Wat zijn datatrustbeheer-modellen en welk nut hebben die?

Nadat ‘Treuhand’ (of Trust, Trustee) lange tijd een nogal verouderd juridisch begrip was, ontstond er in het digitale tijdperk met de ‘datentreuhand’ een nieuw model voor het „delen“ van gegevens, en wel met behulp van neutrale intermediairs die zonder belang bij de gegevens zelf – in die zin dus als het ware als „trustee“ – bij een gegevensoverdracht of zelfs alleen een gegevensanalyse bemiddelen. De Data Governance Act van de EU nodigt uit tot zowel technische als juridische „sandboxing“. Zo worden er momenteel heel uiteenlopende, op trustees gebaseerde modellen voor gegevensbeheer ontwikkeld en getest.

1. Inleiding

Data-trustees spelen een sleutelrol bij het vergemakkelijken en intensiveren van de gegevensuitwisseling in het bedrijfsleven, de wetenschap en de samenleving. Daarmee dienen deze een (Europees) alternatief te creëren voor de platformeconomieën van de VS of China, die worden gekenmerkt door machtsongelijkheid en datamonopolies. Het concept van door trustees bemiddelde gegevens wordt dan ook nauw verbonden met de verwachting dat digitale gegevens op een betrouwbare, neutrale en vaak ook niet-commerciële manier worden gedeeld. Als men het begrip verder probeert te specificeren, stuit men al snel op een grote verscheidenheid van concepten en kenmerken. Met name in Duitsland kan men momenteel spreken van een regelrecht proefterrein op het gebied van gegevensbeheer door trustees, waarbinnen zich in theorie en praktijk verschillende, deels tegenstrijdige modellen en opvattingen over gegevensbeheer ontwikkelen. Deze situatie is productief. Er tekent zich echter een tendens af tot een te ruime toepassing van de term, waardoor het belangrijk is om het overzicht te behouden en te voorkomen dat het begrip ‘datatrustee’ conceptueel te ver wordt opgerekt.

2. De trustee als actieve en neutrale tussenpersoon in het databeheer

Om te voorkomen dat het begrip ‘datatrustbeheer’ het innovatiepotentieel verliest dat het momenteel (nog) uitstraalt, raden wij aan het begrip zorgvuldig te specificeren. Er zijn zo duidelijk mogelijke criteria nodig, zonder de heterogeniteit van een discours te ontkennen dat talrijke innovatiemogelijkheden biedt.

2.1 De Data Governance Act als uitgangspunt

De discussie over gegevensbeheerders wordt op Europees niveau geflankeerd door de Data Governance Act (DGA). Deze EU-wet, die in juni 2022 van kracht is geworden, heeft ten doel om

„de voorwaarden voor het gezamenlijk gebruik van gegevens in de interne markt te verbeteren en daartoe een geharmoniseerd kader voor de uitwisseling van gegevens te creëren en om tevens bepaalde fundamentele eisen aan gegevensbeheer vast te stellen“.[1]

Om dit doel te bereiken, wordt de ontwikkeling van nieuwe „databemiddelingsdiensten“ (data intermediaries) voorgesteld. Een intermediair (tussenpersoon) is een neutrale instantie die tussen ten minste twee partijen bemiddelt in het belang van deze partijen (of partners) – en dit niet in de laatste plaats omdat de partijen vertrouwen stellen in de tussenpersoon. De tussenpersoon kan als partij die het algemeen belang voor ogen heeft, betrouwbaar zijn, maar ook omdat hij in geen enkel opzicht een concurrent op de markt wil zijn, maar zijn belang beperkt tot de kwaliteit van de bemiddelingsdienst. Als gegevensbeheerders als dergelijke intermediairs worden beschouwd, kunnen daaruit centrale kenmerken worden afgeleid en kan een onderscheid worden gemaakt ten opzichte van andere gegevensdiensten. Een trust-gegevensbeheerder neemt een derde, bemiddelende positie in tussen gegevensverstrekkers en gegevensontvangers en tracht de gegevensuitwisseling zo te organiseren dat aan de belangen van beide partijen optimaal tegemoet wordt gekomen. De prestaties van de gegevenstrustee bestaat uitsluitend uit bijvoorbeeld gegevensoverdracht, het bruikbaar maken van gegevens of een dienstenpakket dat bijvoorbeeld de anonimisering/pseudonimisering van de gegevens kan omvatten.

2.2 Afbakening ten opzichte van andere datadiensten

Omdat zij geen eigen belang hebben bij het gebruik (of zelfs maar bij kennis van) de inhoud van de datasets die zij beheren, moeten gegevensbeheer-trustees van platforms worden onderscheiden. Platformconcepten (bijv. marktplaatsen) zijn gebaseerd op controle over alle processen „op“ het platform, analyseren de gegevenssporen die daarbij ontstaan en zijn gericht op zowel het te gelde maken daarvan alsook het commerciële gebruik van de gedeelde gegevens zelf. Maar ook dataruimtes moeten worden onderscheiden van trustmodellen – dit vloeit voort uit de kwaliteit van de gegevensbeheerder als actor. Terwijl een dataruimte fungeert als algemene facilitator, als een reeks regels en normen (bijvoorbeeld met betrekking tot een bepaald gegevensdomein), in combinatie met een bijbehorende technische infrastructuur, is een data-trustee een doelgerichte organisatie, in de meeste gevallen een bedrijf. In dataruimtes kunnen datatrustees fungeren als eerlijke en neutrale bemiddelaars die de gegevensoverdracht bewerkstelligen of garanderen, zodat de gegevens in een sfeer van vertrouwen kunnen worden gedeeld. Ten slotte zijn gegevensbeheerders ook niet met onderzoeksdatacentra gelijk te stellen. Terwijl deze laatsten gegevens doorzoeken, archiveren en voor wetenschappelijke doeleinden toegankelijk maken, ligt de eigenlijke functie van de datatrustee niet in de permanente opslag of archivering van gegevens. Zijn kerntaak is het bemiddelen. Hieruit volgt ook dat het anonimiseren of pseudonimiseren van gegevens op zich nog geen fiduciaire functie vervult. Een anonimiseringsdienst op zich is nog geen data-trustee, ook al kan anonimisering deel uitmaken van het takenpakket van een gegevensbeheerder.

2.3 Specifieke use cases – specifieke concepten voor databeheer door trustees

Wat is een ‘datatrustee-model’ dan precies? De verscheidenheid aan antwoorden op deze vraag heeft vooral te maken met het feit dat de use cases waarin trusteemodellen worden ontwikkeld, uiteenlopend zijn. Uit de specifieke toepassingsgebieden vloeien verschillende eisen voort met betrekking tot de technische, juridische en organisatorische opzet van een trustee als gegevensbeheerder. Als er bijvoorbeeld voornamelijk persoonsgegevens worden doorgegeven of geanalyseerd, zijn er technische procedures nodig voor anonimisering en pseudonimisering, en speelt het beheer van toestemmingen een rol – beide taken kunnen door een tussenpersoon worden uitgevoerd. Ook de vraag of primaire gegevens („peer-to-peer“) of louter analyseresultaten („compute to data“ of „algorithm to data“) worden doorgegeven, heeft gevolgen voor zowel de technische als de juridische invulling van een trusteemodel. In de „B2B“-sector zijn voor een fiduciaire dienst doorgaans overeenkomsten vereist die sterk bindend zijn (eventueel inclusief aansprakelijkheid, geschillenbeslechting enz.). In de wetenschap kan het inschakelen van een trustee op een minder strikt juridische manier plaatsvinden. Op het gebied van „C2B“, bijvoorbeeld in het kader van zogenaamde Personal Information Management Systems (PIMS), die een donatie van gegevens mogelijk maken, is de databemiddelingsdienst grotendeels technisch vooraf georganiseerd.

Wat de juridische dimensie betreft, zijn er een aantal rechtsgrondslagen die specifiek betrekking hebben op trustee-gegevensbeheer, waaronder met name de wetgeving inzake privacybescherming, het mededingingsrecht, het financieel toezichtsrecht, het privaatrecht en de EU-datastrategie. Welke rechtsgebieden op welke manier relevant zijn, hangt op zijn beurt weer af van het specifieke Use-Case-scenario. Data-trustees die persoonsgegevens doorgeven, moeten handelen in overeenstemming met de AVG; als het gaat om gegevensoverdracht binnen de financiële sector, kan het mededingingsrecht een rol spelen. Wat de organisatorische invulling betreft, wordt er bijzonder intensief gediscussieerd over de vraag naar geschikte bedrijfsmodellen voor concepten voor het gegevensbeheer door trustees. Momenteel worden veel van de datatrustee-projecten die momenteel in ontwikkeling zijn, door de overheid gesubsidieerd. De mogelijkheid van een opschaling en het bestendig maken van dergelijke „DTM-projecten“ hangt af van de vraag of er haalbare bedrijfsmodellen kunnen worden gevonden. Ook hier leiden specifieke use cases tot verschillende benaderingen – zowel wat het businessplan betreft als op het gebied van governance en de keuze van de rechtsvorm. Voor datacommunicatiediensten in de zin van de DGA is juridische zelfstandigheid verplicht, maar geen specifieke rechtsvorm. Momenteel worden met name verenigingen, coöperaties, stichtingen, GmbH’s en AG’s als mogelijke rechtsvormen besproken. Een fundamentele – en dan ook intensief besproken – vraag is die naar de gerichtheid op het algemeen belang van een datatrustee-model. De DGA voorziet uitdrukkelijk in een „altruïstisch“ type van deze nieuwe intermediair.

2.4 Wat zijn de voordelen van datatrustees?

Het nut van datatrustees ligt in het uitoefening van vier centrale functies. Hun matchmaking-functie bestaat erin om op basis van diepgaande marktkennis aanbieders en afnemers bij elkaar te brengen en zo hun zoekkosten te verlagen. Daarnaast vervullen zij een ondersteunende rol door marktdeelnemers bij te staan bij het tot stand brengen en uitvoeren van transacties. Hieronder vallen onder meer het centraal verzamelen en de gebundelde verstrekking van marktgerelateerde informatie, het documenteren van transacties en het afwikkelen van betalingen. Hun vertrouwensfunctie bestaat er immers in om informatieasymmetrieën weg te nemen en opportunistisch gedrag te verhinderen. Zo kunnen ze vóór het sluiten van de overeenkomst expertise inbrengen om informatiehiaten weg te werken, of maatregelen nemen die het vertrouwen versterken (bijvoorbeeld het controleren van de betrouwbaarheid van deelnemers, de verstrekking van beoordelingssystemen). Na het sluiten van de overeenkomst helpen zij bij het toezicht op de naleving van de overeenkomst, waarbij door de betrokkenheid bij talrijke transacties schaalvoordelen kunnen worden gerealiseerd. Als vierde functie zou men die van marktpluralisering kunnen noemen, aangezien neutrale tussenpersonen bepaalde typische effecten van de „platformeconomie“ – ongewenste gegevenslekken, ongewenste secundaire transacties met gegevens, de vorming van oligopolies – moeten voorkomen. In dit opzicht vormen modellen voor gegevensbeheer een instrument van het Europese beleid inzake de datamarkt.

3. Vooruitzichten: Uitdagingen en kansen

De uitdagingen waarmee projecten op het gebied van gegevensbeheer worden geconfronteerd, zijn even groot als de verwachtingen en de beloften van toegevoegde waarde die ermee gepaard gaan. In het kader van het aanpakken van grote maatschappelijke uitdagingen kunnen ze worden gezien als katalysatoren voor op gegevens gebaseerde innovatie, die een „Europese“ transformatie van de data-economie moeten stimuleren. Veel projecten op het gebied van gegevensbeheer hebben echter (nog) geen solide bedrijfsmodel; de initiatieven bevinden zich nog in de conceptfase of worden momenteel als pilotproject uitgevoerd. Ook ontbreekt het gegevensbeheerders tot nu toe aan zichtbaarheid. De voordelen en mogelijkheden ervan, zoals bijvoorbeeld het op een juridisch verantwoorde manier beschikbaar stellen en gebruiken van gegevens via een betrouwbare infrastructuur, zijn nog onvoldoende bekend. Het open proefterrein waarop projecten op het gebied van gegevensbeheer momenteel actief zijn, blijft niettemin veelbelovend. De verscheidenheid aan benaderingen biedt de mogelijkheid om met en van elkaar te leren. Daarnaast verdient de vraag aandacht of en hoe datatrustees kunnen bijdragen aan een verschuiving die de afgelopen jaren duidelijk merkbaar is geweest: van een perspectief gericht op gegevensbescherming naar een perspectief gericht op gegevensgebruik. Een sleutelbegrip in deze context is daarbij de „datasoevereiniteit”.
De ongetwijfeld legitieme veiligheidsbelangen van de gegevensverstrekkers moeten worden gerespecteerd en serieus worden genomen. Maar ook de wens van gegevensverstrekkers om hun gegevens bruikbaar te maken – bijvoorbeeld via gegevensbemiddelingsdiensten – is legitiem en mag bijvoorbeeld niet stranden op buitensporige eisen aan verleende toestemming. Het concept van het gegevensbeheer door een vertrouwenspartij biedt daarom de kans om verschillende perspectieven op een innovatiegedreven en ethisch-normatief onderbouwde manier bij elkaar te brengen. Alle betrokkenen zouden hier resoluut op moeten inzetten.


[1] Verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese Data-Governance en tot wijziging van Verordening (EU) 2018/1724 (wet inzake Data-Governance), L 152/2.