Na 35 jaar werken aan digitalisering in de publieke sector geniet ik tijdelijk van een sabbatical. Het grootste deel van mijn loopbaan (tot nu) werkte ik binnen de overheid aan digitalisering. Een volgens sommigen slechte combinatie. Van verschillende kanten komt daarom ook de roep om een Minister voor digitalisering. Met reden, wat mij betreft. Maar er zijn veel meer verbetermogelijkheden. Dit is de tiende blog in een reeks die daarover gaat. Dit keer blijven we niet binnen Nederland maar gaat het over de rol van de EU. Over hoe door Europese regels de privacy van Nederlandse leerlingen beter beschermd wordt en big tech zijn diensten aanpast. Over standaardisatie op een schaal die werkt en over samenwerken om tot die schaal te komen. Over de bijna 30.000 bedrijven die in Estland vanuit het buitenland digitaal zijn opgezet en over de (grote) rol die Nederland zelf speelt.

Beschermende regels

"Hardware komt uit China, software uit de VS en regels komen uit de EU", overdreef ik eerder enigszins in de zevende blog uit deze reeks. Toch zit in de nadruk op regulering ook een grond van waarheid. Zoals regels worden gesteld aan medicijnen en auto's (denk aan marktmacht en veiligheid) worden die ook gesteld aan digitale diensten en producten.

De AVG of Algemene Verordening Gegevensbescherming is daar een goed voorbeeld van. Het is een verordening en daarmee is de AVG rechtstreeks van toepassing in elke lidstaat. De AVG verving in 2018 de richtlijn 95/46/EG en daarmee ook een groot deel van de toenmalige wetgeving in individuele lidstaten over persoonsgegevensbescherming. Want een richtlijn moet wel in elke lidstaat nog in een wet worden vervat. Tot 2018 was dat in Nederland de Wet bescherming persoonsgegevens.

De AVG is dus in de hele EU hetzelfde. Voor bedrijven is dat fijn, omdat ze weten waar ze op kunnen rekenen. Maar ook voor de maatschappij heeft het grote voordelen. Dat zie je bijvoorbeeld in de tegenmacht die daardoor tegen Big Tech is ontstaan. Nederland is voorloper in het zorgen dat technologie voldoet aan de privacyregels die in de AVG zijn opgenomen. How the Netherlands is taming Big-Tech kopte de New York Times bijvoorbeeld.

Zo adviseerde de Autoriteit Persoonsgegevens in 2021 het onderwijs om de stoppen met Google Worskspace. Dit begon in 2020 met een DPIA (Data Protection Impact Assessment, Gegevensbeschermingseffectbeoordeling) op Google Workspace for Education op verzoek van twee universiteiten. Een eerste onderhandelingsronde met Google leidde slechts tot het wegnemen van 2 van de 10 geïdentificeerde hoge risico’s. Vanwege de resterende hoge risico’s werd advies gevraagd aan de AP. Google paste na het advies van de AP alsnog zijn diensten aan. In 2023 kon worden besloten dat Google Workspace for Education kon blijven worden gebruikt.

Een onderhandeling als deze werkt alleen omdat de AVG voor de hele EU geldt. Want als de diensten niet aan de AVG voldoen, dan voldoen ze in de hele EU niet aan de wet. Alleen daardoor konden we zorgen dat persoonsgegevens van leerlingen veiliger zijn. Dat was ons alleen nooit gelukt.

Google is niet de enige die zijn diensten aanpaste op basis van Nederlandse onderzoeken en onderhandelingen. In 2022 loste Zoom alle gevonden hoge privacyrisico's op, in 2023 slaagde Amazon Web Services (AWS) erin om alle privacyrisico’s van drie belangrijke clouddiensten voor de Nederlandse rijksoverheid weg te nemen en de gesprekken met Meta over Facebook Pages zijn nog gaande.

De AVG is maar een van de voorbeelden. De Digital Markets Act (of Verordening Digitale Markten), eist bijvoorbeeld dat het uitwisselen van berichten tussen apps als Whatsapp en Signal mogelijk wordt. Net zoals je nu SMS berichten tussen verschillende providers kunt verzenden. Dat zorgt voor ruimte voor alternatieven.

Een mooi overzicht van de vele wetten en hun impact is gemaakt door de VNG. De wetten regelen bijvoorbeeld dat technologie gedurende de hele levensduur goed beveiligd moet zijn, en dat bepaalde vormen van AI niet zijn toegestaan of aan strenge eisen moeten voldoen.

Voorbeeld: eIDAS

Een ander voorbeeld is de eIDAS-verordening, die er op is gericht om inloggen bij diensten in andere landen dan je eigen land mogelijk te maken. Een voorbeeld dat door veel mensen geprezen wordt is de de identiteitskaart van Estland. Meer dan 28.500 bedrijven in Estland zijn al gestart door mensen van buiten Estland door gebruik te maken van de mogelijkheden die "E-Residency" biedt.

De eIDAS verordening maakt het mogelijk om met een inlogmiddel uit het ene land ook in het andere land in te loggen. Om een bedrijf te starten, of belastingaangifte te doen bijvoorbeeld.

Dat kan in Nederland ook al een tijdje. Bijvoorbeeld als je inkomensaangifte wilt doen. Want aan een verordening voldoen, dat is verplicht. En, als je het als land een beetje slim doet (denk aan Estland), leidt het tot nieuwe bedrijven en werkgelegenheid.

In Nederland ontstond eerder debat over de opvolger van de huidige eIDAS verordening (eIDAS 2). Naast de huidige inlogmiddelen (zoals DigiD in Nederland) worden daarin ook eisen gesteld aan bijvoorbeeld apps op telefoons om mee in te loggen. Zoals veel mensen ook al een digitale bankpas in hun telefoon hebben en daarmee betalen. Om te zorgen dat inloggen aan onze publieke waarden blijft voldoen (en we niet alleen met apps van grote bedrijven inloggen in de toekomst) werkt de EU aan eisen voor zulke digitale portemonnees. Deze week is met de nieuwe verordening ingestemd.

Vorig jaar schreef ik daar een blog over naar aanleiding van artikelen in de pers over deze plannen. Terecht dat over dit soort onderwerpen debat wordt gevoerd, want het gaat om onze publieke waarden. In een brief eind vorig jaar beschreef het kabinet welke publieke waarden waren ingebracht in de gesprekken. Zoals vrijwilligheid van gebruik, open source en een verhandelverbod van gebruiksgegevens. Het is een goed voorbeeld van de bescherming van publieke waarden in Europees verband.

Samen optrekken

Waar individuele landen weinig kunnen inbrengen in mondiaal verband, geldt dat voor een groep samenwerkende landen namelijk veel minder. Een mooi voorbeeld daarvan zijn supercomputers. EuroHPC is "a joint initiative between the EU, European countries and private partners to develop a World Class Supercomputing Ecosystem in Europe". Eén van de supercomputers die daaruit is ontstaan is LUMI in Finland. De Finse overheid, de wetenschap en het bedrijfsleven zijn er bij betrokken. De computer wordt bijvoorbeeld gebruikt voor open "Large Language Models" die Europese talen spreken. Het is een van de snelste supercomputers ter wereld en ook bedoeld voor gebruik door bedrijven.

Eigen supercomputers is een voorbeeld van ook zelf nog over digitale faciliteiten beschikken. De EU heeft de ambitie om digitaal autonoom te blijven in een open en onderling verbonden wereld. Dat kan alleen als de lidstaten samen optrekken.

Een ander voorbeeld waarin samen wordt opgetrokken is standaardisatie. Als klein land standaarden vaststellen, dat is best lastig. Zeker omdat leveranciers vaak wereldwijd werken. Standaarden zorgen er ook voor dat Nederlandse bedrijven een grotere markt hebben en dat innovatie uit het buitenland ook in Nederland kan worden toegepast. Een bekend voorbeeld daarvan is de oplaadkabel voor mobiele apparaten. Vanaf dit jaar moeten die apparaten zijn voorzien van een USB-C poort.

Ook op andere terreinen is sprake van standaardisatie vanuit de EU. Ik schreef zelf al vaak over de Wet elektronische gegevensuitwisseling in de zorg (Wegiz). Deze wet is gericht op het bereiken van volledige interoperabiliteit bij het elektronische uitwisselen van gegevens tussen zorgverleners en maakt het mogelijk om voor bij AMvB aangewezen gegevensuitwisselingen te bepalen hoe gegevens uitgewisseld moeten worden. Door het verplicht stellen van het elektronisch uitwisselen van gegevens, waarbij gestreefd wordt naar normalisatie van eisen aan taal en techniek, kan uitwisseling onafhankelijk van een specifieke elektronische infrastructuur plaatsvinden.

Dat lijkt heel erg op de werking van de European Health Data Space (EHDS). Dat is een voorstel van de Europese Commissie om snel en makkelijk medische gegevens te kunnen uitwisselen en burgers toegang te geven tot hun gezondheidsdata. De Nederlandse wetgeving loopt daarop vooruit en sluit er op aan. De eerste use-cases van de EHDS komen grotendeels overeen met de geprioriteerde gegevensuitwisselingen onder de Wegiz. Dat komt omdat Nederland bewust zorgt voor betrokkenheid bij de Europese ontwikkelingen.

Zo was ik zelf enkele jaren co-chair van het eHealth Network namens de lidstaten. Het eHNis het belangrijkste beslisorgaan op Europees niveau wat betreft digitale uitwisseling van zorggegevens. Binnen het eHN werken alle ministeries van volksgezondheid in de Europese Unie (en Noorwegen) samen.

Dat actief meedoen werkt werd ook in 2022 beschreven aan de Tweede Kamer:

Tegelijkertijd worden reeds activiteiten ondernomen op Europees niveau om de vereisten van de gegevensuitwisselingen vorm te geven. Nederland is op dit moment al langere tijd nauw betrokken bij de ontwikkeling van vereisten en zit op een aantal strategische posities om invloed uit te oefenen op de bepaling van deze vereisten. Zo is Nederland co-voorzitter van het eHealth Netwerk en is Nictiz betrokken in het Europese project X-eHealth («Cross-eHealth»), wat belast is met de ontwikkeling van de in de verordening geprioriteerde uitwisselingen (use-cases). Daarnaast is Nictiz nauw betrokken geweest in de reeds ontwikkelde geprioriteerde use-cases, waaronder de Europese patiëntsamenvatting en de Europese voorschriften voor digitaal receptenverkeer en de uitgifte van medicatie.

En dus?

Er is in Nederland af en toe scepsis over de rol van de EU. Maar die rol is bij digitalisering hoe dan ook groot. Dan kun je maar beter actief meedoen.

Gebruikmakend van Europese wetgeving zorgt Nederland dat bedrijven aan publieke waarden voldoen. Zodat we leerlingen beschermen tegen misbruik van hun persoonsgegevens, bijvoorbeeld. Maar dezelfde samenwerking in Europa leidt ook tot standaardisatie en kansen voor innovatie.

Dat kan juist omdat we samenwerken in de EU, want schaalgrootte is nodig om een rol van betekenis te spelen op het mondiale speelveld. Om er samen voor te zorgen dat AI net zo aan regels moet voldoen als medicijnen, of slimme deurbellen blijvend veilig zijn. En ook om te zorgen dat we nog eigen bedrijvigheid over houden. Zoals Estland ook bijna 30.000 bedrijven kent die geholpen door de Estse digitale infrastructuur vanuit het buitenland zijn opgezet.

Als we het slim doen kan ook een klein land als Nederland impact hebben en dat laten we op veel terreinen ook al zien. Daarvoor is een stevige eigen inzet in Brussel nodig, bekendheid met de processen van de EU en aandacht voor implementatie. In het parlement, bij de overheid, bij bedrijven en in de maatschappij.