Rammene for enklere datadeling vedtatt i EU
Rådet og Parlamentet har oppnådd en foreløpig enighet om datastyringsforordningen, Data Governance Act (DGA), ett år etter at lovforslaget ble lagt frem. DGA vil danne rammene for en europeisk datastyringsmodell, og innfører mekanismer som skal gjøre det enklere å gjenbruke bestemte kategorier av beskyttede data fra offentlig sektor. Felles europeiske dataområder skal opprettes innenfor blant annet helse, miljø, energi, mobilitet og finans. Forordningen har også som formål å øke tilliten til dataformidlingstjenester og fremme «dataaltruisme» (frivillig deling av data til samfunnets beste). «We are at the beginning of the age of AI and Europe will require more and more data. This agreement should make it easy and safe to tap into the rich data silos spread all over the EU. The data revolution will not wait for Europe. We need to act now if European digital companies want to have a place among the world’s top digital innovators», uttalte Europaparlamentets saksordfører. DGA er det første initiativet som blir vedtatt under rammene av EUs overordnede datastrategi. I februar neste år skal Kommisjonen etter planen legge fram Data Act, og forslaget til et europeisk helsedataområde er ventet i juni.
Rådet skriver i pressemeldingen 30. november at enigheten med Parlamentet om Data Governance Act (DGA) vil fremme tilgjengeligheten av data, og bygge opp et pålitelig miljø som skal lette bruk av data til forskning og innovasjon av nye produkter og tjenester. Datastyringsforordningen vil også støtte opprettelse og utvikling av felles europeiske dataområder (data spaces) i strategiske sektorer (helse, miljø, energi, landbruk, mobilitet, finans, produksjon, offentlig forvaltning og kompetanse). Det nye regelverket har følgende hovedelementer:
- Mer utstrakt gjenbruk av beskyttede data fra offentlig sektor, som personopplysninger, forretningshemmeligheter, og data som er beskyttet av intellektuell eiendomsrett. Offentlige myndigheter som tillater denne typen gjenbruk må være tilstrekkelig teknisk rustet for å sikre personvern og konfidensialitet. DGA supplerer i den forbindelse viderebruksdirektivet (PSI) fra 2019 om gjenbruk av opplysninger fra offentlige sektor, som ikke dekker denne typen data. Enerettsavtaler for gjenbruk av data fra offentlig sektor vil være mulig når de er berettiget og nødvendig for å levere en tjeneste av almen interesse. Den maksimale lengden for eksisterende kontrakter blir 2,5 år, og for nye kontrakter 12 måneder. Europakommisjonen vil opprette et felles europeisk adgangspunkt, med et søkbart elektronisk register over data fra offentlig sektor. Dette registret vil være tilgjengelig via nasjonale, sentrale informasjonssteder.
- Ny forretningsmodell for dataformidling. Med DGA etableres en ramme for dataformidlingstjenester, som skal skape et sikkert miljø hvor virksomheter eller enkeltpersoner kan dele data. For virksomheter kan disse tjenestene ha form av digitale plattformer, som skal støtte frivillig datadeling eller legge til rette for oppfyllelse av datadelingsforpliktelser fastsatt ved lov. Ved å bruke disse tjenestene skal virksomhetene være sikre på at data ikke blir misbrukt eller at de mister konkurransekraft. For personopplysninger, vil dataformidlingstjenestene hjelpe enkeltpersoner med å utøve deres rettigheter i henhold til personvernforordningen (GDPR). Folk skal få bistand til å få kontroll over egne data, og gi dem muligheten til å dele data med virksomheter de stoler på, for eksempel gjennom nye verktøy for å håndtere personopplysninger. Leverandører av dataformidlingstjenester må oppføres i et register, så kundene vet at de er til å stole på. Leverandørene vil ikke kunne videreselge data, men får lov til å ta betalt for de tjenestene de utfører.
- Dataaltruisme for samfunnets beste. DGA skal gjøre det lettere for personer og virksomheter å frivillig gjøre data tilgjengelig, for eksempel til medisinsk forskning. Enheter som ønsker å kunne samle inn slike data kan søke om å bli oppført i et nasjonalt register over godkjente dataaltruistorganisasjoner, som igjen gir anerkjennelse i hele EU. For å bli anerkjent som en dataaltruistisk organisasjon må et spesifikt regelverk overholdes. Frivillig sertifisering i form av en logo skal gjøre det lettere å kjenne igjen leverandører av dataformidlingstjenester og dataaltruistorganisasjoner som følger reglene.
- Internasjonal adgang til og overføring av ikke-personlige data. DGA innfører garantier knyttet til data fra offentlig sektor, dataformidlingstjenester og dataaltruistorganisasjoner mot ulovlig internasjonal overføring eller statlig adgang til andre data en personopplysninger. For personopplysninger har EU allerede tilsvarende garantier under personvernforordningen (GDPR). Kommisjonen kan – gjennom sekundærlovgivning – vedta beslutninger som erklærer at spesifikke tredjeland gir hensiktsmessige garantier for bruk av ikke-personlige data overført fra EU. Disse avgjørelsene vil ligne tilsvarende beslutninger knyttet til personopplysninger under GDPR.
- Det europeiske datainnovasjonsrådet. Det skal opprettes en ny struktur som skal gi råd og hjelpe Kommisjonen med å fremme dataformidlingstjenestenes interoperabilitet og utarbeide retningslinjer for utviklingen av nye dataområder. «Her har vi tatt opp med EU at EØS-land som Norge, Island og Liechtenstein må kunne delta på lik linje med medlemsland siden vi implementerer forordningen på samme måte», skriver regjeringen i EØS-notatet om DGA (oppdatert 18. november).
I regjeringens EØS-notat står det videre at DGA «vil kunne ha budsjettmessige konsekvenser og påvirke organiseringen og styringen av norsk offentlig forvaltning, bl.a. ved at det stilles krav om å etablere et felles nasjonalt informasjonspunkt, at det må drives tilsynsvirksomhet med dataformidlere i privat sektor, og at det skal opprettes organ(er) som skal gi teknisk og juridisk støtte til datadeling i offentlig sektor».
Europaparlamentet skriver i sin omtale av enigheten at de under forhandlingene sørget for at det ikke var smutthull som ville tillatte operatører fra tredjeland å misbruke ordningen, ved å styrke bestemmelsene om tillit og rettferdig tilgang. I følge Parlamentet sikret de også presise krav til hvilke tjenester som faller under DGA, og en styrking av Det europeiske datainnovasjonsrådet. «We are at the beginning of the age of AI and Europe will require more and more data. This agreement should make it easy and safe to tap into the rich data silos spread all over the EU. The data revolution will not wait for Europe. We need to act now if European digital companies want to have a place among the world’s top digital innovators», uttaler Parlamentets saksordfører Angelika Niebler (EPP, Tyskland).
Kommisjonen ønsker enigheten om DGA velkommen, og skriver i en pressemelding at DGA vil danne grunnlaget for en ny datastyringsmodell i overenstemmelse med EU-regler for beskyttelse av personvern, forbrukerbeskyttelse og EUs konkurranseregler. Kommisjonen skriver at de snart vil lansere lovforslaget Data Act, som vil ha til formål å fremme datautveksling mellom virksomheter, og virksomheter og nasjonale myndigheter. Politico har fått tilgang til et utkast over Kommisjonens digitale agenda for 2022, hvor det fremgår at Data Act er planlagt lagt frem 23. februar. Planene for et europeisk helsedataområde er ventet i juni neste år.
Europaparlamentets industrikomite (ITRE) godkjente forhandlingsresultatet 6. desember, skriver Agence Europe. Den foreløpige enigheten om DGA skal nå formelt godkjennes av Parlamentet og medlemslandene i Rådet. Det nye regelverket vil gjelde 15 måneder etter at forordningen trer i kraft.
Kontaktinfo
Stortingsbiblioteket: bibl@stortinget.no
Ansvarlig: Vilde Høvik Røberg