Data Governance: wie is eigenlijk de eigenaar van de data?

    Rik Boelhouwer
    30 april 2024

    Organisaties verzamelen en gebruiken enorme hoeveelheden data om hun processen te optimaliseren, data te centraliseren, betere beslissingen te nemen en hun klanten een gepersonaliseerde ervaring te bieden. Echter, met toenemende dataverzameling komt ook de vraag naar data-eigenaarschap. Wie bezit de data en wie is verantwoordelijk voor het beheer en de bescherming ervan? En wat zijn de verantwoordelijkheden van een ICT-leverancier op dit gebied? In dit artikel kom je hier meer over te weten.

    Wie is de eigenaar van data?

    De eigenaar van data is de persoon of organisatie die het recht heeft om de data te gebruiken, te delen en te vernietigen. In de meeste gevallen is de eigenaar van data de organisatie die de data heeft verzameld. Dit kan bijvoorbeeld een bedrijf zijn dat klantgegevens verzamelt, een ziekenhuis dat patiëntgegevens verzamelt of een overheidsinstantie die gegevens over haar burgers verzamelt.

    De complexiteit van data-eigenaarschap

    De kwestie van data-eigenaarschap, ook wel Data Governance genoemd, wordt complexer wanneer data is ontwikkeld door een werknemer in dienst van de organisatie. Dit illustreren we met een casus:

    Stel: Jan, een softwareontwikkelaar, werkt voor een bedrijf dat medische software ontwikkelt. In zijn vrije tijd ontwikkelt Jan een nieuwe module voor de software die de efficiëntie van het diagnoseproces aanzienlijk verbetert. De module wordt een groot succes en het bedrijf verdient er veel geld mee.

    Het is van belang dat werkgevers en werknemers duidelijke afspraken maken over de intellectuele eigendom voordat ze aan een project beginnen. Dit helpt geschillen in de toekomst te voorkomen.

    Andere situaties met onduidelijke data-eigenaarschap

    Er zijn ook situaties waarin de eigenaar van data niet duidelijk is. Dit is bijvoorbeeld het geval bij data die door meerdere organisaties is verzameld of die is afgeleid van andere data. In deze gevallen is het belangrijk om te bepalen wie op basis van wet- en regelgeving het recht heeft om de data te gebruiken.

    De rol van een ICT-leverancier in Data Goverance

    Een ICT-leverancier draagt bij aan data-eigenaarschap door de data van de klant op een veilige manier op te slaan en te beheren. Dit houdt in dat de leverancier beschikt over adequate technische en organisatorische maatregelen om de data van de klant te beschermen tegen ongeautoriseerde toegang, gebruik, openbaarmaking, wijziging of vernietiging. Daarnaast helpt de ICT-leverancier de klant om te voldoen aan de geldende wet- en regelgeving met betrekking tot data-eigenaarschap, door hen op de hoogte te houden van relevante regelgeving en te adviseren over naleving. Bovendien voorziet de ICT-leverancier de klant van tools en technologieën om hun data op een verantwoorde manier te beheren, zoals data discovery-tools, datamanagementplatforms en data-analysetools.

    Het is belangrijk dat een ICT-leverancier transparant is over de manier waarop hij met de data van zijn klanten omgaat. De ICT-leverancier moet de klant informeren over de beveiligingsmaatregelen die zijn genomen, de data die wordt verzameld en hoe deze data wordt gebruikt. De klant moet ook het recht hebben om zijn data in te zien, te corrigeren of te verwijderen.

    Waarom een ICT-partner nooit eigenaar is van de data

    Een ICT-partner, hoe betrokken die ook is bij de dataverwerking of -opslag, kan nooit de eigenaar van de data worden. Dit principe is gebaseerd op een aantal belangrijke grondslagen. Ten eerste behoort de data inherent toe aan de partij die deze heeft verzameld of gecreëerd, meestal de organisatie zelf die de data genereert of verzamelt. De ICT-partner fungeert slechts als dienstverlener, die de data bewaart, beheert en bewerkt volgens de instructies van de rechtmatige eigenaar. Daarnaast hebben ICT-partners de verantwoordelijkheid om de data van hun klanten vertrouwelijk te behandelen en deze enkel te gebruiken voor de doeleinden die door de klant zijn vastgesteld. Dit verbiedt hen om de data voor eigen gewin te gebruiken of aan derden te verkopen. Bovendien stelt privacywetgeving, zoals de AVG in Europa, strenge regels voor het gebruik en de verwerking van persoonsgegevens, waarbij de data-eigenaar wordt erkend als degene die zeggenschap heeft over de data. De ICT-partner heeft enkel de bevoegdheid om te handelen in overeenstemming met de instructies van de eigenaar. Ten slotte worden de rechten en plichten met betrekking tot de data expliciet gedefinieerd in contractuele afspraken tussen de organisatie en haar ICT-partner, waarbij het eigenaarschap altijd bij de organisatie ligt.

    Hoe kan een ICT-leverancier zijn klanten helpen om hun data op een verantwoorde manier te beheren?

    Een ICT-leverancier kan zijn klanten op verschillende manieren helpen om hun data op een verantwoorde manier te beheren door een goed data governance-beleid te implementeren. Ten eerste kan de leverancier trainingen en workshops aanbieden over data-eigenaarschap, waarbij de klant wordt geïnformeerd over de beginselen van data-eigenaarschap, de geldende wet- en regelgeving en best practices voor het beheer van data. Daarnaast kan de ICT-leverancier verschillende tools en technologieën aanbieden om data te beveiligen, zoals firewalls, encryptie en access control-systemen. Ook kan de leverancier advies geven over hoe data op een verantwoorde manier te gebruiken, zodat de klant zijn doelstellingen kan bereiken met naleving van de geldende wet- en regelgeving. Bovendien kan de ICT-leverancier, zoals in het geval van de casus over de softwareontwikkelaar Jan, adviseren over hoe om te gaan met data die is gegenereerd door een uitgefaseerde werknemer. Door samen te werken met hun ICT-leverancier kunnen organisaties ervoor zorgen dat hun data op een veilige en verantwoorde manier wordt beheerd.

    Schrijf in voor onze nieuwsbrief