Blogs

Eigenaarschap van gegevens, kan dat eigenlijk wel?

Eigenaarschap van gegevens, kan dat eigenlijk wel?

Om die vraag meteen maar te beantwoorden: nee, strikt gezien kan dat niet. Data zijn niet stoffelijk en daar heeft de wet geen eensluidend antwoord voor. Echter, wanneer er sprake is van specifieke toegevoegde eigenschappen of presentatie van die data kan het wel.  Dan is er creativiteit toegevoegd. Echter, is dat eigenlijk wel de essentie van deze discussie? Of iemand eigenaar van data kan zijn? Het gaat er vooral om dat met name gevoelige data veilig zijn en dat er geen onbevoegden mee aan de haal gaan. Er is technologie in de markt die je helpt die data te beschermen. En er zijn deskundigen die in staat zijn die technologie optimaal toe te passen. Zoals Docspro.

Gegevens: een vrij abstract begrip. We weten wel wat we bedoelen, maar we kunnen het niet vasthouden. Het is niet concreet, zoals een huis, fiets, boot of computer. ‘Strikt gezien bestaat er daarom geen eigenaarschap van gegevens’, aldus Paul de Jager, Privacy en Compliance officer bij Docspro.

Aanleiding voor het gesprek is eigenlijk de ontwikkeling van steeds slimmere toepassingen met Artificial Intelligence, zoals chatbots (bijvoorbeeld ChatGPT). Ze komen steeds meer voor in onze samenleving en hebben direct invloed op ons bestaan, ons leven en hoe we met elkaar omgaan, zowel privé als in werk. Het handelen rondom bepaalde gegevens wordt daarmee steeds ingewikkelder. Niet alleen is het lastig om vast te stellen of informatie echt of origineel is, maar ook bijvoorbeeld wie nu de eigenaar is van deze door een AI engine gegenereerde informatie. Of wie eigenaar is van de erbij behorende documenten en de onderliggende gegevens. Aanvullend op die vragen, waar ligt de aansprakelijkheid als er iets met deze gegevens wordt gedaan en wat zijn de gevolgen hiervan?

Concrete zaken zijn duidelijk

De wetgeving zoals vastgelegd in het Burgerlijk Wetboek (artikel 5.1) legt uit dat het bij eigenaarschap gaat om concrete zaken; en dat is wettelijk gedefinieerd als een voor menselijke beheersing vatbaar stoffelijk object. Met andere woorden: je moet het kunnen aanraken en vastpakken. De eigenaar mag vervolgens als enige beschikken over die zaken. Wil een andere partij er gebruik van maken dan zal die toestemming moeten vragen. Dat is lastig als het om iets abstracts als gegevens gaat.

Gegevens zijn geen concrete zaken

Gegevens (of data) zijn namelijk geen concrete, stoffelijke zaken. Paul: ‘Inderdaad, gegevens zijn niet tastbaar. Dat maakt deze materie zo ingewikkeld. In onze wereld raken steeds meer data, systemen en infrastructuur van overheden en organisaties met elkaar vervlochten. Het wordt daarmee ook steeds complexer om onderscheid te maken in wie wat mag met de gegevens die in die versnipperde systemen zitten. De verschijningsvorm van gegevens, zoals bijvoorbeeld je eindscriptie, of een database met een bepaalde structuur of als een Cloud-toepassing, kan wel in aanmerking komen voor eigenaarschap. Daardoor kunnen deze verschijningsvormen ook beschermd gaan worden. De vraag is dan alleen: hoe?’

Ziekenhuisdatabank

Een mooi voorbeeld van zo’n verschijningsvorm is een ziekenhuisdatabank. Paul: ‘Dat is een representatie van gegevens over patiënten, behandelingen, behandelend artsen, etc. Via de Databankenwet kan deze verschijningsvorm beschermd worden. Naast de genomen technische maatregelen is er immers ook aanzienlijk geïnvesteerd in de verkrijging, de controle en/of de presentatie van de inhoudelijke gegevens. Dat maakt het tot een geheel dat als eigendom beschermd kan worden.’

Creativiteit toevoegen

‘En dan komt er nog een ander aspect om de hoek kijken. Namelijk, zaken waarbij er sprake is van creativiteit, zoals een proefschrift of schilderij.

AapDeze verschijningsvormen komen in aanmerking voor eigenaarschap in de vorm van het auteursrecht. Uiteraard heeft dit ook beperkingen, want het auteursrecht is namelijk voorbehouden aan mensen. Het is dus niet mogelijk dat een aap of een AI-robot eigenaar wordt van iets dat ze zelf maken. Dat prachtige AI-gecreëerde verhaal met de perfecte aap-selfie is dus in principe van niemand en kan dat ook niet worden. Immers, zodra je er je eigen creativiteit op los laat wordt het iets anders (zie ook https://en.wikipedia.org/wiki/Monkey_selfie_copyright_dispute_). 

Het gaat om veiligheid, betrouwbaarheid en ‘in control’ zijn

Nu zou je een zwaar technische en juridisch getinte discussie kunnen optuigen om een specifiek eigenaarschap aan te tonen, maar waar gaat het in deze discussie nu eigenlijk om? Paul: ‘Het gaat om het veilig en vertrouwd omgaan van met name ‘gevoelige gegevens’ en ‘in control’ daarvan blijven als betrokkene. Het begrip ‘gevoelige gegevens’ omvat overigens veel meer dan alleen de persoonsgegevens waar het in veel gesprekken al snel over gaat. Het gaat namelijk ook over voor de organisatie kritische gegevens, zoals beleidsplannen, offertes, implementatieplannen, voorraadbeheer, salarisonderhandelingen, het zijn allemaal cruciale gegevens voor een bedrijf, organisatie of individu. Wat je daarbij zou willen is dat je gedurende de hele levenscyclus van deze gegevens zelf de regie houdt, controle hebt over wie wat met die gegevens doet of juist niet mag doen.’

Gebruik van gegevens beperkt

Het gebruik van de daadwerkelijke inhoud van zo’n databank wordt beperkt door wetgeving. ‘Bijvoorbeeld door de Algemene verordening gegevensbescherming (Avg) in het geval van persoonsgegevens, het Burgerlijk Wetboek in geval van stoffelijke zaken of dus het Auteursrecht in geval van creaties, zoals documenten, manuscripten en dergelijken’, aldus Paul. ‘Gebruik wordt daarmee aan banden gelegd en kan alleen plaatsvinden onder strikte voorwaarden. Wetgeving kan echter verschillen per land, in ieder geval verschilt het behoorlijk per werelddeel: denk maar aan Europa versus Amerika of China. Daar zijn flinke discussies gaande, zoals over het Schrems-ii vonnis met betrekking tot de overdracht van persoonsgegevens over de grote plas.’

Ultieme situatie: ‘ik’ geef expliciet toestemming

Wat je het liefst zou willen is dat je als betrokkene (individu of organisatie) altijd expliciet toestemming moet verlenen aan een andere partij. Nog voordat die gegevens die op jou of jouw bedrijf/organisatie betrekking hebben kan inzien of er wat mee mag doen. Net zoals het principe van een Personal Data Store werkt: jij hebt de regie over de data en niet de leverancier of de internetgigant. In technische termen: ‘jij’ authentiseert een ander om iets met specifieke gegevens, betrekking hebbend op jou (of jouw eigendom), te doen. ‘De vraag is echter of dat overal een werkbare situatie is’, meent Paul. ‘Wet- en regelgeving is zo complex, verandert voortdurend en is soms zelfs tegenstrijdig aan elkaar. Daar kun je individueel nauwelijks mee werken. Wat dan daarna volgens ons het beste alternatief is, is met een deskundige partij in zee gaan, daar goede afspraken mee maken en vooral technologie het werk laten doen.’

Technologie inzetten om ‘in control’ te blijven

Paul: ‘Het is heel goed voor te stellen dat voor veel individuen en leidinggevenden binnen bedrijven en organisaties dit onderwerp als de ver-van-mijn-bed-show klinkt. We hebben er echter allemaal mee te maken. Bedrijfsspionage, fraude, ongeoorloofd gegevens delen, chantage via sociale media, het is aan de orde van de dag. Als individu of als individueel bedrijf wil je (en kun je) je hier eigenlijk helemaal niet mee bezig houden. Je wilt ‘je ding’ doen, zonder erover na te hoeven denken of er wellicht anderen zijn die van jouw inspanningen of van inspanningen van derden voor jou willen profiteren. Het veiligstellen van belangrijke, gevoelige gegevens en informatie is echter cruciaal voor het succes van een onderneming of om te voorkomen dat jouw identiteit gesloten wordt bijvoorbeeld. Wat als dat ene unieke recept wordt gekaapt; wat als jouw winstgevende productieproces om efficiënt en effectief tot dat bijzondere resultaat te komen wordt gekopieerd? Wat als iemand op basis van jouw persoonsgegevens een huis of bedrijfspand huurt en er een wietplantage of een lab voor synthetische drugs begint? Dat wil je natuurlijk niet. Er is echter technologie die je (bedrijf) in staat stelt op elk moment volledig ‘in control’ te blijven over al jouw cruciale data en over wat ermee gebeurt. Technologie die weliswaar de juiste deskundigheid vraagt van de mensen die ermee werken, maar ook die deskundigheid is er.’

Wet- en regelgeving complex, technologie mogelijk nog complexer

Als je al dacht dat wet- en regelgeving rondom het beschermen en beheren van data complex en soms zelfs tegenstrijdig is, technologie is dat misschien nog wel meer. Daar komt bij dat die technologie voor veel gebruikers ervan absoluut geen ‘core business’ is. Paul: ‘Maar er zijn specialisten, zoals Docspro, die al jaren bezig zijn in dit vakgebied en zich hebben verdiept in die technologie. Specialisten die bovendien inzicht hebben in bedrijfsprocessen, beheer van bedrijfsinformatie en hoe specifieke markten werken. Zij kennen daarnaast de spelregels rondom die wetten en weten wat gangbaar is in bepaalde markten. Daardoor zijn we bij Docspro in staat om na een grondige analyse van de bedrijfsprocessen, corporate data en alle aanpalende relevante informatie met passende oplossingen te komen. Oplossingen die jou in staat stellen volledig compliant (= voldoen aan wet- en regelgeving) te opereren met werkbare, veilige, bewezen en betrouwbare technologie. Toepassingen die je in staat stellen grip te houden op wie wat met welke gegevens kan en mag doen. Dynamisch aanpasbaar op veranderende (markt)omstandigheden of wet- en regelgeving. Want dat die omstandigheden en wet- en regelgeving veranderen behoeft geen betoog. Kijk maar naar wat er de laatste vijf jaar is veranderd…’

‘Het resultaat van in zee gaan met een deskundige partner is dat je zowel in de operationele fase als achteraf direct inzicht hebt in en grip hebt op de voor jou en je organisatie cruciale gegevens en processen’, aldus Paul tot besluit. ‘Bel gerust of kom langs. Ik ben graag bereid om bij een kop koffie te bespreken of we met Docspro ook bij jouw organisatie kunnen bereiken dat gevoelige gegevens veilig zijn tegen onbevoegd gebruik.’

Deel dit met vrienden!