Regulering vrij dataverkeer binnen EU komt eraan

Binnen de EU is vrij verkeer van personen en goederen al geregeld. Voor dataverkeer gold dit echter nog niet. Er zijn momenteel nog teveel beperkingen die het makkelijk maken voor bedrijven om over te stappen van de ene (cloud)dienstverlener naar de andere, waar dan ook binnen de EU. De Europese Commissie heeft dit probleem ook gezien en heeft besloten dit aan te pakken met het ontwerpen van een regulering voor de ‘Free flow of non-personal data’. Of in goed Nederlands: ‘Verordening inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in

de Europese Unie’.

Waar gaat het hier nu precies over? Allereerst om het verbeteren van de grensoverschrijdende mobiliteit van niet-persoonsgebonden gegevens op de één-gemaakte Europese markt. Deze mobiliteit is momenteel in veel lidstaten aan beperkingen onderhevig. Er gelden nog vaak lokalisatierestricties, terwijl in een aantal gevallen ook sprake is van rechtsonzekerheid.

Daarnaast is het belangrijk dat we er in de EU voor zorgen dat de daartoe aangestelde autoriteiten de bevoegdheid behouden om toegang tot gegevens te vragen of te krijgen voor wettelijke doeleinden. Denk aan inspecties of audits.

Een derde punt dat speelt, is het feit dat professionele gebruikers van diensten voor gegevensopslag of andere vormen van gegevensverwerking gemakkelijker naar een andere dienstverlener kunnen overstappen. Waarbij zij hun gegevens gemakkelijker kunnen meenemen zonder al te veel ‘rompslomp’ voor de dienstverleners en zonder verstoring van de markt.

Artikel 6

Belangrijk in de verordening is met name artikel 6. Hierin is bepaald dat de Europese Commissie de dienstverleners en de professionele gebruikers moet stimuleren om gedragscodes op te stellen en in te voeren die voldoende gedetailleerde, duidelijke en transparante informatie bevatten over de voorwaarden waaronder gegevens kunnen worden meegenomen, inclusief de technische en operationele vereisten. De dienstverleners moeten die informatie vóór de sluiting van een contract aan hun professionele gebruikers verstrekken. Binnen twee jaar nadat de verordening van toepassing is geworden, zal de Commissie de ontwikkeling en daadwerkelijke toepassing van dergelijke codes aan een evaluatie onderwerpen.

De ontwikkeling van deze codes wordt gedreven vanuit de industrie. De codes zijn immers een vorm van zelfregulering van de markt. Hoewel de commissie dus wel toezicht op de ontwikkeling houdt, is zij zelf geen actief deelnemer aan het ontwikkelproces.

Het belang

Binnen de Europese Digital Single Market is deze verordening van belang om tot één enkele digitale markt binnen Europa te komen. Hierbij wordt het niet wenselijk geacht om nog langer met situaties op het gebied van vendor lock-in te moeten omgaan die een vrije digitale economie in de weg staan. Deze nieuwe regulering is in september 2017 aan het Europese Parlement aangeboden. Naar verwachting zal deze regulering eind dit jaar worden goed­gekeurd, waarna deze nieuwe regulering een feit wordt.

Eerder dit jaar - op 19 juni 2018 - werd al een principeakkoord bereikt met het parlement. Dit betekent dat er nog maar weinig obstakels voor de aangesloten lidstaten zijn om tot een succesvolle acceptatie over te kunnen gaan.

SWIPO en CSPCERT

Voor de uitvoering van artikel 6 heeft de Europese Commissie in maart 2018 een werkgroep ingesteld met vertegen­woordigers van zowel aanbieders als afnemers uit de IT-sector. Deze werkgroep kreeg de naam ‘Working group for Switching providers and data-portability’. Het werd onderverdeeld in 2 sub-werkgroepen. De eerste houdt zich bezig met Infrastructuur (IaaS), de tweede subgroep richt zich op software en data (SaaS). Later werd hier ook nog een werkgroep aan toegevoegd die zich bezighoudt met certificering (CSPCERT).

De werkgroepen die zich bezighouden met het vrije verkeer van niet-persoonlijke data hebben zichzelf ‘SWIPO’ genoemd, een verwijzing naar de lange naam die gaat over ‘SWItching Providers en Porting Data’. In het kader ‘Wie is wie?’ is aangegeven wie leiding geven aan deze werkgroepen.

De drie werkgroepen ontwikkelen momenteel een Code of Conduct op hun specifieke deelgebied. Daarmee willen zij richting geven aan de markt over de vraag hoe ‘switching’ van providers en het porteren van data zo eenvoudig en uniform mogelijk gemaakt kan worden. Op gedeelde gebieden werken deze groepen nauw samen. Deze gedeelde gebieden zijn:

• Governance - hoe moet omgegaan worden met de code als deze er eenmaal is?
• Wetgeving - wat zijn de juridische implicaties waarmee rekening gehouden moet worden voor, tijdens en na switching en porting?
• Algemene voorzieningen - wat is de algemene doelstelling waarmee men een porteringsproces in moet gaan bij het switchen?
• Gemeenschappelijke terminologie - de gebruikte afkortingen of woorden die bij het proces van switchen en porteren van toepassing zijn.

SWIPO heeft inmiddels 3 face-to-face meetings gehouden in verschillende Europese steden (Brussel, Parijs en Rome). Op de kalender staan nog bijeenkomsten gepland voor Wenen (december 2018), Madrid (februari 2019) en Berlijn (april 2019). Deze bijeenkomsten zijn voor een deel openbaar voor geïnteresseerde partijen. Ook kunnen geïnteresseerde partijen zich nog steeds aanmelden om deel uit te maken van een van de SWIPO groepen. Naar verwachting zal na de bijeenkomst in Wenen in december 2018 de markt gevraagd worden om input en feedback te geven, de zogeheten ‘public consultation’.

Wie is wie?

De leiders van deze werkgroepen zijn:

SWIPO SaaS

• Maurice van der Woude (BPdelivery)
• Aniello Gentile (ENEL)
• Jorn Wittmann (SCOPE)
• Chris Francis (SAP)

SWIPO IaaS

• Freddy van den Wyngaert (CIO Europe)
• Alban Schmutz (OVH)

CSPCERT

• Helmut Fallmann (Fabasoft)
• Borja Larrumbide (BBVA)

Meer weten?

• Wilt u meer weten over deze regulering? Dan zijn de volgende bronnen beschikbaar:
• https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data
• https://ec.europa.eu/digital-single-market/en/news/cloud-stakeholder-­working-groups-start-their-work-cloud-switching-and-cloud-security
• https://ec.europa.eu/digital-single-market/en/news/free-flow-non-personal-data

Maurice van der Woude is CEO van BPdelivery