Het recht op data
en de Babylonische spraakverwarring
Mag een ziekenhuis wetenschappelijk onderzoek doen met onze data? Mag een farmaceutisch bedrijf dergelijk onderzoek doen? Mogen ze die data weigeren als wetenschappers erom vragen? Mogen ze er geld aan verdienen? In discussies hierover, praten mensen regelmatig langs elkaar heen, doordat er Babylonische spraakverwarring bestaat over het recht op data. Hieronder zal ik proberen uiteen te zetten waar de onduidelijkheid ontstaat, aan de hand van de verschillende soorten betrokkenen.
Allereerst zijn er natuurlijk de mensen op wie de data betrekking hebben; u en ik. Daarnaast zijn er mensen die data feitelijk in een database hebben opgeslagen (dus los van de vraag of ze daar recht op hebben), de datahouders. Ten derde zijn er mensen die een vermogensrecht hebben op bepaalde data; de databank-eigenaars. En tot slot zijn er mensen die data opvragen, terwijl die data niet over hen gaan; de data-hergebruikers.
Image by DilokaStudio on Freepik
Een vermogensrecht op data
De databank-eigenaars, zijn partijen met een vermogensrecht op bepaalde data. Dit betekent dat een ander hen moet betalen bij gebruik van de betreffende data. Dit is een recht dat lijkt op het auteursrecht, of het patentrecht. Mensen die hebben geïnvesteerd in een uitvinding, of die bijvoorbeeld een dik studieboek hebben geschreven, moeten het recht hebben om die investering terug te verdienen. Als dat niet zo zou zijn, dan zou men niet meer investeren in de ontwikkeling van dergelijke intellectuele eigendom, en dat zou niet zo goed zijn voor de economie. Op dezelfde manier kan het zijn dat iemand een vermogensrecht heeft op gegevens in een bepaalde databank. Daarvoor hoeft geen patent te worden aangevraagd of iets dergelijks; het ontstaat vanzelf, zoals ook het auteursrecht automatisch ontstaat. In Nederland is dit alles vastgelegd in de databankenwet, en de EU schreef daarnaast de Europese Richtlijn betreffende de rechtsbescherming van databanken. Belangrijk is, dat de EU vindt dat partijen die geen risicodragende investering hebben gedaan in een dergelijke databank, dus ook geen databankrecht hebben; overheden hebben dit recht wat Brussel betreft dus niet.
Het recht op en de plicht tot privacy
De tweede groep, is de mensen over wie de data gaan. Zij hebben geen recht op die data zoals de databanken-eigenaars dat hebben. Als iemand mijn telefoonnummer gebruikt, kan ik hem daar niet voor laten betalen. Wel hebben de data-subjecten een recht op privacy; op bescherming van hun privéleven. Maar dat is dus iets heel anders, dan het hebben van een recht op die data. Iedereen die data houdt (rechtmatig of onrechtmatig, dan maakt niet uit), is verplicht om rekening te houden met de privacy-rechten van degenen om wie het gaat; deze derde groep heeft dus plichten, die volgen uit de AVG (wat hetzelfde is als de GDPR). Zo is er het recht op inzage en vergetelheid, en op beperkingen van de verwerking, wat strikt genomen eigenlijk een plicht is van de datahouder om gevolg te geven aan dergelijke verzoeken. Maar het recht op privacy is geen ongelimiteerd recht; er kan afstand van zijn gedaan. En bovendien; het kan zijn dat er een ander belang meespeelt, dat groter is dan het recht op privacy. Als men wetenschappelijk onderzoek wil doen, bijvoorbeeld naar oversterfte of crimineel gedrag, dan is er sprake van een maatschappelijk belang (volksgezondheid of veiligheid). Tegelijkertijd is de inbreuk op de privacy te verwaarlozen; de data worden geanonimiseerd en/of gebruikt in een air-locked ICT omgeving (niet aangesloten op internet). Privacy is belangrijk, maar is niet hetzelfde als een recht op data; er kan een inbreuk gemaakt worden op de privacy, als deze inbreuk zo klein mogelijk wordt gehouden, en er een ander belang is dat die inbreuk rechtvaardigt; onderzoek redt mensenlevens, dus het niet doen van onderzoek kost mensenlevens – en dat rechtvaardigt dus een relatief kleine inbreuk op de privacy.
Het recht op het krijgen van data
De vierde groep, waar in Nederland vreemd genoeg amper aandacht voor is, zijn de mensen die data opvragen, terwijl die data niet van hen zijn en niet over hen gaan. We zijn weliswaar bekend met de Wet Open Overheid, voorheen de Wet Openbaarheid van Bestuur. Op grond hiervan kunnen we documenten opvragen bij de overheid. Daarnaast heeft iedere Nederlander echter rechten op data. De Europese Unie heeft ons deze rechten gegeven, omdat dit volgens de EU heel goed is voor de democratie, maar ook voor de economie. Als bijvoorbeeld data over gesubsidieerd vervoer naar ziekenhuizen worden vrijgegeven, dan kunnen private ondernemingen diensten ontwikkelen om dit vervoer beter en/of goedkoper te maken. Inmiddels zijn er drie datarichtlijnen uitgevaardigd, die in ons land amper bekend zijn. De eerdere richtlijnen hebben geleid tot de Wet Hergebruik Overheidsinformatie, waar vrijwel niemand ooit een beroep op doet. De derde richtlijn is nooit in een wet opgenomen. Maar Brussel vindt het recht op data zeer belangrijk en werkt nu aan welgeteld drie verschillende dataverordeningen. Een verordening is een rechtstreeks werkende Europese wet op grond waarvan iedereen dus bij de rechtbank data kan opeisen. Die data moeten dan door de houder aan de aanvrager worden gegeven, mits (i) niemand een databankenrecht heeft en (ii) de privacy in lijn met de GDPR geborgd blijft.
Conclusie
In discussies over “het recht op data” is het van belang om een onderscheid te maken tussen databank-gerechtigden, data-houders, data-aanvragers en data-subjecten. Wie van mening is dat dit recht anders geregeld zou moeten zijn dan het is, zou duidelijker moeten formuleren over wiens rechten hij of zij het eigenlijk heeft. Ook dient te worden nagedacht, bij een voorstel tot wetswijziging, wat de gevolgen zijn voor de andere partijen in het datalandschap, en of de wijzigingen in dat licht echt een goed idee zijn. Privacy is belangrijk, zeker, maar economische, wetenschappelijke en maatschappelijke vooruitgang ook.
Antoinette Vlieger
E: Vlieger@Boombergadvocaten.nl
Tel: 0636424109
Mr. Dr. Vlieger heeft in het rechtsgebieden-register van de Nederlandse Orde Van Advocaten de volgende rechtsgebieden geregistreerd: contractenrecht, algemene praktijk, ondernemingsrecht en bestuursrecht. Op grond van deze registratie is zij verplicht elk kalenderjaar volgens de normen van de Nederlandse orde van advocaten tien opleidingspunten te behalen op ieder geregistreerd hoofdrechtsgebied.