Van wie zijn data eigenlijk?

Auteurs Brenda Espinosa Apráez & Prof. Dr. Saskia Lavrijssen
Dit artikel is eerder verschenen in NGinfraMagazine nr 3 2019

Juridische vragen over data bij het infrastructuurbeheer
De beheerders van vitale infrastructuren (zoals wegen, spoorwegen, waterwegen, en elektriciteits- en drinkwaternetwerken) gebruiken steeds meer data gedreven innovaties om hun assets te beheren en te onderhouden. Data verkregen met behulp van sensoren en andere slimme apparaten zijn de input voor nieuwe of verbeterde beheers- en onderhoudsoplossingen, inclusief voorspellend onderhoud.
Infrastructuurbeheerders werken vaak samen met verschillende partijen om data te verzamelen of te produceren, onder andere (onder-)aannemers, leveranciers van IT-diensten, kennisinstellingen, etc. In een dergelijke context, data kunnen waardevol zijn voor meerdere partijen en er wordt vaak gevraagd: van wie zijn data eigenlijk?

Data en eigendom
Juridisch gezien is het een ingewikkelde vraag. In principe is er alleen sprake van “eigendom” van zaken (stoffelijke objecten) want dit recht is traditioneel gebaseerd op de daadwerkelijke fysieke controle van een object: daardoor kan de eigenaar gemakkelijk exclusief gebruik maken van zijn of haar goederen en eventueel ook het eigendom aan anderen overdragen. Maar data zijn geen stoffelijke objecten en ze zijn meestal ‘non-rivalrous’ (meerdere partijen kunnen dezelfde data of datasets houden en tegelijkertijd gebruiken) en ‘non-excludable’ (data kunnen makkelijk worden gedeeld).[1]
Dus, volgens het Nederlandse goederenrecht is het eigendom van data (op zichzelf) geen erkend recht.[2] Er zijn enkele juridische hulpmiddelen die sommige vormen of aspecten van data kunnen beschermen (zie hieronder) maar er is geen wettelijke regel die automatisch een eigendomsrecht op data verleent. Daarom wordt in het kader van regelgeving en juridische wetenschap gesproken van rechten op datacontrole of toegang tot data in plaats van eigendom van data.[3]
In de zakelijke praktijk is er toch sprake van eigendom van data om te verwijzen naar degene die in werkelijkheid de zeggenschap of controle over data heeft, degene die van data kan profiteren en/of degene die aansprakelijk is als er iets misgaat in verband met het gebruik van data. Het is dus belangrijk op te letten dat deze veronderstellingen over eigendom van data uit de praktijk niet altijd overeenkomen met de juridische betekenis en gevolgen van dit begrip.

Hoe kunnen we data juridisch beschermen?
Hier presenteren we enkele alternatieven die juridische bescherming kunnen bieden:

• Bescherming van Databanken: de Databankrichtlijn van de Europese Unie (96/9 / EG), geïmplementeerd in de Nederlandse wetgeving door de Databankenwet[4], heeft twee soorten exclusieve rechten om databanken juridisch te beschermen geïntroduceerd. Deze Richtlijn beschermt data op zichzelf niet, maar wel databanken, i.e., verzamelingen van gegevens die systematisch of methodisch zijn gerangschikt. Dit betekent dat gegevens die niet op systematische of methodische wijze zijn georganiseerd of gestructureerd (ruwe data), niet kunnen worden beschermd.

 De twee rechten die worden geïntroduceerd door de Databankrichtlijn zijn:

• Auteursrecht: de auteur van de databank bezit exclusieve rechten over het gebruik van de oorspronkelijke keuze of rangschikking van data in een databank. Om dit exclusieve recht te verkrijgen, moet de database origineel zijn, en moet de creativiteit van de auteur tonen.
• Recht “Sui Generis”: dit recht beschermt de economische investering voor het maken van de databank, zelfs als deze niet voldoet aan de originaliteitseisen voor het auteursrecht. Het sui generis recht kan cumulatief van toepassing zijn met het auteursrecht. De bescherming bestaat uit een exclusief recht voor de maker van de databank gedurende 15 jaar sinds de voltooiing van de databank. Daardoor kan de maker de extractie en/of hergebruik van (een substantieel deel van) de inhoud van de databank kan voorkomen.
• Bedrijfsgeheimen: een bedrijfsgeheim is informatie (waaronder data) die handelswaarde bezit omdat zij geheim is (niet algemeen bekend of niet gemakkelijk toegankelijk). Deze informatie is beschermd door de Europese Unie-Richtlijn 2016/943, omgezet in de Nederlandse wetgeving met de Wet bescherming bedrijfsgeheimen.[5] De houders van bedrijfsgeheimen kunnen aan de rechter verschillende maatregelen vragen om de overtreding te stoppen, en ze kunnen ook schadevergoeding vorderen van de inbreukmaker.
• Contractuele afspraken: gezien dat de vorige mechanismen enkele hoge eisen stellen of alleen onder specifieke omstandigheden van toepassing zijn, zijn contractuele afspraken misschien de meest flexibele manier om datacontrole en toegang tot data te regelen. Infrastructuurbeheerders kunnen afspreken met andere partijen (aannemers, leveranciers, kennisinstellingen, etc.) wie de data zal bezitten, of data kunnen worden gedeeld met derden, voor welke doelen, enzovoort. Door contractuele afspraken kunnen de betrokkenen specifieke verplichtingen en rechten creëren die in de praktijk bijna als eigendomsrechten fungeren. Deze overeenkomsten kunnen bijdragen aan de zekerheid en het vertrouwen van de betrokkenen, en kunnen eventuele juridische geschillen voorkomen.

Bij het LONGA VIA onderzoeksproject merken we dat infrastructuurbeheerders steeds meer aandacht besteden aan datacontrole en toegang tot data. In het bijzonder zijn de infrastructuurbeheerders begonnen hun contracten (vooral onderhoudscontracten) aan te passen om ervoor te zorgen dat ze toegang krijgen tot de data verzameld of geproduceerd bij de uitvoering van de onderhoudscontracten. Echter, merken we ook dat dit nieuwe vraagstukken met zich brengt: hoe kunnen infrastructuurbeheerders met hun contracten (vooral lange termijn contracten) een goed evenwicht bereiken tussen de zekerheid van specifieke afspraken over data enerzijds en het behouden van genoeg flexibiliteit om nieuwe data ontwikkelingen op te nemen in de contracten anderzijds? Hoe ervoor te zorgen dat de infrastructuurbeheerders aan het einde van het contract volledige en juiste data van hun aannemers krijgen en die data kunnen gebruiken voor een nieuwe aanbesteding? Kunnen de data worden gedeeld als ‘open data’? Deze en soortgelijke vragen probeert het LONGA VIA-project te beantwoorden.

Lees ook: https://www.nginfra.nl/nieuws/van-data-naar-informatie-samenspel-tussen-infrabeheerder-en-aannemer/

Over LONGA VIA
LONGA VIA (acroniem voor Legal & Organizational Network & Governance Aspects of (data-driven) innoVations in Infrastructure mAnagement) is een onderzoeksproject dat de barrières voor implementatie van DDI in de infrastructuursectoren onderzoekt, waarbij hoofdzakelijk wordt gekeken naar de organisatorische en juridische aspecten. Het project betreft twee parallelle promotietrajecten aan Tilburg University, gefinancierd vanuit het programma ‘Responsive Innovations’ van NGinfra en NWO. Het onderzoek naar inter-organisatorische belemmeringen wordt uitgevoerd door Tom Aben, MSc, onder begeleiding van Prof.dr. Henk Akkermans en Dr.ir. Wendy van der Valk (Tilburg School of Economics & Management). Het onderzoek naar juridische belemmeringen wordt uitgevoerd door Brenda Espinosa, LLM, onder begeleiding van Prof.dr. Saskia Lavrijssen (tevens projectleider) en Prof.dr. Martijn Groenleer (Tilburg Law School). De infrastructuurbeheerders die deelnemen aan dit project zijn: Rijkswaterstaat, ProRail, Havenbedrijf Rotterdam, Vitens en Alliander. Neem voor meer informatie over het LONGA VIA project contact op met Prof. Dr. Saskia Lavrijssen (S.A.C.M.Lavrijssen@uvt.nl).

[1] Zie Kitchin, Rob The Data Revolution: Big Data, Open Data, Data Infrastructures & Their Consequences. London, : SAGE Publications Ltd, 2014. doi: 10.4135/9781473909472 (Hoofdstuk 1, p. 10).

[2] Zie TjongTjin Tai, E. (2015). Data in het vermogensrecht. WPNR: Weekblad voor privaatrecht, notariaat en registratie, 149(7085), 993-998; en Wibier, R. (2016). Big data en goederenrecht. WPNR: Weekblad voor privaatrecht, notariaat en registratie, 2016 (7110), 427-436.

[3] Zie bijv. de Algemene Verorderning Gegevensbescherming (AVG), in het bijzonder het gebruik van de definities “betrokkene” (data subject) en “verwerkingsverantwoordelijke” (data controller) in plaats van ‘dataeigenaar’.

[4] https://wetten.overheid.nl/BWBR0010591/2018-10-11

[5] https://wetten.overheid.nl/BWBR0041459/2018-10-23