Nieuwe datawetten zowel een vloek als een zegen voor SAS

Veel databedrijven kennen momenteel een hectische periode. Uiteraard geldt sinds kort de General Data Protection Regulation (GDPR) definitief, maar er is meer. Zo werkt de Europese Unie (EU) aan herziening van de wetgeving rondom copyright, wat resulteert in nieuwe regels voor tekst- en datamining (hierna textdatamining). Voor SAS ligt er straks een framework waar het de komende jaren zowel de positieve als de negatieve gevolgen van zal ondervinden.

Het databedrijf houdt zich met wat andere activiteiten bezig dan datapartijen waar we op Techzine doorgaans over schrijven. In de basis maakt de software van SAS het mogelijk gegevens te analyseren en rapporteren. Met de opkomst van het Internet of Things en de daarbij bijbehorende datagroei zou je zeggen dat er een gouden periode voor SAS aan komt.

Tegelijkertijd komen er wetten en wetsherzieningen die inspelen op het nieuwe landschap. Om de gevolgen hiervan in kaart te brengen gingen we in gesprek met Kalliopi Spyridaki, Chief Privacy Strategist, Europe bij SAS.

Het vage begrip data-eigendom

We zijn eigenlijk wel benieuwd naar hoe SAS zijn zaken geregeld heeft rondom data-eigendom, aangezien dit in de basis een belangrijk onderdeel lijkt voor wat er verder met gegevens kan en mag gebeuren. Soms spreken partijen vooraf af dat de klant de data beheert, niet de partij die dataverwerking mogelijk maakt. Vooral bij cloudproviders zien we dit terug.

In principe speelt de oplossing SAS for Personal Data Protection in op het identificeren, beheren en beschermen van persoonsgegevens om risico’s te verminderen, naleving te verbeteren en boetes te voorkomen.

Spyridaki erkent echter dat het verhaal rondom data-eigendom ingewikkeld is. Voor de GDPR geldt zelfs dat de taal tot verwarring kan leiden. In Frankrijk gaat men bij het begrip ‘persoonlijke data’ bijvoorbeeld uit van, om het even te vertalen, “data die gaan over een individu”. Burgers uit andere landen denken al snel aan gegevens die van hen zijn.

De Chief Privacy Strategist voegt daaraan toe dat de GDPR niets zegt over data-eigendom. Een intellectueel eigendomsprobleem, zo stelt ze. Naar onze smaak versterkt dit de oproep tot het per wet vaststellen van dergelijke rechten.

Verstoring van de totale markt

Spyridaki vergelijkt zo’n idee al snel met bestaande intellectuele eigendom-beschermingsrechten. Volgens haar zou het overeenkomen met de manier waarop objecten en ideeën beschermd worden, namelijk met copyright en patenten. Er zou ook verandering aan kunnen komen, aangezien de EU zoiets op de radar heeft. Binnen Europa wordt hier al enige tijd over gesproken. Onlangs wees het Europees Parlement deze herziening nog af, waardoor de herziening terug naar de tekentafel gaat. Daarmee is het nog alles behalve gedaan.

We merken echter aan Spyridaki dat ze dit idee niet echt prettig vindt. Als zoiets vanuit EU geregeld wordt, zal er een radicale verandering in alle Europese systemen plaatsvinden. Met als gevolg het verstoren van de totale datamarkt. Dan gaat het nog wat verder dan de GDPR, waardoor veel bedrijven al met hun handen in het haar zaten.

Bovendien kunnen we ons goed indenken allerlei clichés zoals “data is het nieuwe olie” dan ineens een stuk lastiger in stand te houden zijn. Copyright en patenten zijn vaak op een goede manier protectionistisch, maar vergelijkbare bescherming op data toepassen kan wel eens technologieën als kunstmatige intelligentie (AI) belemmeren.

Op zoek naar de middenweg

Het idee rondom regulering voor data-eigendom valt bij Spyridaki dus duidelijk niet goed. Waar ze wel veel meer in ziet is het zoeken naar een middenweg. Het gaat dan om bestaande ideeën die het mogelijk maken om data eenvoudiger beschikbaar te maken.

Ten eerste betreft het data die van publiek belang zijn. In sommige gevallen moet de publieke sector dergelijke informatie al leveren. Ter aanvulling geldt dit ook voor bedrijven die data van publiek belang bezitten. Zij zouden indien gewenst op een bepaalde manier toegang moeten verlenen. Hier staat dan geen compensatie tegenover.

Anderzijds staat het juridische aspect van de nieuwe EU Copyright-richtlijnen hoog op het lijstje van Spyridaki. De voorgestelde regels kunnen textdatamining namelijk bemoeilijken, legt ze uit. Bij textdatamining halen technologieën waardevolle informatie uit grote hoeveelheden tekstmateriaal. Hiervoor worden gedeeltes van de tekst gebruikt, maar dat is niet in strijd met copyright. Voor de ontwikkeling van bijvoorbeeld Siri is dit van belang.

De herziening lijkt ervoor te gaan zorgen dat data waar copyright op rust toch gebruikt kan worden door bepaalde instellingen. Dan kun je bijvoorbeeld denken aan onderzoeksorganisaties. Deze versoepeling valt goed bij Spyridaki, het is namelijk wenselijk voor iedereen. Ook voor commerciële organisaties.

Grote vrees door GDPR

Daarmee tonen de aankomende richtlijnen aan dat er meerdere ingewikkelde kwesties spelen rondom gegevens. Het grote publiek praat weliswaar veelvuldig over de GDPR, maar deze regulering kan wel eens een voorproef zijn op wat komen gaat. Aanvankelijk begon de GDPR eveneens als iets waar de belanghebbenden kopzorgen over hadden.

Nu zijn we op het punt beland dat zo goed als iedereen weet dat het om een vergaande regulering gaat. Het maakt daarbij niet uit of de werknemer uit Azië, Europa of de Verenigde Staten komt. Velen weten dat het wereldwijd gaat om de meest impactvolle wet die de datamarkt treft.

Dit besef komt volgens Spyridaki vooral door de boetes die de GDPR kan opleggen. De maximale boete komt uit op 20 miljoen euro of vier procent van de jaarlijkse omzet. Weliswaar gaat het hier om een risico, maar Spyridaki ziet eerder meer vrees ontstaan.

Die constatering wordt eens te meer versterkt door de activiteiten van sommige globale bedrijven tijdens de GDPR-deadline. Zo stopten meerdere games en diensten gedeeltelijk of helemaal, uit angst voor een boete

De Chief Privacy Strategist van SAS denkt dat die vrees in de loop der jaren waarschijnlijk verandert. Als over tien jaar blijkt dat er niet zo heel veel boetes uitgedeeld zijn, beseft men dat de GDPR niet zo vreselijk is dan verwacht. Bedrijven zijn dan bereid om meer risico te nemen, aangezien er niet meer zoveel angst is. En dan zien we steeds meer dat de GDPR goed doet voor de eindgebruikers.