Technologie
Data delen in de keten: van wie is je data eigenlijk?
Nog niet zolang geleden vond de bank dat betaalgegevens haar eigendom waren. Immers, de rekening is geopend bij de bank, zij voeren de betalingen uit, en uit benevolentie verstrekten ze bestanden voor toepassingen die zij nuttig achtten zoals boekhoudsoftware. Toen op 19 februari 2019 de zogenaamde psd-2 richtlijn van kracht werd, is er nadruk op gelegd dat betaalgegevens de consument of het bedrijf toebehoren. Inmiddels kun je de bank instrueren om data te delen niet alleen met boekhoudsoftware maar ook met diensten waarvan de bank vindt dat ze concurrerend zijn. Betaalgegevens zijn dus van jou.
Als we kijken naar zoekgegevens, je familiefoto’s, de samenstelling van je kennissenkring of je koopgedrag dan is dat vaak minder goed geregeld. Bij het gebruik van diensten als Google, Facebook, of Amazon ben je op een onbewaakt moment akkoord gegaan met de conditie dat jouw gegevens gebruikt kunnen worden ten behoeve van of zelfs gedeeld kunnen worden met andere partijen. Vandaar dat Google je benadert met advertenties die aansluiten op je interesses, en Facebook persoonsgegevens verkoopt. Daarnaast heeft de Amerikaanse overheid bedongen dat ze door een achterdeur toegang heeft tot de data van deze diensten.
Het is Europa al enige tijd een doorn in het oog dat data onvoldoende veilig wordt verzameld en gedeeld. Niet alleen vanuit het oogpunt van privacy, maar ook ter bescherming tegen industriële spionage. Bedrijven verzamelen gevoelige informatie over de samenstelling van hun producten. Ze wisselen orders uit met klanten en leveranciers. Uit die orderstroom zouden derden marktgevoelige gegevens en zelfs de samenstelling van producten kunnen afleiden. Vandaar dat vanuit Europa een initiatief is gelanceerd dat tot een grotere gegevensbescherming moet leiden, genaamd GAIA-X. Bij GAIA-X gaat het niet over een nieuwe dienst naast Google of over een infrastructuur, maar om een architectuur die een veilige data uitwisseling mogelijk maakt op servers die niet in Amerikaanse handen zijn. Overigens moeten we niet alleen denken aan handels- en industriële data maar bijvoorbeeld ook aan overheidsdata, patiëntgegevens of data uit voertuigen en woningen.
Onder de paraplu van GAIA-X is een organisatie werkzaam die de International Data Spaces Association (IDSA) heet. De IDSA heeft een architectuur ontwikkeld gebaseerd op ‘data sovereignty’. Het basisprincipe van data sovereignty is dat partijen die data uitwisselen (delen) eigenaar zijn van hun eigen data. Alleen dat deel van de data waar de ontvangende partij recht toe heeft wordt uitgewisseld, en wel zonder tussenkomst van een derde partij. Wat betekent dat precies? Wanneer partij A een bestelling heeft bij partij B, dan wordt telkens opnieuw geverifieerd of partij B nog steeds gerechtigd is om dat type berichten te ontvangen. Als het antwoord bevestigend is, dan wordt het bericht bij B afgeleverd zonder tussenkomst van een partij die het bericht tijdelijk of permanent opslaat (zeg maar: zonder digitaal postkantoor). Op deze manier wordt optimaal geborgd dat gevoelige gegevens niet worden opgeslagen of gedeeld met concurrenten of vreemde overheden. Wie geïnteresseerd is kan hier een infographic vinden met de details.
(Klik om te vergroten)
Een aantal diensten zijn inmiddels beschikbaar in Nederland die op de IDSA-architectuur gebaseerd zijn. Er is bijvoorbeeld het Smart Connected Supplier Network (SCSN), waarmee bedrijven in de toeleverketen (handel en industrie) orders en productgegevens uitwisselen. Ook is er iSHARE, waarop diensten zijn aangesloten waarmee bedrijven in de transportsector gegevens delen zoals vrachtbrieven en over containertransporten. Meestal voorzien zulke diensten in een behoefte die al langer met behulp van een oudere architectuur wordt vervuld. Naast het Smart Connected Supplier Network bijvoorbeeld wordt er ook van Electronic Data Interchange (EDI) gebruik gemaakt. Bij EDI berichten, populair in de handel van consumentenproducten, worden producten geïdentificeerd met een wereldwijd gebruikte code genaamd Global Trade Item Number (je treft dit nummer aan in de streepjescode op producten in de supermarkt). De orders worden via een netwerk van communicatiepartners verstuurd en gaan dus niet direct van A naar B. Met name de keten waar gevoelige producten worden gemaakt (machines, voertuigen, robots, electronica) deelt ongaarne berichten via EDI. De zorg is dat intellectueel eigendom terecht komt bij de concurrent of een vreemde overheid. Het is te verwachten dat we nu een verschuiving gaan meemaken van berichtenverkeer naar veiliger platforms met ‘data sovereignty’, en meer toepassingen voor de IDSA architectuur.