3: EUs indsatser for data spaces

Den europæiske datastrategi

Et vigtigt element i at opnå den ovenfor beskrevne udvikling er Europæisk Datastrategi som blev vedtaget af EU-Kommissionen i februar 2020. Visionen med strategien er at gøre EU til en ledende spiller i udviklingen af et datadrevet samfund.

Den europæiske datastrategi har til formål at gøre EU førende i et datadrevet samfund. Et indre marked for data vil gøre det muligt for data at bevæge sig frit indenfor EU og på tværs af sektorer til gavn for virksomheder, forskere og offentlige forvaltninger. Mennesker, virksomheder og organisationer skal have mulighed for at træffe bedre beslutninger på grundlag af indsigt fra andre data end personoplysninger, som bør være tilgængelige for alle. (EU's danske side om Datastrategien)

Figur 9

Figur 9: Figuren er taget fra Data Spaces Support Centre's webinar Insights Series den 1. dec. 2022. Kommer fra Boris Ottos præsentation. Figuren kommer oprindeligt fra Rizzi, D. (2022) og er brugt ofte i data space sammenhænge.

I Figur 9 ovenfor ses de hovedelementer, som vil blive beskrevet nedenfor. I venstre side af figuren vises som overordnet ramme den Europæiske Datastrategi, der dækker over udvikling af den Europæiske infrastruktur, som skal understøtte data spaces. Dette sker primært gennem European Alliance for Industrial Data, Edge and Cloud og gennem og de herigennem støttede IPCEI-projekter (Important Projects of Common European Interest). I højre side af figuren vises indsatser omkring data, datadeling og data spaces, inkl. udvikling af teknisk arkitektur og afprøvning gennem konkrete use-cases. Her udvikles og koordineres governance-strukturen og referencearkitekturen gennem Data Spaces Support Center. Store økonomiske støtteordninger skal skabe konkrete projekter, hvor data spaces og teknologierne til dem udvikles og testses. Et andet vigtigt element i datastrategien er lovgivning og retsakter, der skal skabe fælles rammer på tværs af medlemsstater og aktører. EU-Kommissionen har indtil nu fremsat tre centrale retsakter, som sætter rammerne for datadeling i Europa:

Data Act og Data Governance Act er primært rettet mod virksomheder, og European Interoperability Framework er rettet specifikt mod offentlige myndigheder. Data Act skal skabe de overordnede horisontale rammer for, hvornår virksomheder kan og skal dele data. Data Governance Act beskriver retningslinjerne for nogle af de roller, som EU-Kommissionen ser som de centrale aktører i et indre marked for data.

Data Act

Data Act – på dansk 'Dataforordningen' – blev fremsat af EU-Kommissionen den 23. februar 2022 og er under forhandling.

Med dataforordningen vil flere data blive stillet til rådighed for anvendelse. Ved forordningen fastsættes der regler for, hvem der må anvende og få adgang til hvilke data og til hvilke formål, i alle økonomiske sektorer i EU. (Fact Sheet Dataforordningen).

Data Act skal etablere en mere harmoniseret ramme for industriel, ikke-personlig datadeling. Overordnet har forordningen til formål at fjerne de barrierer (lovmæssige, tekniske og økonomiske), der gør, at data ikke udnyttes i så bredt et omfang, som man kunne ønske.

Figur 10

Figur 10: Figuren stammer fra en præsentation ved Max Lemke, EU, fra afslutningsevent for OPENDEI, oktober 2022.

Data Act indeholder 7 overordnede forslag:

  1. Retningslinjer for udbydere af IoT-produkter og -services, som skal give forbrugerne adgang til deres data og gøre det lettere for brugerne at give tredjeparter adgang til deres data. De skal desuden skabe mere transparens for forbrugerne om, hvad deres data bruges til og af hvem (kap. 2).
  2. Horisontale retningslinjer for dataindehavere, som forpligter disse til at stille data til rådighed på en fair, rimelig og ikke-diskriminerende måde. Disse horisontale retningslinjer skal kunne suppleres af efterfølgende sektorspecifik regulering (kap. 3).
  3. Horisontale rammer, der skal beskytte mikrovirksomheder og SMVer mod urimelige krav om datadeling (kap 4).
  4. En ramme for, hvordan offentlige myndigheder og EU-organer skal have adgang til virksomheders data i ekstraordinære tilfælde – som f.eks. en pandemi (kap. 5).
  5. Minimumskrav for databehandlingstjenester, såsom cloud- og edgetjenester, som skal gøre det lettere for brugere at skifte udbyder og at tage data og aktiviteter med på tværs af udbydere (kap 6).
  6. Tiltag til beskyttelse mod tredjeparters ulovlig adgang til andre data end personoplysninger (kap. 7).
  7. En række krav, der skal opfyldes for at fremme interoperabilitet for dataområder og databehandlingstjenester. Herunder ligger også rammer for anvendelse af intelligente kontrakter om datadeling. Disse standarder skal besluttes i samarbejde med europæiske standardiseringsorganisationer, og EU-Kommissionen får beføjelser til at vedtage fælles specifikationer ved hjælp af gennemførelsesretsakter (kap 8).

Hvert medlemsland pålægges desuden at udpege en eller flere kompetente myndigheder, der skal føre tilsyn og håndhæve forordningens tiltag.

Data Act har været i høring hos forskellige danske organisationer såsom Dansk Erhverv, Dansk Industri, Ingeniørforeningen IDA, Forbrugerrådet Tænk, Danske Rederier, Dansk Finans, Finansforbundet, IT-Branchen og Kommunernes Landsforening. De er alle generelt positivt indstillet overfor forordningens hovedpunkter og formål men har konkrete punkter, man bør være opmærksom på i forhandlingerne. Der er en del diskussion blandt virksomheder, som frygter, at retsakten vil pålægge dem at offentliggøre data, som er forretningskritiske og kan kompromittere IPR. Regeringen forholder sig også meget positivt til forordningen, som nu er under forhandling. Da det er en meget omfattende retsakt, vil den formodentligt ikke blive vedtaget før medio 2023.

Data Governance Act

Den danske betegnelse for Data Governance Act (DGA) er Forordningen om datastyring. Den blev vedtaget den 30. maj 2022 og vil træde i kræft fra september 2023. DGA har til formål at øge tilgængeligheden af data ved at styrke tilliden til datadelingstjenester og ved at introducere nye datadelingsmekanismer på tværs af EU.

I DGA beskrives retningslinjerne for videreanvendelse af en række data, som er beskyttet af særlige hensyn, såsom kommerciel fortrolighed, herunder forretnings-, erhvervs- og virksomhedshemmeligheder, statistisk fortrolighed, beskyttelse af tredjeparters intellektuelle ejendomsret og beskyttelse af personoplysninger (kap. 2).

DGA stiller ikke krav om, at data stilles til rådighed. Den siger kun, under hvilke forhold offentlige myndigheder kan stille dem til rådighed. Dvs. når en myndighed vælger at stille beskyttede data til rådighed, skal de leve op til kravene i DGA.

Formålet er at skabe mere trygge rammer for deling af offentlige data. Forordningen indfører desuden solide retningslinjer, som skal øge tilliden til de aktører, der skal stille data til rådighed gennem nye digitale datadelingstjenester. Der udstikkes en anvendelses- og tilsynsramme for sådanne nye datadelingsaktører.

Her beskrives to specifikke aktører:

  • 'Dataformidlingstjenester' (kap. 3) er en kommerciel aktør, der skaber forretning ud af at stille data til rådighed via en markedsplatform, så andre kan tilgå eller købe sig adgang til data. Data kan både komme fra privatpersoner, der vælger at sælge adgang til personlige data, eller det kan være virksomheder, der ønsker at sælge deres data til tredjeaktører.
  • Dataaltruistisk organisation (kap. 4) er en organisation, som stiller data gratis til rådighed til bestemte formål. Formålet med dataaltruistiske organisationer er at give borgere, virksomheder og organisationer mulighed for at stille deres data gratis til rådighed for almennyttige formål som f.eks. forbedring af folkesundhed, bekæmpelse af klimaforandringer eller forbedring af udbuddet af offentlige tjenesteydelser eller offentlig beslutningstagning. Her stilles data gratis til rådighed gennem dataejers informerede samtykke; dette kan gøres ud fra på forhånd bestemte formål eller til bredere almennyttige formål. Medlemsstaterne skal foretage initiativer, der kan fremme dataaltruistiske organisationer.

Der beskrives en række funktioner og rammer, som man som dataformidlingstjeneste og dataaltruistisk organisation skal overholde for at overholde retningslinjerne i forordningen og derved gøre sig berettiget til at bruge EU's officielle stempel som en sådan aktør.

I forordningen beskrives desuden 2 vigtige organer, der skal være med til at sikre udviklingen af data spaces og at sikre, at de aktører, der begår sig i et data space, overholder spillereglerne:

For det første skal EU-Kommissionen oprette et European Data Innovation Board (EDIB), som bl.a. skal facilitere erfaringsudveksling mellem medlemsstaterne om implementering af forordningen og sikre ensartet praksis blandt myndighederne. EDIB skal rådgive og bistå EU-Kommissionen omkring data spaces, datadeling, standarder, forhindringer og udfordringer for udbredelse af data spaces, cybersikkerhed og meget mere (i kap. 6, artikel 30 listes mange forskellige ansvarsområder). EDIB skal desuden holde register over, hvilke data spaces der findes i medlemsstaterne, og de skal sikre, at der er kendskab til og interoperabilitet og interaktivitet mellem de forskellige data spaces (kap. 6).

Hver medlemsstat skal desuden oprette et eller flere såkaldte ' kompetente organer ,' der skal bistå de offentlige myndigheder, der skal give adgang til data, og som skal bistå med teknisk støtte til, hvordan man bedst strukturerer, lagrer data med henblik på at gøre disse tilgængelige, og hvordan man tilvejebringer et sikkert databehandlingsmiljø (kap. 2, artikel 7). De kompetente organer vil desuden skulle føre opsyn med og registrere dataformidlingstjenester og dataaltruistiske organisationer hos EIDB. Hvordan denne opgave vil blive varetaget i Danmark, er endnu ikke afklaret.

European Interoperability Framework

EU-Kommissionen har i november 2022 fremstillet et forslag til en Forordning om et interoperabelt Europa - European Interoperability Framework(EIF).

EIF er rettet mod offentlige myndigheder og skal sikre større interoperabilitet på tværs af EU-lande. Formålet med EIF er "at sikre en konsekvent, menneskecentreret EU-tilgang til interoperabilitet" ved at "etablere en struktur for interoperabilitetsstyring, som sætter offentlige myndigheder på alle niveauer og fra alle sektorer samt private interessenter i stand til at samarbejde" gennem fælles rammer, åbne specifikationer, åbne standarder, applikationer eller retningslinjer. Samt "at medvirke til at skabe et økosystem af interoperabilitetsløsninger til EU's offentlige sektor, således at offentlige forvaltninger på alle niveauer i EU og andre interessenter kan bidrage til og videreanvende sådanne løsninger" (Forordningen om et interoperabelt Europa, side 2).

I EIF defineres 4 niveauer af interoperabilitet, som er tæt knyttet til data space dagsordenen:

  1. Semantisk interoperabilitet sikrer, at data har et specifikt format og en præcis betydning, der forstås og bevares i dataudvekslinger mellem aktører.
  2. Teknisk interoperabilitet handler om de applikationer og infrastrukturer, der kæder systemer og tjenester sammen. Dette omfatter grænsefladespecifikationer, sammenkoblingstjenester og dataintegrationstjenester og -udveksling samt sikre kommunikationsprotokoller.
  3. Organisatorisk interoperabilitet handler om, hvordan aktører kan dokumentere, samordne og integrere forretningsprocesser og relevant information, når der sker dataudveksling.
  4. Juridisk interoperabilitet sikrer, at organisationer, der arbejder under forskellige retlige rammer, politikker og strategier, kan arbejde sammen.

De fire niveauer kan inddeles efter den hårde og den bløde infrastruktur i data spaces, så de to første sætter retningslinjer for den hårde infrastruktur og de to sidste for den bløde infrastruktur. EU-Kommissionens mål med EIF er at danne fundamentet for et interoperabelt, digitalt samfund i den offentlige sektor, og man forventer, at den private sektor i nogen grad vil følge efter. I forhold til udrulning af data spaces kan EIF danne fundamentet for reguleringen af interoperabiliten på alle fire områder.

Andre relaterede forordninger

Ud over disse tre retsakter, er der to andre forordninger, det er værd at nævne kort, nemlig Digital Services Act (DSA) og Digital Market Act (DMA), som skal være med til at skabe mere åbne og retfærdige markeder i den digitale sektor ved at skabe nogle rammer og regler for de store cloud- og serviceudbydere og store platformsudbydere, som ellers kan komme til at fungere som gatekeepers og hindre en øget datadeling. Gennem disse forordninger beskrives det, hvilke virksomheder der hører under disse retningslinjer, og forordningerne skal gøre det lettere for brugere af disse at skifte udbyder og at dele deres data. Dette skal skabe mere konkurrence og en mere retfærdig spilleplade for de mindre virksomheder og derved modvirke datamonopol. Læs mere om DMA og DSA her.

Desuden bygger de nye forordninger under Den Europæiske Datastrategi på tidligere forordninger såsom Persondataforordningen (GDPR), PSD2-direktivet, og Databasedirektivet. Ligeledes er Den Europæiske Datastrategi tæt forbundet med EU's Open source software strategy 2020-2023, da en vigtig del af Data Space-dagsordenen er, at de teknologiske komponenter, der skal udvikles til data spaces, skal være tilgængelige som open source software.

Forrige
Hvorfor satser EU på data spaces?
Næste
EU-kommissionens støtteprogrammer