Afgelopen woensdag openden we bij ICTRecht onze deuren voor ons Data & privacy congres en gingen we in op waarom grip op data onmisbaar is voor verantwoord gebruik van technologie (inclusief AI) en data.
De middag bestond uit twee plenaire sessies over maatschappelijke veranderingen en de potentie van inzicht in data en verschillende gespecialiseerde break-outs over data governance onder de AI Act, data delen onder de Data Act, de veranderende rol van de Functionaris voor de Gegevensbescherming (FG) en een introductie tot de European Health Data Space.
In dit blog kijken we terug naar wat er die dag is besproken. Vragen naar aanleiding van de inhoud of de dag? Schroom niet om contact op te nemen.
Van persoonsgegevens naar data
Tijdens de keynote legde Peter Kager uit waarom het tijd is om van ‘persoonsgegevens’ naar ‘data’ te bewegen: wie zich blindstaart op de AVG, mist hoe álle datastromen, ook niet-persoonsgegevens, gedrag sturen, keuzes beïnvloeden en publieke waarden raken. Privacy gaat óók over autonomie en het evenwicht met andere grondrechten en vergt dus meer dan alleen bescherming van persoonsgegevens. Het gebruikte voorbeeld van Peter kwam (geheel in sfeer) uit het voetbal: waar we in 1988 Europees kampioen werden met weinig statistiek en zonder wearables, is het hedendaagse WK een datamachine. Van GPS- en video-analyses (en kleine camera’s van scheidsrechters) tot microplanning van herstel en tactiek, en zelfs de fanbeleving en scouting draaien op datapunten. De rol van de voetballer veranderde en ging van puur presteren op het veld naar continu gemeten, geprofileerd en geoptimaliseerd worden. Opvallend genoeg voor een privacy professional vinden spelers dat ook niet meer dan logisch binnen hun baan. Precies hierom vraagt de Digitale Decade om een mindset waarin data centraal staat: weet welke data je hebt, hoe de data stroomt, wie erbij kan en waarom. Zo maak je het mogelijk om regie te voeren, AI governance en ethiek, zodat we niet alleen persoonsgegevens beschermen, maar de samenleving als geheel.
AI Act: datagovernance & datakwaliteit
In deze sessie namen Ardine Siepman en Pelçim Kaygusuz de deelnemers mee in de eisen die de AI Act stelt aan datagovernance en datakwaliteit bij hoog risico AI-systemen. Vertrekpunt was de constatering dat datagovernance vaak wordt gezien als een beleidsdocument met een bijbehorende tool, terwijl het in werkelijkheid draait om de samenhang tussen mensen en rollen, processen en beleid, en technologie.
Aan de hand van artikel 10 van de AI Act werd toegelicht dat de wetgever niet vraagt om perfecte data, maar om een aantoonbaar proces: bewuste ontwerpkeuzes bij het verzamelen en voorbewerken van trainings-, validatie- en testdata, onderzoek naar bias en het aantonen dat data relevant, representatief, zo foutloos mogelijk en compleet is. Ook werd stilgestaan bij de actuele tijdlijn, waaronder de verschuiving van de verplichtingen uit bijlage III naar 2 december 2027 en de verplichtingen uit bijlage I die per 2 augustus 2028 van toepassing worden. Daarnaast kwamen een deel van de nog in ontwikkeling zijnde geharmoniseerde normen aan bod: de prEN 18284 en prEN 18286.
De sessie sloot af met drie concrete eerste stappen: inventariseer welke datasets in gebruik zijn, beleg de relevante rollen en documenteer één behapbaar proces volledig als blauwdruk voor de rest. Ook een klein begin, is een begin.
Datadelen onder de Data Act
Zelf mocht ik de Data Act (DA) introduceren vanuit het geheel van regulering uit de Europese Unie en de Digital Decade. De DA beoogt een gegevensuitwisselingskader neer te zetten als basis en in samenhang met andere dataregulering zoals de Data Governance Act en de Data Spaces die de EU voor ogen heeft te creëren. Daarvan is de European Health Data Space de eerste. De DA heeft een aparte reikwijdte ten opzichte van andere stukken regulering en gaat deels over data delen, deels over dataverwerkingsdiensten. Het deel over het delen van data is onder te verdelen in drie stukken:
-
De DA introduceert verplichtingen om data die verzameld zijn met verbonden producten (producten die gegevens verzamelen over het gebruik of de omgeving van het apparaat, zoals een printer of slimme koelkast) en gerelateerde diensten beschikbaar te maken aan gebruikers. Daarnaast biedt het de mogelijkheid voor gebruikers (dat zijn zowel natuurlijke personen als rechtspersonen) om die data door te laten sturen naar een derde partij. Hiervoor kan de partij die de data houdt, bepaalde voorwaarden stellen.
-
De DA stelt regels voor waar organisaties aan moeten voldoen als ze wettelijk verplicht zijn om gegevens te delen (onder de DA bij verbonden producten of gerelateerde diensten, of andere wetgeving). Zo moeten ze eerlijke, redelijke en non discriminatoire voorwaarden (“FRAND”) hanteren en kent de DA een zwarte lijst (mag niet) en een grijze lijst (mag waarschijnlijk niet) ten aanzien van voorwaarden.
-
De DA biedt de mogelijkheid voor de overheid om in sommige instanties voor de uitvoering van haar publieke taak, als het daarvoor écht nodig is, gegevens op te vragen van organisaties bij situaties van een uitzonderlijke noodzaak.
De FG in de Digital Decade
Tijdens deze breakoutsessie brachten Guido Grevink en Jade Baltjes de veranderende rol van de Functionaris Gegevensbescherming (FG/DPO) in het digitale regelgevingslandschap onder de aandacht. De FG moet zich niet beperken tot de AVG, maar dient te beoordelen of verwerkingen van persoonsgegevens aan wetten uit de Digital Decade voldoen (zoals de AI Act, NIS2-richtlijn, Digital Service Act en Data Act).
In de praktijk betekent dit dat de FG moet beschikken over kennis van deze aanvullende wetgeving of in ieder geval in staat moet zijn om gericht advies in te winnen. Wil een organisatie een verboden AI-systeem inzetten, zoals volgt uit de AI Act? Dan zal dit invloed hebben op de beoordeling van rechtmatigheid onder de AVG. Valt een organisatie onder de NIS2? Dan wordt het 'nemen van passende technische en organisatorische maatregelen' uit de AVG beïnvloed door eisen uit de NIS2. Het is daarom cruciaal voor de FG om helder in kaart te hebben welke digitale wetten op de organisatie van toepassing zijn (gebruik hiervoor onze gratis Digital Decade Roadmap) en om over een stevige basiskennis van deze regelgeving te beschikken.
De EHDS geïntroduceerd
Valeria Brussé legde de basis uit van de European Health Data Space (EHDS). De EHDS creëert een nieuw Europees kader voor het delen en gebruiken van elektronische gezondheidsgegevens. De wetgeving rust op drie pijlers:
-
Primair gebruik: het gebruik van gezondheidsgegevens voor het verlenen van zorg, met uitgebreide patiëntrechten en een grensoverschrijdende infrastructuur.
-
Secundair gebruik: het hergebruik van gezondheidsgegevens voor onder andere wetenschappelijk onderzoek en AI-ontwikkeling, met toegang via een nieuw op te richten Health Data Access Body (HDAB).
-
Marktregulering: geharmoniseerde eisen voor EPD-systemen en interoperabele wellnessapps, inclusief verplichte interoperabiliteits- en loggingcomponenten.
Voor elke pijler introduceert de EHDS nieuwe rollen: de Digital Health Authority (DHA) voor primair gebruik, de HDAB voor secundair gebruik, en een Market Surveillance Authority voor markttoezicht.
Zorgaanbieders worden verplicht prioritaire gegevenscategorieën (zoals patiëntgegevens) elektronisch te registreren en beschikbaar te stellen. De opt-out wordt de standaard voor het delen van gezondheidsgegevens.
Data als verdubbelaar
In de afsluitende keynote "Data als verdubbelaar" van Mark Zijlstra en Koen van Jaarsveld, lieten ze zien dat data en AI je doelen niet vanzelf dichterbij brengen. Ze versterken simpelweg wát je erin stopt, inclusief fouten. Aan de hand van historische voorbeelden, klassieke denkfouten en een eerlijk beeld over data binnen de juridische wereld bouwden, ze naar één kernboodschap: grip op data is geen vereiste alleen voor compliance, maar vormt het fundament dat een organisatie verder brengt naar verantwoord gebruik van data en technologie. Dat illustreerden ze met de casus van de Gemeente Amsterdam, die haar Woo-proces met bestaande tooling van zo'n 40% naar ruim 80% van de verzoeken binnen de termijn bracht: een spiegel ophangen, slim automatiseren, processen in kaart brengen en draagvlak bovenin. De conclusie: wie zijn data op orde heeft, hoeft niet te kiezen tussen compliant en snel, maar verdubbelt allebei. Zo wordt compliance een bijproduct van goed georganiseerd werk en een basis voor vertrouwen.
Samenvattend
Technologische ontwikkelingen hebben een brede impact op mens en maatschappij. Blindstaren op de AVG en de bescherming van persoonsgegevens is een valkuil: de maatschappelijke impact van technologie reikt verder dan het gebruik van persoonsgegevens alleen. Gedragsbeïnvloeding vindt op grote schaal plaats en nieuwe technologieën veranderen wezenlijk hoe we met elkaar omgaan, zowel in de publieke ruimte als in de woonkamer. Tegelijkertijd legt digitale regelgeving steeds meer verantwoordelijkheid bij organisaties voor hun datahuishouding en digitale weerbaarheid.
Toen de AVG “opeens” werd gehandhaafd en de eerste inzageverzoeken binnenliepen, ontdekten talloze organisaties dat hun databases niet doorzoekbaar waren of dat onduidelijk was waar data überhaupt vandaan kwam. Door de jaren heen is er meer grip op persoonsgegevens gekomen, maar voor de toekomstbestendige organisatie is dat niet voldoende.
Een organisatie die precies weet welke data zij onder zich heeft, waar die zich bevindt, hoe die wordt beheerd en wie met welke grond toegang heeft, kan duurzame en verantwoorde keuzes maken. Grip op data is onmisbaar voor elke organisatie die met de tijd mee wil en verantwoord wil innoveren.
Op de hoogte blijven? Schrijf je in voor onze nieuwsbrief en blijf op de hoogte van de laatste ontwikkelingen in dataregulering en AI. Tot ziens bij een volgend event!
/25.png?width=600&height=300&name=25.png)
/20.png?width=600&height=300&name=20.png)
