Dataindehaver

En dataindehaver er den virksomhed eller person, der kontrollerer adgangen til data fra et tilsluttet produkt. Under Data Act har dataindehaveren pligt til at stille data til rådighed for brugere og tredjeparter på fair vilkår.

Tilbage til ordbog

Hvad er en dataindehaver?

Begrebet dataindehaver (på engelsk: data holder) er centralt i Data Act. En dataindehaver er en fysisk eller juridisk person, der har ret eller pligt til at gøre bestemte data tilgængelige. I praksis er det næsten altid producenten af et tilsluttet produkt eller udbyderen af en relateret tjeneste.

Tænk på en producent af industrielle sensorer. Sensorerne genererer driftsdata, temperaturmålinger og fejlkoder. Producenten er dataindehaver, fordi det er producenten, der teknisk kontrollerer adgangen til disse data. Under Data Act skal producenten stille data til rådighed for den virksomhed, der ejer og bruger sensorerne.

Rollen som dataindehaver er ikke frivillig. Hvis din virksomhed producerer tilsluttede produkter eller leverer relaterede tjenester, er du automatisk dataindehaver for de data, dine produkter genererer. Data Act pålægger dig konkrete forpligtelser, uanset om du aktivt ønsker at dele data eller ej.

Dataindehaver vs. dataansvarlig

Det er vigtigt at skelne mellem en dataindehaver under Data Act og en dataansvarlig under GDPR. De to begreber overlapper, men dækker forskellige ting:

Dataansvarlig (GDPR): Den, der bestemmer formålet med og midlerne til behandling af persondata. Fokus er på beskyttelse af personers rettigheder.
Dataindehaver (Data Act): Den, der kontrollerer adgangen til data fra tilsluttede produkter. Fokus er på fair adgang til data, uanset om data er persondata eller ej.

En virksomhed kan sagtens være begge dele. Hvis din smarte maskine indsamler data, der inkluderer personoplysninger om operatøren, er du både dataindehaver under Data Act og dataansvarlig under GDPR. Det betyder, at du skal overholde begge regelsæt.

Forskellen har også betydning for, hvem du deler data med. Som dataansvarlig kan du bruge en databehandler til at håndtere persondata. Som dataindehaver skal du dele data med brugere og tredjeparter, der anmoder om det, på FRAND-vilkår.

Pligter og rettigheder

Som dataindehaver har du en række konkrete pligter under Data Act:

**Pligter:**

Du skal gøre data tilgængelige for brugeren af det tilsluttede produkt uden unødig forsinkelse og i et struktureret, maskinlæsbart format
Hvis brugeren anmoder om det, skal du dele data med en tredjepart. Delingen skal ske på FRAND-vilkår (Fair, Reasonable and Non-Discriminatory)
Du skal informere brugeren om, hvilke data der genereres, og hvordan brugeren kan få adgang til dem
Du skal beskytte data mod uautoriseret adgang med passende tekniske foranstaltninger, herunder kryptering og adgangskontrol

**Rettigheder:**

Du kan kræve rimelig kompensation fra tredjeparter, der modtager data (ikke fra brugeren selv)
Du kan beskytte forretningshemmeligheder ved at pålægge modtageren fortrolighedsforpligtelser
Du kan nægte datadeling, hvis det ville afsløre forretningshemmeligheder, men kun i begrænset omfang og med begrundelse
Du kan kræve, at modtageren ikke bruger data til at udvikle et konkurrerende tilsluttet produkt

Praktisk håndtering

Hvis du er dataindehaver, skal du forberede dig på at håndtere dataanmodninger. Her er de vigtigste trin:

**Kortlæg dine data.** Start med at identificere præcis hvilke data dine tilsluttede produkter genererer. Kategoriser dem efter type (driftsdata, brugsdata, sensordata) og om de indeholder personoplysninger.

**Opbyg teknisk infrastruktur.** Du skal kunne levere data i standardiserede formater via API'er eller andre tekniske grænseflader. Sørg for, at data understøtter interoperabilitet, så modtageren kan bruge dem uden at være afhængig af dine proprietære systemer.

**Etabler processer for dataanmodninger.** Du har brug for klare procedurer til at modtage, vurdere og honorere anmodninger om datadeling. Det inkluderer vurdering af, om anmodningen er berettiget, og om der er forretningshemmeligheder, der skal beskyttes.

**Sørg for sikkerhed.** Data skal beskyttes under hele processen. Et ISMS giver dig en struktureret tilgang. Du bør også sikre, at din praksis lever op til kravene i NIS2, hvis din virksomhed er omfattet.

Rollen som dataindehaver kræver investering i teknik, jura og processer. Men den giver også mulighed for at skabe værdi. Virksomheder, der effektivt håndterer B2B-datadeling, kan opbygge stærkere partnerrelationer og nye forretningsmodeller baseret på data.

Ofte stillede spørgsmål om dataindehaver

Hvad er en dataindehaver under Data Act?

En dataindehaver er den person eller virksomhed, der har ret eller pligt til at gøre data tilgængelige under Data Act. Det er typisk producenten af et tilsluttet produkt eller udbyderen af en relateret tjeneste, som kontrollerer adgangen til de data, produktet genererer.

Hvad er forskellen på en dataindehaver og en dataansvarlig?

En dataansvarlig (under GDPR) bestemmer formålet med behandling af persondata. En dataindehaver (under Data Act) kontrollerer adgangen til data fra tilsluttede produkter. En virksomhed kan være begge dele, men rollerne har forskellige pligter og hører under forskellige regelsæt.

Hvilke pligter har en dataindehaver?

En dataindehaver skal stille data til rådighed for brugere og tredjeparter på FRAND-vilkår, sikre data i standardiserede og maskinlæsbare formater, informere brugere om dataadgangsrettigheder og beskytte forretningshemmeligheder uden at blokere legitim dataadgang.

Kan en dataindehaver nægte at dele data?

En dataindehaver kan kun nægte datadeling i snævre undtagelsestilfælde, fx for at beskytte forretningshemmeligheder. Nægtelsen skal være proportional, og dataindehaveren skal begrunde den. Data Act er designet til at forhindre, at dataindehavere bruger undtagelser som generel blokering af dataadgang.