Indignatie redactie 
De Datawet is bedoeld om een eerlijke data-economie te creëren. Het doel van de EU: Bedrijven moeten meer data ontvangen voor innovatie en waardecreatie, consumenten moeten meer controle hebben en ook het algemeen belang moet hiervan profiteren. Deskundigen zeggen: de wet zal geen van deze doelen bereiken.
Het Internet of Things groeit en daarmee ook de bergen aan DATA die we elke dag produceren. Of het nu gaat om koelkasten, auto’s of industriële machines, steeds meer huishoudelijke en werkartikelen zijn nu verbonden met internet. De Europese Unie voorspelt dat er in 2026 maar liefst 49 miljard verbonden apparaten zullen zijn . Maar wie is eigenlijk de eigenaar van de resulterende data, wie mag deze gebruiken en hoe? Dit wordt in de EU binnenkort geregeld door een nieuwe verordening, de Datawet .
Na bijna twee jaar onderhandelen hebben het EU-Parlement en de Raad de verordening in november uiteindelijk goedgekeurd, en deze zal vanaf 2025 van kracht worden. De eigen verwachtingen van de EU ten aanzien van de datawet, zoals deze in het Duits wordt genoemd, zijn enorm. Tegen 2028 zou het moeten helpen ruim 270 miljard euro aan toegevoegde waarde te genereren uit data uit het Internet of Things (IoT), zegt de Europese Commissie .
Tegelijkertijd belooft de EU de oude tegenstelling tussen gegevensgebruik en gegevensbescherming eindelijk op te lossen met de Datawet. Want als het om persoonsgegevens gaat, moet de Algemene Verordening Gegevensbescherming onaangetast blijven. Consumenten zouden zelfs meer controle moeten hebben over de gegevens die zij samen met hun apparaten produceren. En zelfs het algemeen belang zou er baat bij moeten hebben als de staat in bepaalde situaties IoT-gegevens voor liefdadigheidsdoeleinden mag gebruiken.
Doorbreek de datadominantie van fabrikanten
Tot nu toe hebben fabrikanten van apparaten vooral geprofiteerd van gegevens uit het internet der dingen. De data van connected voertuigen komen vooral terecht bij autobedrijven, de data van fitnessarmbanden bij wearablesaanbieders en de data van slimme landbouwmachines bij tractorfabrikanten. Zij zijn misschien niet de eigenaar van de gegevens, maar zij zijn vaak de enigen die erover kunnen beschikken.
Data-advocaat Louisa Specht-Riemenschneider noemt dit de “technisch-feitelijke dominantie” van de apparaatfabrikanten. Dit zijn vaak grote bedrijven en zijn vaak gevestigd in de VS. Kleinere en middelgrote bedrijven hebben daarentegen vaak geen toegang tot IoT-data, zegt de Europese Commissie. Zeker geen gebruikers. Dit geldt voor klassieke consumenten, die vaak niet weten wie welke gegevens met welk apparaat verzamelt. En voor zakelijke klanten: Bedrijven die slimme machines kopen of huren, hebben vaak maar beperkt toegang tot de data die daaruit voortvloeit.
De Datawet heeft tot doel deze machtsongelijkheid in evenwicht te brengen en zo een IoT-datamarkt te creëren waarvan iedereen in Europa profiteert. De regelgeving bepaalt bijvoorbeeld dat gebruikers toegang tot de gegevens van hun IoT-apparaten kunnen opvragen bij de gegevenshouders (meestal de fabrikanten van apparaten). Bovendien kunnen zij derden rechten verlenen om deze gegevens in de toekomst te gebruiken. Andere bedrijven zouden deze gegevens bijvoorbeeld moeten kunnen gebruiken om hun eigen innovatieve diensten te ontwikkelen of goedkope reparatiediensten aan te bieden.
Het zou voor onafhankelijke werkplaatsen bijvoorbeeld gemakkelijker moeten zijn om diagnostische gegevens van de auto’s van hun klanten te verkrijgen. Tot nu toe kunnen deze vaak alleen worden gebruikt door de duurdere geautoriseerde werkplaatsen . Het veranderen van cloudaanbieders moet ook gemakkelijker worden gemaakt met interoperabiliteitseisen. Dit zou Europese providers in staat moeten stellen de suprematie van de Amerikaanse cloudgiganten Amazon, Microsoft en Google uit te dagen.
“Theoretisch heeft de AVG voorrang”
Met deze regels wordt de Datawet beschouwd als een belangrijke bouwsteen van een nieuw EU-databeleid. Het verklaarde doel van dit beleid is al jaren het vergroten van de beschikbaarheid van gegevens. Meer data betekent meer innovatie en dat betekent meer welvaart, dat is de zelden tegengesproken veronderstelling achter de datastrategie van de EU. Ze wil de gegevensbescherming niet ondermijnen, maar ziet het eerder als onderdeel van de data-economie. De EU heeft dit echter niet verder willen ontwikkelen sinds de Algemene Verordening Gegevensbescherming (AVG) in 2016 werd aangenomen ; de focus ligt duidelijk op de toegang tot gegevens.
De Hessische functionaris voor gegevensbescherming Alexander Roßnagel beschouwt dit als een vergissing. De Datawet stelt expliciet dat deze de AVG “onaangetast” laat. In werkelijkheid zullen er echter vaak botsingen en onduidelijkheden tussen de twee regelgevingen bestaan. De Datawet heeft uiteindelijk tot doel data te commercialiseren. In plaats van uit te leggen hoe dit in overeenstemming met de AVG kan werken, legt de EU de twee verordeningen nu simpelweg naast elkaar.
“Theoretisch heeft de AVG voorrang”, zegt Alexander Roßnagel. In de praktijk zouden de actiemogelijkheden die de Datawet wil openen voor datagebruik echter “in sommige gevallen de voorwaarden voor het implementeren van gegevensbescherming aanzienlijk veranderen”. Problematisch is bijvoorbeeld dat de Datawet voor dezelfde of op zijn minst vergelijkbare onderwerpen andere termen gebruikt dan de AVG. Zo introduceert de Datawet de termen ‘gegevenshouder’, ‘gegevensontvanger’ en ‘gegevensgebruiker’, die elkaar gedeeltelijk overlappen maar niet hetzelfde zijn als ‘verantwoordelijke persoon’ en ‘betrokkene’ uit de AVG.
Dit zou tot grote rechtsonzekerheid leiden, aldus Roßnagel, die naast zijn functie als functionaris voor gegevensbescherming ook hoogleraar rechten is aan de Universiteit van Kassel en woordvoerder van het onderzoeksproject ‘Privacy Platform’. Alleen de praktijk zal uitwijzen of deze onduidelijkheden werkelijk geen gevolgen hebben voor de gegevensbescherming. Als bedrijven vanwege de rechtsonzekerheid bijzonder voorzichtig zijn, zal de Datawet zijn doel voorbijschieten, zegt Roßnagel. Aan de andere kant, als ze “de commercialisering van data centraal stellen in hun praktijk, zal de databescherming eronder lijden.”
Helemaal niet persoonlijk
De verantwoordelijken in de EU hebben herhaaldelijk gereageerd op de zorgen over de gegevensbescherming over de Datawet door erop te wijzen dat deze in de eerste plaats niet gericht is op persoonlijke gegevens, maar op industriële gegevens van slimme machines. Dat is echter niet waar, zegt Alexander Roßnagel. “Het is waar dat de Datawet grotendeels geen onderscheid maakt, maar gelijkelijk van toepassing is op beide soorten data.”
De belangrijkste regelgeving zou van toepassing zijn op gegevens die worden gegenereerd door het gebruik van verbonden producten en diensten. Hierin kunnen altijd verwijzingen naar de gebruikers staan, legt de advocaat uit.
Of informatie uit een slimme koelkast meetelt als persoonsgegevens kan bijvoorbeeld afhangen van de vraag of de datahouder deze aan andere informatie kan koppelen. Statistische gegevens over energieverbruik, gebruik en opgeslagen producten kunnen op zichzelf onschadelijk zijn. Maar wanneer ze samen met het IP-adres of creditcardnummer van de gebruiker worden verwerkt of aan een smart home-app worden gekoppeld, kunnen mensen eenvoudig worden geïdentificeerd en gedragsprofielen worden gemaakt.
In de praktijk zal het lastig te begrijpen zijn of het om persoonsgegevens gaat, zegt Alexander Roßnagel. Ook niet voor de toezichthouders. En hoewel sommige gegevens zeer gevoelig kunnen zijn, zijn het tegenwoordig niet alleen koelkasten en boormachines die met internet zijn verbonden, maar ook seksspeeltjes en pacemakers .
Florian Glatzner van de Federal Association of Consumer Centers benadrukt dat consumenten ook problemen kunnen ondervinden bij het gebruik van niet-persoonlijke gegevens. Vanaf het begin uitten consumentenvoorstanders hun bezorgdheid dat bedrijven gebruikers zouden kunnen oplichten als het gaat om het opstellen van datagebruikscontracten. Dit is tegenwoordig immers aan de orde van de dag als je bedenkt hoe algemene voorwaarden zijn geformuleerd en hoe weinig keuze gebruikers doorgaans hebben.
Niet vergelijkbaar met bedrijven
Datagebruiksovereenkomsten vormen een kernonderdeel van de Datawet. Ze zijn bedoeld om gebruikers van IoT-apparaten in staat te stellen anderen toegang te geven tot hun gegevens. Dit is bedoeld om het delen van data te bevorderen en datamarkten te creëren waar gebruikers ook financieel van profiteren. De Datawet maakt echter onvoldoende onderscheid tussen particuliere en zakelijke gebruikers, bekritiseert Florian Glatzner: ‘Consumenten vinden het moeilijk om de gevolgen van een datagebruikscontract in te schatten.’ Ze staan niet op gelijke voet met bedrijven in contractuele situaties en hebben daarom een bijzondere behoefte aan bescherming.
Terwijl bedrijven hun gebruikersovereenkomsten door advocaten kunnen laten controleren, hebben consumenten deze mogelijkheid doorgaans niet. Ze zouden daarom in hun nadeel tot contracten kunnen worden gelokt. Immers: onder druk van het EU-Parlement verbiedt de Datawet manipulatief ontwerp in dergelijke contracten, zogenaamde donkere patronen , die gebruikers bijvoorbeeld dwingen een bepaalde optie aan te vinken.
Vanuit het perspectief van consumentenadvocaten zou het echter beter zijn geweest om duidelijk in de wet te definiëren voor welke doeleinden bedrijven IoT-gegevens van particulieren mogen gebruiken. Bijvoorbeeld om apparaten van consumenten te verbeteren, onderhouden of repareren. “We zijn momenteel bezorgd dat bedrijven, zelfs zonder het gebruik van duistere patronen, zichzelf zeer uitgebreide rechten op de gegevens kunnen verlenen en deze kunnen gebruiken voor doeleinden die niet in het belang van de consument zijn – zoals het gebruik van de gegevens voor profilering en reclame”, zegt Glatzner.
Een andere aanpak zou zijn geweest om de Datawet vanaf het begin minder complex te maken. Persoonsgegevens hadden bijvoorbeeld uitgesloten kunnen worden, dan had de EU tegenstrijdigheden met de AVG vermeden. Of de regelgeving had zich uitsluitend kunnen beperken tot industriële data, dat wil zeggen tot het zogenaamde B2B-gebied, business-to-business. Consumentenadvocaat Glatzner vreest: “De combinatie van complexe maar algemene bepalingen zal de toepassing ervan in de praktijk voor alle betrokkenen zeer lastig maken.”
Hoge inspanning, klein effect
In feite is er niet alleen kritiek als het gaat om gegevens- en consumentenbescherming. Ook betwijfelen deskundigen of de Datawet zijn doel zal bereiken: het vergroten van de beschikbaarheid van data. Enerzijds komt dit doordat grote delen van de economie simpelweg geen interesse hebben in het delen van data, zoals blijkt uit de unanieme kritiek op de regulering vanuit de digitale industrie. Het is echter ook te wijten aan de Datawet zelf.
“Over het geheel genomen verwacht ik dat de Data Act zal resulteren in een zeer hoge nalevings- en monitoringinspanning”, zegt Aline Blankertz van Wikimedia Duitsland. ‘Daarentegen zullen er in de getroffen markten waarschijnlijk op zijn best nauwelijks merkbare verbeteringen plaatsvinden, omdat de Datawet zo aarzelend is en complexe processen creëert.’ We vroegen de econoom om een inschatting of de regelgeving ertoe zal leiden dat meer data worden gebruikt voor liefdadigheidsinstellingen. doeleinden in de toekomst kunnen zijn. Jouw antwoord: waarschijnlijk niet.
Het maatschappelijk middenveld heeft bijvoorbeeld niet eens oog voor de regelgeving. Maar je kunt je ook gemakkelijk scenario’s voorstellen waarin overheidsactoren iets goeds kunnen doen met IoT-data: ministeries van Transport zouden statistische gegevens van verbonden voertuigen kunnen gebruiken om verkeersstromen op een milieuvriendelijke manier te controleren. Zorgverzekeraars zouden geanonimiseerde gegevens van fitnessarmbanden kunnen gebruiken voor zorgplanning. Het Federal Network Agency zou connectiviteitsgegevens kunnen gebruiken om te controleren of internetproviders hun breedbandbeloften nakomen. En voor het eerst zou het mogelijk zijn om op betrouwbare wijze te meten hoeveel energie we daadwerkelijk nodig hebben als elk huishoudelijk artikel een zogenaamd slimme machine wordt.
De Datawet voorziet hier echter niet in. In plaats daarvan zijn de regels voor het delen van gegevens tussen bedrijven en de staat “vrij beperkt en beperkt tot noodsituaties”, bekritiseert Blankertz. Het gaat dan om crisis- en uitzonderlijke situaties zoals de coronapandemie of natuurrampen. “Bovendien kunnen staten nog steeds geen toegang tot data opeisen, bijvoorbeeld om de publieke dienstverlening te verbeteren.” Daar was al vroeg kritiek op vanuit het maatschappelijk middenveld , maar daar werd geen gehoor aan gegeven.
De datadominantie zal niet worden doorbroken
Er blijft dus nog één laatste belofte van de Datawet over: dat deze de beschikbaarheid van data voor innovatieve bedrijven zal vergroten. Het is de kern van de nieuwe verordening – en ook hier bestaan grote twijfels over de vraag of dit doel kan worden bereikt.
Wolfgang Kerber, hoogleraar economie aan de Universiteit van Marburg, is bijvoorbeeld sceptisch. Hij zegt: De EU heeft terecht de dominante positie van IoT-fabrikanten als het grootste probleem erkend. Ze schuwde er echter voor om deze suprematie consequent te doorbreken. Uw positie wordt door de nieuwe toegangsrechten hooguit iets verzwakt. Dit is vooral te wijten aan het feit dat “de specifieke vormgeving van het mechanisme voor toegang tot en het delen van gegevens in de Datawet wordt gekenmerkt door een groot aantal beperkingen en eisen, hoge transactiekosten, uitzonderingen en onduidelijkheden”.
Over het geheel genomen zijn de hindernissen voor het delen van gegevens nog steeds te hoog. Externe bedrijven die gegevenstoegang van gebruikers krijgen, moeten bijvoorbeeld een vergoeding betalen aan de gegevenshouders. Daarnaast, zo bekritiseert ook Aline Blankertz van Wikimedia, zouden de fabrikanten onder bepaalde omstandigheden bezwaar kunnen maken tegen het delen van gegevens. Bijvoorbeeld als ze zich baseren op bedrijfsgeheimen. Daarnaast is er een clausule die derden verbiedt concurrerende producten te exploiteren met de gedeelde gegevens, een aanzienlijke beperking van de concurrentie.
Wolfgang Kerber gaat er daarom van uit dat de Datawet ‘slechts in zeer beperkte mate’ data beschikbaar zal stellen aan innovatieve concurrenten. Hij voorspelt dat de situatie zelfs op de reparatie- en onderhoudsmarkten nauwelijks zal verbeteren. Kerber ziet de reden voor het aarzelende optreden van de EU in de valse veronderstelling dat IoT-fabrikanten economische prikkels nodig hebben om hun producten op de markt te brengen. “Een dergelijk algemeen stimuleringsprobleem bestaat echter niet omdat IoT-apparaten aan gebruikers worden verkocht zodat de investeringskosten door de verkoopprijzen kunnen worden gedekt.”
Is er sprake van een quasi-eigendomsrecht op gegevens?
Uiteindelijk zou de Datawet zelfs het tegenovergestelde kunnen hebben van het gehoopte effect, waarschuwt Kerber. In plaats van de controle van de fabrikanten over de gegevens van IoT-apparaten te verbreken, zouden ze hun beschikkingsbevoegdheid in de toekomst contractueel kunnen laten vastleggen. In plaats van een impuls te geven aan het delen van gegevens, zou de regelgeving dan quasi-eigendom van niet-persoonlijke gegevens met zich meebrengen.
“Europese wetgevers moeten heel voorzichtig zijn dat de Datawet niet op langere termijn leidt tot het creëren van een expliciet eigendomsrecht met betrekking tot niet-persoonlijke gegevens”, waarschuwt de econoom. “Dit zou bijdragen aan een verdere concentratie van datamacht met veel negatieve effecten op innovatie, concurrentie en de keuzevrijheid van individuen en bedrijven.”
