De Data Governance Act: wat moet je daar als organisatie precies mee?

Geschreven door BijzonderStrafrecht.nl

De Europese Data Governance Act (DGA) – Verordening (EU) 2022/868 – is één van de vele datawetten die de afgelopen jaren uit Brussel zijn gekomen. Waar de AVG de bescherming van persoonsgegevens regelt, richt de DGA zich juist op het veilig en betrouwbaar delen van data. Maar wat betekent dat precies, en wat moet je als organisatie ermee?

Wat is de DGA?

De DGA is bedoeld om het vrijwillig delen van gegevens tussen bedrijven, burgers en overheden te bevorderen. Het idee is dat meer datadeling innovatie, economische groei en werkgelegenheid stimuleert, mits dat veilig en verantwoord gebeurt. De verordening heeft drie hoofddoelen:

  1. Hergebruik van overheidsgegevens
    De DGA vult de Richtlijn Open Data (ODR) aan door regels te stellen voor overheidsgegevens die wél onder rechten van derden vallen. Denk aan data die wordt beschermd door bedrijfsgeheimen, statistische geheimhouding, intellectuele eigendomsrechten of persoonsgegevens.

  2. Een kader voor databemiddeling
    Er komt een wettelijk kader voor bedrijven die optreden als neutrale tussenpersoon tussen datahouders en datagebruikers – bijvoorbeeld digitale platforms die datadeling mogelijk maken.

  3. Bevorderen van data-altruïsme
    De DGA stimuleert het delen van data voor doeleinden van algemeen belang, zoals gezondheidsonderzoek of klimaatbeleid. Hiervoor kunnen organisaties worden erkend als officiële data-altruïsmeorganisaties.

Hergebruik van overheidsdata

De DGA biedt geen zelfstandige grondslag om gegevens te delen, maar wel een kader waarbinnen dit mag gebeuren als er al een wettelijke basis bestaat. Overheden mogen dus alleen data delen voor zover dat nationaal is toegestaan.

Wanneer overheidsorganisaties gegevens beschikbaar stellen voor hergebruik, gelden waarborgen:

  • het beschermde karakter van de data (zoals privacy of vertrouwelijkheid) moet behouden blijven;

  • anonimisering of gebruik binnen een beveiligde omgeving kan verplicht worden;

  • hergebruikers mogen betrokkenen niet heridentificeren;

  • voorwaarden moeten transparant, niet-discriminerend en evenredig zijn.

Exclusieve overeenkomsten (waarbij data slechts met één partij wordt gedeeld) zijn in principe verboden, tenzij het gaat om een dienst van algemeen belang die anders niet mogelijk zou zijn.

De verplichtingen gelden voor “openbare lichamen”, een breed begrip dat niet alleen bestuursorganen omvat, maar ook instellingen die een publieke taak uitvoeren. Uitzonderingen bestaan voor bijvoorbeeld onderwijsinstellingen, omroepen en overheidsbedrijven met commerciële doelen.

In Nederland is het Nationaal Dataportaal (data.overheid.nl) aangewezen als centraal informatiepunt. Via dit portaal kunnen gebruikers zien welke datasets beschikbaar zijn, onder welke voorwaarden en tegen welke kosten. Op Europees niveau is er bovendien een centraal register via data.europa.eu.

Databemiddeling: een nieuw speelveld

Een tweede pijler van de DGA is het kader voor databemiddelingsdiensten. Deze moeten het veilig mogelijk maken dat datahouders en datagebruikers elkaar vinden zonder dat er machtsconcentraties of monopolies ontstaan.

Een databemiddelingsdienst is een neutrale tussenpersoon die helpt data te delen tussen partijen, maar die zelf geen rechten op de data krijgt en deze niet gebruikt voor andere doelen. Zulke diensten moeten voldoen aan twee kerncriteria:

  1. Structurele scheiding: de rechtspersoon die databemiddelingsdiensten aanbiedt, mag geen andere datagedreven activiteiten (zoals data-analyse) uitvoeren;

  2. Niet-exclusiviteit: de dienst moet toegankelijk zijn voor alle partijen onder gelijke voorwaarden.

Voorbeelden zijn marktplaatsen voor data, datapools of apps waarmee burgers hun eigen gegevens kunnen delen. De ACM is in Nederland de bevoegde autoriteit en beheert het register van databemiddelingsdiensten.

Een aanbieder moet zich registreren bij de ACM, technische en organisatorische beveiligingsmaatregelen nemen, logboeken bijhouden en zorgen voor interoperabiliteit met andere databemiddelingsdiensten.
EU-breed zijn er inmiddels zo’n twintig erkende aanbieders, waarvan vier in Nederland.

Data-altruïsme: data delen voor het algemeen belang

Naast commerciële datadeling wil de DGA ook data delen voor maatschappelijke doelen aanmoedigen. Organisaties die gegevens verzamelen of beheren voor algemeen nut – bijvoorbeeld ten behoeve van wetenschap, milieu of volksgezondheid – kunnen zich laten registreren als “in de Unie erkende organisatie voor data-altruïsme”.

Om daarvoor in aanmerking te komen, gelden voorwaarden:

  • de organisatie moet zonder winstoogmerk werken;

  • juridisch onafhankelijk zijn van commerciële partijen;

  • transparant zijn over doelen, gebruik en toegang tot data;

  • voldoen aan beveiligings- en rapportagevereisten, waaronder een jaarlijkse verslaglegging aan de ACM.

In Nederland is de ACM ook hier de bevoegde autoriteit. Op dit moment is er in de hele EU slechts één geregistreerde data-altruïsmeorganisatie. De Europese Commissie ontwikkelt bovendien een gemeenschappelijk toestemmingsformulier om het delen van data voor algemeen belang eenvoudiger en goedkoper te maken.

Stand van zaken en vooruitblik

In juli 2025 startte de Europese Commissie een consultatie over de werking van de DGA. Daarbij werd specifiek gekeken naar databemiddeling, data-altruïsme en internationale doorgifte van gegevens.

De ACM gaf in haar position paper aan dat de huidige definitie van “databemiddelingsdienst” ruimte laat voor interpretatieverschillen en dat sommige verplichtingen – zoals structurele scheiding en neutraliteit – in de praktijk te zwaar kunnen uitpakken voor startende organisaties.

Veel databemiddelingsdiensten bevinden zich nog in de beginfase en zijn afhankelijk van publieke financiering. Of de DGA zich ontwikkelt tot baanbrekende wetgeving of slechts een complex kader blijft met beperkte toepassing, moet de komende jaren blijken.

Conclusie

De Data Governance Act vormt een belangrijk onderdeel van de Europese datastrategie: het legt de infrastructuur voor een betrouwbare data-economie. Voor publieke instellingen betekent dit nieuwe verplichtingen bij datadeling, voor bedrijven kansen als erkende databemiddelaar, en voor non-profits een kader om data in te zetten voor het algemeen belang. De praktische impact is nu nog beperkt, maar de contouren zijn duidelijk: de toekomst van datadeling in Europa wordt gereguleerd, transparant en gecontroleerd – en de DGA vormt daarvan het fundament.

BijzonderStrafrecht.nl https://www.bijzonderstrafrecht.nl
Vorige

Van premier naar tech-adviseur: de opmerkelijke overstap van Rishi Sunak
Volgende

Deloitte–Anthropic-alliantie: van AI-pilot naar wereldwijde praktijk