Solid Community Workshop #8

Date/Time
Date(s) - June 24, 2021
00:00

Categories


Agenda

  • Intro en recap
  • Keynote: Data Governance Act,uiteenzettingdoor Erik Valgaeren (Stibbe)
  • Break-out sessies: 2*2 break-outs
    • Topic 1: Userexperience rond consentflows (verdiepingvorige sessie)
    • Topic 2: EU-wetgevingen initiatieven (format ronde tafel)

Intro en recap

Het Solid ecosysteem met wie? We doen dit met vertegenwoordigers uit de industrie, de overheid, verschillende beleidsdomeinen en onderzoeksinstellingen.

Keynote: data governance act

Zie slides voor meer informatie.

Algemeen wetgevend kader in de EU, 4 pijlers van de Data Governance Act:

  1. Hergebruik van data
  2. Delen van data
  3. Data altruïsme
  4. Toezicht

Vragen uit chat:

  • Zijn er specifieke regels voor gegevensdeling over gezondheidsgegevens?
    • Het huidige voorstel van de data governance act bevat geen specifieke regels inzake gezondheidsgegevens. Wij merken wel op dat de GDPR een specifiek regime voorziet voor het verwerken van gezondheidsgegevens dat strenger is dan het regime voorandere, niet-gevoelige persoonsgegevens.
  • Data altruïsme = bijvoorbeeld medical data voor onderzoek?
    • Het huidige voorstel bevat nog geen regeling met betrekking tot de werking van data altruisme organisaties of het type gegevens dat zij zouden kunnen verwerken. Dit wordt voorlopig gezien als een lacune in het huidige voorstel en zal mogelijks nog worden verduidelijkt.
  • Data altruïsme gelinkt aan algemeen belang, ok, maar is dat ook telkens zonder winstoogmerk van diegen die de data ontvangt?
    • De definitie van data altruisme in het huidige voorstel stelt dat data moet worden gedeeld voor doeleinden van algemeen belang. Hierbij kan men onder meer denken aan onderwijsinstellingen of research instellingen. Dit valt o.i. niet te rijmen met een ontvanger die opereert met individueel winstoogmerk.
  • Wat is het verschil tussen een data intermediary en data cooperative?
    • Een coöperatieve is een specifieke (juridische) organisatievorm, waarbij alle leden medebestuurders zijn (en de algemene vergadering het centrale orgaan is). Een data –intermediary kan verschillende organisatievormen hebben.
    • Een data coöperatieve is een specifieke vorm van een data intermediary, waarbij de entiteit niet alleen optreedt als doorgeefluik van gegevens van data houders naar data gebruikers, maar daarnaast door individuen of KMO’s gemachtigd is om de voorwaarden en omstandigheden van de doorgiften van gegevens te onderhandelen.
  • Do you have more insight on this EU consent form ??? how will it influence the current one
    • Wij zijn ons niet bewust van een algemeen EU toestemmingsformulier dat op vandaag bestaat. Wat betreft het voorstel vooreen toestemmingsformulier stelt het huidige voorstel enkel dat het modulair moet zijn zodat betrokken voor verschillende sectoren en verschillende doeleinden hun toestemming kunnen geven.
  • Hoe vermijden we dat toestemming zodanig veel gaat gevraagd worden : bijvoorbeeld bij elk contact zodat mensen de eerste keer nog wel bewust kiezen , maar door de herhaalde vraag op het einde gewoon op Ok klikken om er vanaf te zijn cfr cookies
    • Interessante vraag: het is algemeen vastgesteld dat privacy-moeheid nefast is voor het bewaken van privacy rechten van individuen. De hierboven data coöperatieven kunnen hier bijvoorbeeld een rol in spelen. Daarnaast lijken “default” opties ook een manier om privacy-moeheid te voorkomen, zoals bijvoorbeeld de mogelijkheid om in een browser aan te duiden datje nooit cookies aanvaardt.
  • Om zeker te zijn dat data lokaal blijft, zijn volgens jullie lokale datacenters waar fysisch de data op lokale storagesystemen resideert een aangewezen piste?
    • Het opslaan van de data op een bepaalde plaats is slechts één element bij het beoordelen of data effectief op een bepaalde locatie blijft. Andere elementen, zoals de toegang tot de gegevens door derde partijen vanuit andere plaatsen, dienen ook in rekening gebracht te worden. Regelgeving die zou verplichten om data lokaal op te slaan is echter uit den boze, dat gaat in tegen de EU marktwerking.
  • Gelet op de GDPR context is het zeker aangewezen om data lokaal te houden, maar dat hoeft niet per se België te zijn, binnen de EU volstaat!
    • Wij zijn het voor het grootste deel eens met deze stelling, maar we benadrukken nogmaals dat toegang door derde partijen vanuit landen buiten de EU mogelijks problematisch is in het licht van de GDPR. We raden aan om te bekijken of beroep wordt gedaan op externe data verwerkers en of deze zijn gelokaliseerd buiten de EU. Ook herhalen we dat er op geen enkele manier een strikte wettelijke verplichting bestaat om gegevens binnen de EU te bewaren.

Break-out sessies

De deelnemers aan de werkgroep werden in vier groepen verdeeld, elke groep volgde zowel de break-out over topic 1 en topic 2. Tijdens de break-outs werd er samengewerkt op de online collaboratietool Miro, volg deze link om het bord te bekijken.

De conclusies/bevindingen/resultaten worden hieronder samengevat.

Topic 1: User experience rond consent flows (verdieping vorige sessie)

Evaluatie van deze use case

  • Heel interessante en nuttige app gezien verhuizen zo’n nachtmerrie is.

De Solid approach voor consent

  • Deze user flow sluit heel nauw aan bij hoe de huidige user experience bij het geven van consent is. Dit vergroot het gebruiksgemak. Echter, hoe kunnen we creatiever omgaan met hoe we consent vormgeven in het Solid ecosysteem?
  • Er is een subtiele balans tussen over alles strikt consent te geven aan de ene kant en gebruikersgemak aan de andere kant.
  • Hoeveel van de stappen in Solid brengen we expliciet naar voren of houden we under the hood?

Wat is de rol van de verschillende spelers rond consent?

  • Het is positief dat de verschillende partners elk hun eigen rol spelen vanuit hun vertrouwde plaats in het ecosysteem. Daaronder vallen de overheid als vertrouwde provider van de adresgegevens en de ID-provider ltsme.
  • Is het een optie om volledige lijst te openen van bedrijven betrokken in het ecosysteem?
    • Dit is in principe mogelijk. Het gaat hier om een evenwichtsoefening tussen volledigheid en gebruiksvriendelijkheid.
  • Nood aan overzicht in de zin van een consent browser.
    • Deze is nu voorzien in de ltsme interface en kan ook geïmplementeerd worden in de kluisversie van Mijn Burgerprofiel.
  • Bij wie ligt het consent management?
    • Dit is een rol die door verschillende spelers in het Solid ecosysteem opgenomen kan worden.
  • Wat is precies de definitie van een eenmalig consent?
    • Het gaat hier om het éénmalig delen van info voor een specifieke actie. Dit is logisch in het geval van de verhuiscase. Echter, het is bij adresdata ook mogelijk om deze op meer permanente basis te delen (bv. voorfacturatie- en administratiedoeleinden).

Aanbevelingen voor de toekomst

  • Panel van gebruikers inzetten voorde applicatie live gaat. Uiteindelijk zijn deze consent flows nog vrij ingewikkeld.
  • Er is een grote vraag naar de standaardisatie van de consentflow over verschillende applicaties heen.

Ter info: in Vlaanderen zal het Trapeze initiatief gelinkt aan OSLO zich focussen op de linked data infrastructuur en governance rond consent in het Solid ecosysteem. Aansluiten kan via https://overheid.vlaanderen.be/opleiding/oslo-trapeze

Topic 2: EU-wetgeving en initiatieven (format ronde tafel)

In het miro-bord werden vier vraagstukken uitgewerkt om het debat aan te zwengelen en leidden tot nieuwe vraagstukken.

Vraagstuk 1: Hergebruik van govdata richting derden (private)

Hoe kan Solid als concept de juridische drempels ondervangen bij het delen van data tussen overheden en private partners?

Deelvraag: Moet kluis bij de burgerstaan of bij de overheid?

De voornaamste juridische drempels ontstaan niet uit de Data Governance Act als het gaat over hergebruik van data maar ontstaan eerder nogsteeds in de contextvan de GDPR. Transparantie naar betrokkenen toe is hierbij nodig.

De gegevens die door de overheid verwerkt worden (en waarvoor een wettelijke grondslag bestaat), mogen die voor andere doeleinden gebruikt worden?

Een vraag die naar boven komt is of het niet nuttig kan zijn dat de burger toestemming geeft aan de overheid om zijn/haar gegevens te pseudonimeren of te aggregeren vooraleer dat zijn gegevens worden doorgegeven? Een bepaald commercieel bedrijf zou bv. Interesse kunnen hebben in de data zonder dat er effectief al ruwe persoonsgegevens in worden verwerkt. Aanvullend: enkele deelnemers vinden dat er een onderscheid moet gemaakt worden tussen geaggregeerde gegevens en niet-geaggregeerde gegevens.

Als een bedrijf van jou gegevens vraagt dan moeten ze zien dat ze enkels gegevens vragen die ze ook juridisch van jou mogen krijgen bv. seksuele voorkeur mag werkgever niet vragen van zijn werknemer.

Een ander topic is de vraag rond eigenaarschap: wanneer is data van de burger ? Data zouden geen eigenaar kennen? Juridisch is het luik rond eigendomsrechten op dit moment nog niet geregeld.

Er wordt geopperd dat er vermeden moet worden dat er 101 verschillende technologieën zijn die overheidsdata delen. Kan een oplossing liggen in een regulator?

Ook speelt komt de rol van trust naar boven. Er zouden twee profielen opgevat kunnen worden: trust in de overheid of geen trust in de overheid.

Daarnaast wordt ook de nood aan een kerntakendebat en ovre rolverdelingen accountability in een ecosysteem benoemd. Er zou nood zijn aan een publieke-private samenwerkingsvorm om gegevens te delen en het incentiveren van burgers. Bijvoorbeeld op basis van de functionaliteiten die de markt aanbiedt.

En wat met omstandigheden waarbij de overheid individuele wensen van burgers kan overrulen (bv het al dan niet verplicht maken van een corona-app of vaccinatiestatus) om haar eigen doelstelling te halen? Een onderscheid moet gemaakt worden tussen het scenario waar burger consent geeft aan de overheid met betrekking tot persoonlijke data om (nieuwe) dienstverlening van de overheid op te zetten versus het scenario waar de burger data ‘over zichzelf deelt met eender wie.

Met betrekking tot interbestuurlijke gegevensuitwisseling(Gov2Gov): hoe regel je de granulariteit van consenten datastromen? Moet hiervoor een 3rd party ingeschakeld worden -> is dat solid of gaat het puur over een gevalideerde consentmodule (bv door te werken via labeling)? Hierbij werd ook geopinieerd om te vertrekken vanuit dit laatste vraagstuk: hoe zitten rollen en verantwoordelijkheid in elkaar en daarop technologiekeuzes te maken dan omgekeerd.

Vraagstuk 2: Data intermediaries

Activiteiten moeten gestructureerd zijn en afzonderlijk/neutraliteit van deze partij moet worden verwacht (art.11)

Er heerst eensgezindheid dat intermediaries compleet onafhankelijk en neutraal moeten zijn. Sommigen gaven ook aan dat ze ook gestructureerd moeten zijn.

De vraag kwam naar boven wat intermediaries zijn, en of een overheid kan gezien worden als een intermediary. Deelnemers vinden dat een overheid an sich niet neutraal is en dus daarom niet als intermediary kan gezien worden. Daarbij zagen we ook een aantal uitdagingen voor het datanutsbedrijf,die verschillende activiteiten volgens de deelnemers zal op zich nemen,en waar het nog niet duidelijk is welke juridische vorm dit bedrijf zal krijgen en hoe dit past in de DGA.

In de wetgeving wordt er onderscheid gemaakt tussen een intermediary (=louter doorgeven van data) en een verwerker (=analysesen bewerkingen). Maar de wetgeving is nog volop in ontwikkelingen er zijn pas recent definities voor bv. Data intermediary. De wetgeving zegt dat een data intermediary gegevens van een onbepaald aantal houders mag doorgeven aan een onbepaald aantal gebruikers. De intermediary wordt eerder gezien als een soort van tussenpersoon die zich op een zeer grote markt bevindt. Openstaande vragen: bv. bij een handvol gebruikers, kunnen we dan wel nog spreken van een data intermediary? En zal er een globaal regulerend kader zijn of zal elke intermediary eigen regels hanteren? Of wordt er bv gewerkt via kwaliteitsnormen? Zou de burger bereid zijn om voor dergelijke diensten te betalen of zou dit gratis moeten zijn? bv intermediaire die bv  aankoopgedrag bijhoudt van individuen – andere partij die inzichten dan verkoopt aan derde partijen als deel van het business model

Vraagstuk 3: interoperabiliteit

Wat met interoperabiliteit (IOP) en solid (EU Data Innovation Board) ? Cfr. Gestandaardiseerde bijsluiters bij de data

De deelnemers vonden deze vraagrond interoperabiliteit zeer breed geformuleerd, daarom besloten we om de vraag te structureren volgens de vier interoperabiliteitsniveaus zoals gedefinieerd door het European Interoperability Framework (=EIF).

Technische interoperabiliteit

Momenteel zijn er geen gestandaardiseerde APIs, misschien is het hier een idee dat er een gestandaardiseerde (overheids) API komt waarop je dan kunt gaan aansluiten. Dit zou ook makkelijk zijn voor andere entiteiten om hierop te gaan aansluiten.

Semantische interoperabiliteit

Het is belangrijk dat Solid is gebaseerd op RDF omdat dit nuttig is omdat semantische interoperabiliteit kan verder bouwen op die knowledge graph met achterliggende ontologieën. Daarnaast moet ook duidelijkheid en alignering komen over interoperabiliteit,granulariteiten aggregaties,als het aankomt op vlak van historiek,tijdigheid, evoluties doorheen de tijd,…

Organisationele en juridische interoperabiliteit

/

Algemeen

Europa en andere overheden kunnen helpen bij de verschillende niveaus van interoperabiliteit, bv. wanneer het gaat over datastandaarden, ontologieën, vocabularia, webstandaarden, knowledge graphs, applicatieprofielen en shapes.

VO moet nog semantische iop verder realiseren. In welke mate werken de data spaces (health,gaia x,…):nood aan een duidelijke set van standaarden, niet te breed. Vlaamse initiatieven koppelen aan EU-initiatieven. Kan er een oplossing gevonden worden door het ontwikkelen van ene Vlaamse governance?

Vraagstuk 4: Solid en altruïsme

  1. Kan Solid een antwoord bieden op data-altruïsme?
  2. Waar begint en eindigt de ruwe data vs geanonimiseerde en geagregeerde data?

Deze vraag werd in beide break-outs slechts beperkt behandeld. Bij de vraag of Solid een antwoord kan bieden op altruïsme kwam de opmerking dat de vraag in de andere richting gesteld moet worden: moet vertrekken vanuit wat er gewenst is en dan pas een technologische keuze maken – bv data commons van mydata is niet op solid gebaseerd.

Andere vraagstukken

  • Andere vraagstukken situeren zich rond consent management, hiervoor verwijzen we naar topic1.
  • Ook kwam de vraag of Europees wordt gekeken wat Solid kan betekenen,inde Europese wetgeving bijvoorbeeld. Hebben we zicht op wat er bij GAIA-Xaan het gebeuren is?
  • Hoe kan je bepaalde rechten delegeren? Kan je informed consent delegeren (aan een data intermediary)?
  • Wat is overheidsdata?

Next steps

Warme oproep aan iedereen om mee te doen aan deze werksessies. Als er interessante zaken waarvan jullie denken dat deze ook nuttig zijn voor deze groep, laat zeker iets weten.

De volgende werkgroep zal doorgaan op donderdag 23 september in de voormiddag. Vragen, suggesties of ideeën zijn welkom via digitaal.vlaanderen@vlaanderen.be