’s en geven je een overzicht in onze wetgevingsradar van de aankomende wetgevingen voor gemeenten.

Verschillend in focus

Het is goed om in al die regelgeving het verschil te zien in waar de focus wordt gelegd. Er is een onderscheid in productwetgeving en organisatiewetgeving. Productwetgeving zie je heel goed terug in de AI Act: de regels gelden voor een AI-systeem dat aan de definitie moet voldoen, met certificeringseisen, beveiligingseisen en kwaliteitseisen. Hetzelfde soort regels zie je terug in de Data Act en de Cyber Resilience Act. Anderzijds zie je organisatiewetgeving die van toepassing is als de organisatie aan bepaalde drempelwaarden moet voldoen. Dit zie je terug in de AVG, de NIS2-richtlijn en de Critical Entities Resilience Directive. Het soort regels is hier verantwoordingsplicht, zorgplicht en meldplicht.

Data Act

We zoomen even in op de Data Act die recent in werking is getreden, net als de Uitvoeringswet dataverordening. De Data Act wil datagestuurde innovatie stimuleren door belemmeringen voor hergebruik van data op te ruimen. De Data Act richt zich met name op leveranciers van producten die data genereren (Internet of Things, IoT). Gebruikers krijgen rechten om die data op te vragen en te gebruiken. Voor organisaties in zorg en overheid zijn de wijzigingen beperkt.

Overkoepelende thema’s

Door geopolitieke spanningen aan de grenzen van Europa en internationale handelsconflicten, krijgt cyberweerbaarheid en digitale beveiliging tegen externe aanvallen steeds meer aandacht. Daarnaast werkt Europa aan hogere standaarden en meer innovatie voor onze producten en diensten. Om niet alle wetgeving te hoeven doorspitten, geef ik een samenvatting met een focus op governance, geletterdheid, hergebruik, interoperabiliteit, gebruikersrechten en beveiliging, die ik hierna bespreek. Hierbij kan je goede beveiliging zien als het fundament en goede governance als het dak dat alles overspant en met elkaar verbindt (afbeelding 1)

1. Governance

Anders dan je van de naam zou verwachten, creëren de Data Act en de Data Governance Act geen standaarden voor kwaliteit en governance van data door organisaties. Deze wetgeving ziet vooral op het inrichten van een Europees brede strategie en toezicht op dataverwerkers. De AI Act daarentegen stelt wel specifieke eisen aan datasets als daarop een hoog risico AI-systeem wordt getraind of draait.[1]

2. Geletterdheid

Als je de governance op de achtergrond goed geregeld hebt, moet je als organisatie ook weten hoe je met al die data om moet gaan. Er zijn hoge subsidies in het vooruitzicht gesteld om het kennisniveau van de Europese werkende op te krikken. In de Data Act worden overheden verplicht om de datageletterdheid van burgers en organisaties te bevorderen.[2] De Cyber Resilience Act zet in op het verhogen van cybergeletterdheid door overheden.[3] Volgens de AI Act moeten alle organisaties die hun personeel met AI-systemen laten werken de AI-geletterdheid opkrikken.[4] En specifiek in het kader van cyberveiligheid worden bestuurders en werknemers van essentiële entiteiten verplicht om opleidingen te volgen om risico’s te kunnen beoordelen.[5]

3. Hergebruik

Duidelijk is dat al die data die je als organisatie verwerkt, niet achter slot en grendel moet blijven liggen, maar vrij moet stromen binnen de Europese Unie. Hergebruik van data voor andere doelen dan waarvoor het oorspronkelijk werd verzameld wordt gestimuleerd, met name als het gaat om beleidsonderzoek en wetenschap. Volgens de Data Governance Act moeten overheden geld besteden aan het beter beschikbaar maken van data voor hergebruik.[6] Beschikbaarheid van data bleek in de coronacrisis van onschatbare waarde voor beleidsmakers; het verkrijgen van die data van ziekenhuizen ging niet altijd even soepel. De Data Act geeft overheden nu het recht om bij noodsituaties actief data op te eisen van organisaties voor hergebruik.[7] Ook maakt de AI Act het mogelijk om bijzondere persoonsgegevens te gebruiken bij het trainen van hoog-risico AI-systemen.[8]

4. Interoperabiliteit

Een van de grootste struikelblokken om die goed geïnformeerde kenniswerkers al die data te laten hergebruiken, is de geslotenheid van systemen. Verschillende verplichtingen willen dat openbreken door de interoperabiliteitsnormen te harmoniseren. De Europese Commissie krijgt een leidende rol om interoperabiliteitsnormen vast te stellen, bijvoorbeeld voor de dataruimten (data spaces) die op poten worden gezet[1] en voor databemiddelingsdiensten.[2]Als onderdeel van de transparantieverplichtingen uit de AI Act voor GenAI moeten synthetische data een machineleesbaar format hebben en technische oplossingen moeten doeltreffend, interoperabel, robuust en betrouwbaar zijn.[3] Hopelijk worden deze normen breder in de markt toegepast.

5. Gebruikersrechten

Niet alleen organisaties die met data werken, maar ook gebruikers van wie data worden verzameld, moeten profiteren van de beschikbare data. De Data Act introduceert een recht tot inzage, gebruik en deling van niet-persoonsgebonden data.[4] In aansluiting daarop stelt de Cyber Resilience Act de verplichting voor fabrikanten van dergelijke data om beveiligingsupdates aan te bieden gedurende de gehele levenscyclus, beveiligingsgerelateerde informatie te verstrekken en een verwijdermogelijkheid te bieden.[5]

6. Beveiliging

Het is duidelijk dat met de NIS2-richtlijn, de Cyber Resilience Act, de Critical Entities Resilience Directive en de Cyber Security Act de cyberbeveiliging van essentiële organisaties en producten omhoog moet. Als je onder die wetgeving valt, mag je aan de slag. Maar ook in de AI Act, Data Act en de Data Governance Act zitten beveiligingseisen verstopt. De AI Act stelt aan AI-systemen met een hoog risico de voorwaarde dat die op zodanige wijze worden ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden.[6] De Data Act en Data Governance Act vereisen voldoende beveiligingsmaatregelen om internationale overdracht of toegang van een overheid buiten de EU tot niet-persoonsgebonden data te beperken of te voorkomen.[7] Kortom, je komt er niet meer onderuit om data goed te beveiligen.

Conclusie

Al die regelgeving is gepresenteerd als stimulerend voor de innovatie en het vrije dataverkeer. De vraag is wel of organisaties door de bomen het bos zien, zeker als er aanvullende of overlappende eisen worden gesteld. In ieder geval is duidelijk dat je werk kunt gaan maken van datagovernance, geletterdheid, beschikbaarheid voor hergebruik, interoperabiliteit, gebruikersrechten en beveiliging. Hoe dit precies wordt geïnterpreteerd en gehandhaafd, hangt af van de concrete aanwijzingen die de toezichthouders zoals de AP, ACM en de RDI gaan geven.

Speciaal voor gemeenten hebben wij de aankomende wetgeving in een radar gezet.