Data governance in dataspaces: wie is waarvoor verantwoordelijk?

Data governance in dataspaces heeft twee onlosmakelijke lagen: organisatorische afspraken en technische infrastructuur. Dit artikel maakt helder hoe verantwoordelijkheden zijn verdeeld.

<>

Terug naar overzicht

16 februari 2026

Data governance in dataspaces: wie is waarvoor verantwoordelijk?

Hoe verantwoordelijkheden zijn verdeeld tussen dataspace-initiatiefnemers en technische infrastructuurproviders

Organisaties die starten met federatief data delen lopen vaak tegen dezelfde uitdaging aan: wie is eigenlijk waarvoor verantwoordelijk? De dataspace initiator? De deelnemers? De technische infrastructuurprovider?

Deze vraag is geen bureaucratisch detail maar een fundamenteel ontwerpprincipe, al hoeft dit je niet tegen te houden om te starten. Poort8's ervaring leert dat organisaties beter direct kunnen beginnen met het in kaart brengen van de dataspace use-case en governance pragmatisch kunnen vormgeven naarmate de praktijk leert wat nodig is. Te lang stilstaan bij perfecte governance-structuren leidt vaak tot eindeloos overleg zonder resultaat. Data governance in dataspaces heeft twee onlosmakelijke lagen: organisatorische afspraken over wie wat mag, en technische infrastructuur die deze afspraken automatisch handhaaft. Beide zijn essentieel. Geen van beide werkt zonder de andere.

Dit artikel maakt helder hoe verantwoordelijkheden zijn verdeeld tussen dataspace-initiatiefnemers en technische infrastructuurproviders zoals Poort8. Tijdens de ontwerpfase helpen infrastructuurproviders actief met het vertalen van organisatorische eisen naar technische keuzes, Poort8 gebruikt hiervoor hands-on workshops via de

Dataspace EXPLORER

die doeltreffend governance-behoeften concreet maken. Want alleen met dit onderscheid bouw je dataspaces waar organisaties daadwerkelijk op vertrouwen.

Data governance: meer dan alleen techniek

Data governance gaat over beslisrechten, verantwoordelijkheden en processen rondom data. Wanneer meerdere organisaties samen data delen in een

dataspace

, krijgt governance extra dimensies: hoe behoud je controle over eigen data terwijl je tegelijk samenwerking mogelijk maakt?

De International Data Spaces Association (IDSA) onderscheidt drie governance-niveaus die elkaar versterken. Het dataspace-niveau omvat standaarden, gedragscodes en toetredingsregels voor het hele ecosysteem. Het use case-niveau definieert specifieke settings waarin deelnemers gezamenlijk waarde creëren. Het deelnemerniveau betreft de interne governance van individuele organisaties.

TNO benadrukt in onderzoek naar dataspace-implementatie dat de "zachte infrastructuur" vaak complexer blijkt dan de techniek: organisaties worstelen meer met businessmodellen en governance-afspraken dan met de technische implementatie zelf. Dit komt doordat governance fundamenteel draait om vertrouwen organiseren tussen partijen die soms zelfs concurrenten zijn. Herken je deze

pijnpunten bij data delen ?

De centrale vraag blijft: welke data deel je, met wie, onder welke voorwaarden? Dit zijn organisatorische vragen die technologie ondersteunt maar niet beantwoordt.

Twee governance-lagen die elkaar versterken

Werkende dataspaces combineren organisatorische en technische governance-lagen. De organisatorische laag omvat beleid, afspraken en menselijke besluitvorming over wie wat mag. De technische laag zorgt voor automatische handhaving van die afspraken via infrastructuur.

Organisatorische governance: verantwoordelijkheid van de initiatiefnemer

De initiatiefnemer van een dataspace draagt verantwoordelijkheid voor de organisatorische governance-structuur tijdens de ontwerpfase. In de operationele fase verschuift deze rol vaak naar een beheerder - dit kan dezelfde organisatie zijn of een aparte governance-entiteit die het ecosysteem beheert. Dit begint met het definiëren van doel en scope: welk probleem lost deze dataspace op, voor wie, en hoe meten we succes? TNO adviseert expliciet om eerst de business case en toepassingen te definiëren voordat technische oplossingen worden gekozen.

De governance-structuur moet vervolgens concrete vorm krijgen. Catena-X, de operationele automotive dataspace met meer dan 300 deelnemers, hanteert een "flight level" model. Op 30.000 voet staan de "10 Golden Rules", basisprincipes waar alle deelnemers aan voldoen. Op 20.000 voet komen use case-specifieke richtlijnen zoals voorgedefinieerde doelen voor data-uitwisseling. Op 10.000 voet worden individuele data-aanbiedingen geconfigureerd.

TNO Vector identificeert vier reflectiepijlers voor dataspace governance. Waardengedreven betekent dat technologie publieke of sectorale belangen dient, met eerlijkheid en transparantie als basis. Soevereiniteit en autonomie erkent dat organisaties controle willen behouden over eigen infrastructuur en data. Concurrentievermogen vereist dat dataspaces economische groei stimuleren zonder innovatie te remmen. Duurzaamheid vraagt om energie-efficiënte infrastructuur en verantwoord databeheer.

De initiatiefnemer bepaalt ook toetredingsregels: wie mag meedoen, welke certificeringen zijn vereist, hoe worden deelnemers geverifieerd? Het Data Spaces Support Centre (DSSC) definieert een trust framework als een samenstelling van policies, regels, standaarden en procedures ontworpen voor vertrouwensbeslissingen in dataspaces, gebaseerd op verifiable credentials. Het trust framework maakt deel uit van het governance framework van een dataspace.

Deze frameworks bieden structuur voor vertrouwd data delen door drie essentiële functies te combineren: verificatie van identiteiten (wie ben je?), toetsing van compliance (voldoe je aan de regels?), en certificering door onafhankelijke derde partijen. Zo kunnen deelnemers elkaar vertrouwen zonder centrale controle; vertrouwen wordt gedecentraliseerd maar wel gestandaardiseerd.

Trust frameworks evolueren momenteel nog sterk naarmate de dataspace-praktijk groeit. Dit vraagt om een adaptieve aanpak: implementeer governance-structuren die kunnen meebewegen met verfijningen in standaarden en eisen naarmate trust frameworks verder volwassen worden.

Technische governance: waar infrastructuurproviders waarde toevoegen

Technische infrastructuur transformeert governance-beleid naar automatisch afgedwongen regels. Data-eigenaren definiëren voorwaarden, infrastructuur handhaaft ze zonder menselijke tussenkomst bij elke transactie.

Een Autorisatieregister vormt het hart van technische governance. Hiermee bepalen data-eigenaren precies wie toegang krijgt tot welke data, voor welke periode, en onder welke voorwaarden. Policy-based sharing vertaalt impliciete autorisaties naar expliciete policies die machines kunnen lezen en afdwingen. Dit is precies wat

Keyper

als autorisatieregister mogelijk maakt.

De sleutelprincipes

• Data-eigenaren bepalen toegang: zij kunnen toegang verlenen tot hun data, zelfs wanneer deze via federatieve applicaties wordt benaderd

• Data blijft bij de bron: tenzij caching of staging essentieel is voor de use case

• Gebruikers kiezen hun eigen identity providers: geen vendor lock-in op authenticatie

Dit model zorgt ervoor dat techniek de organisatorische afspraken consistent respecteert.

Connectors vormen technische interfaces tussen deelnemers en de dataspace. De IDSA Reference Architecture Model beschrijft connectors als componenten die data-soevereiniteit handhaven bij elke data-uitwisseling. In de praktijk blijken connectors vooral nuttig tijdens de ontwerpfase: ze verlagen de drempel voor data dienstaanbieders om deel te nemen.

In de operationele fase willen veel organisaties echter liever zelf een technische laag ontwikkelen waarmee authenticatie en autorisatie worden gecontroleerd; ze vinden het onprettig om een externe applicatie controle te geven over hun data-endpoints. Moderne dataspace-infrastructuur zoals

NoodleBar

ondersteunt deze voorkeur door connectors optioneel te maken, niet verplicht. Organisaties kunnen kiezen voor certified connectors wanneer dit past, of integreren via eigen API-lagen die dezelfde beveiligings- en audit-standaarden handhaven.

Europese wetgeving verankert governance-verantwoordelijkheden

De Europese Unie heeft via drie complementaire regelgevingen bepaald dat data governance geen vrijblijvende keuze is maar een wettelijke verplichting.

Data Governance Act (DGA)

Van kracht sinds september 2023, creëert een twee-laags governance-structuur. Elke dataspace heeft een governance-entiteit nodig die toetredingsregels beheert en compliance bewaakt. Daarnaast moet er een overkoepelende organisatie zijn voor interoperabiliteit tussen dataspaces. De wet introduceert ook data-intermediairs als neutrale partijen die onafhankelijk moeten opereren en aan strikte transparantie-eisen voldoen.

Data Act

Waarvan de kernbepalingen sinds september 2025 gelden, geeft gebruikers het recht op toegang tot data gegenereerd door IoT-apparaten en slimme producten. Data-houders moeten gratis toegang bieden in machine-leesbaar formaat, waar technisch mogelijk in real-time. Producten moeten "by design" data delen faciliteren. Lees meer in ons artikel over de

EU Data Act en dataspaces .

GDPR

Blijft relevant voor alle persoonsgegevens die via dataspaces worden gedeeld. Federatieve architecturen kunnen GDPR-compliance faciliteren doordat data bij de bron blijft, dit ondersteunt

dataminimalisatie en data soevereiniteit

. Maar elke deelnemer moet helder hebben of zij controller of processor zijn voor de data die zij verwerken.

Het Data Spaces Support Centre (DSSC) coördineert de Europese aanpak door standaarden van Gaia-X, IDSA en andere initiatieven te harmoniseren. Deze technische standaarden maken compliance mogelijk: Self-Descriptions machine-leesbare metadata beschrijft deelnemers en diensten, Verifiable Credentials volgens het W3C-model zorgen voor vertrouwde informatie-uitwisseling en Trust Anchors verifiëren identiteiten via eIDAS-compliant certificaten.

Verantwoordelijkheidsverdeling in de praktijk

Operationele dataspaces laten een consistent (4-corner) patroon zien in hoe verantwoordelijkheden verdeeld worden. Dit model kun je als referentie gebruiken.

Dataspace-initiatiefnemer

Verantwoordelijk voor het governance framework inclusief toetredingsregels en gedragscodes. Zij bepalen welke certificeringen deelnemers nodig hebben, definiëren business modellen en eventuele vergoedingsstructuren, en richten geschillenbeslechting in. De initiatiefnemer faciliteert ook community building en kennisdeling tussen deelnemers.

Data-rechthebbenden

Bepalen wie toegang krijgt tot hun data en onder welke voorwaarden, registreren toestemmingen in het Autorisatieregister, en blijven eindverantwoordelijk voor wat er met hun data gebeurt.

Datadienstaanbieders

Stellen metadata beschikbaar in de catalogus, zijn verantwoordelijk voor datakwaliteit en -accuraatheid, zorgen voor een veilige connector en/of API-koppeling met de dataspace, en handhaven toegangscontrole door bij elke aanvraag automatisch te verifiëren of een geldige toestemming bestaat.

Datadienstgebruikers

Moeten voldoen aan de gebruiksvoorwaarden die data-rechthebbenden stellen, implementeren de vereiste technische componenten en rapporteren over datagebruik waar dat contractueel vereist is.

Technische infrastructuurproviders

Leveren en onderhouden de componenten die governance automatisch afdwingen. Dit omvat het Autorisatieregister voor access control, identity management voor deelnemerverificatie, logging en audit capabilities voor traceerbaarheid, en connector-technologie voor veilige data-uitwisseling. De provider zorgt voor certificeringen zoals ISO 27001 en conformiteit met IDSA- en Gaia-X-standaarden.

De Mobility Data Space in Duitsland illustreert dit model. Een non-profit organisatie (DRM Datenraum Mobilität GmbH) beheert de governance en community, deelnemers behouden data-soevereiniteit via eigen voorwaarden per data-aanbod, en technische diensten zoals Connector-as-a-Service verlagen de drempel voor kleinere organisaties om deel te nemen. Praktische templates voor contracten en GDPR-anonymisering helpen deelnemers op weg.

Governance: van Initiatie naar Beheer

In de ontwerpfase is de dataspace-initiatiefnemer cruciaal. Deze partij ziet de urgentie van federatief data delen, brengt drie of meer organisaties samen rond een concreet use-case, en faciliteert de eerste governance-afspraken. De initiatiefnemer definieert toetredingsregels en gedragscodes, bepaalt welke certificeringen deelnemers nodig hebben, en zet business modellen en eventuele vergoedingsstructuren op. Zonder deze katalysator komt een dataspace niet van de grond; iemand moet de eerste stap zetten om partijen bij elkaar te brengen.

In de operationele fase verschuift de verantwoordelijkheid naar de dataspace beheerder. Dit kan dezelfde organisatie zijn als de initiatiefnemer, maar vaak ontstaat een aparte governance-entiteit die het ecosysteem beheert. De beheerder operationaliseert het Rulebook, certificeert nieuwe deelnemers, houdt toezicht op naleving van standaarden, lost geschillen op tussen deelnemers, en houdt de governance-structuur up-to-date naarmate het ecosysteem evolueert. Deze rol vraagt om andere competenties dan initiëren: waar de initiatiefnemer vooral verbindt en faciliteert, moet de beheerder borgen en handhaven.

Implementatie-lessen uit de praktijk

Organisaties die dataspaces opzetten, leren vaak dezelfde lessen. De belangrijkste inzichten:

Begin met de business case, niet met techniek

TNO is hier expliciet over: definieer eerst welke concrete toepassingen je wilt faciliteren, welke problemen je oplost, en welke businessmodellen daarbij passen. De technische implementatie volgt uit deze keuzes, niet andersom. Onderzoek van JADS naar 155 dataspaces bevestigt dit: het ontbreken van een concrete use case is het grootste obstakel. Lees ook ons artikel over de

business value van een dataspace .

Investeer in community building

Catena-X organiseert trainingen via hun "Campus" om qualified advisors op te leiden. De Mobility Data Space faciliteert matchmaking events en expert knowledge exchange sessions. Het Nederlandse Federatief Datastelsel werkt met een open-source community platform en pilot-implementaties. Een dataspace is een samenwerkingsverband van organisaties, niet alleen een technisch platform.

Vertaal governance-afspraken naar werkende autorisaties

Beleid in Word-documenten of contracten vereist dat iemand handmatig controleert of toegang is toegestaan bij elke data-aanvraag. Dit schaalt niet. Implementeer in plaats daarvan autorisaties direct in je technische infrastructuur - zoals in een Autorisatieregister - zodat toegangscontrole automatisch en realtime gebeurt volgens de afgesproken regels, transparant en auditeerbaar. De governance-beslissing neem je één keer, de handhaving gebeurt duizenden keren zonder menselijke tussenkomst.

Plan voor gefaseerde groei

De European Health Data Space plant een implementatieperiode tot 2031, met gefaseerde deadlines voor verschillende componenten. Begin met een duidelijke, afgebakende use case waar je de governance-aanpak kunt valideren, bijvoorbeeld één specifieke data-uitwisselingsflow tussen twee partijen. Valideer dat de technische en organisatorische afspraken werken, verfijn waar nodig, en schaal daarna stapsgewijs op naar meer deelnemers en complexere use cases.

Documenteer expliciet en toegankelijk

Catena-X publiceert hun "10 Golden Rules" als basis waar alle deelnemers op kunnen terugvallen. IDSA biedt een Rulebook met functionele, technische, operationele en juridische afspraken. Het Data Spaces Support Centre biedt de DSSC Blueprint met richtlijnen voor de volledige ontwikkelingscyclus. Maak governance-documenten beschikbaar en begrijpelijk voor alle typen deelnemers: van juridische teams tot technische implementers.

De toekomst: convergentie en schaalvergroting

Data governance in dataspaces wordt belangrijker naarmate meer sectoren overgaan op federatieve modellen. De Common European Agricultural Data Space is in april 2025 gestart met 36 partners uit 15 landen. De European Health Data Space wordt gefaseerd uitgerold tot 2031. Manufacturing-X verbindt de maakindustrie via gestandaardiseerde data-uitwisseling. In de kunststofsector werkt

CircPlastX

aan federatief data delen voor circulaire kunststoffen. Lees ook onze analyse van

de datarevolutie die Europa aan het bouwen is .

Technische standaarden convergeren. IDSA, Gaia-X, FIWARE en de Big Data Value Association werken samen in de Data Spaces Business Alliance (DSBA) aan een gemeenschappelijk referentiekader. Het Dataspace Protocol is op weg naar ISO/IEC-standaardisatie. Dit betekent minder fragmentatie tussen verschillende dataspace-implementaties en meer interoperabiliteit.

De fundamentele principes blijven echter constant: helder onderscheid tussen organisatorische verantwoordelijkheden en technische handhaving. Initiatiefnemers die governance serieus nemen vanaf het begin, bouwen vertrouwen met deelnemers. Technische infrastructuur die policies automatisch afdwingt, maakt dat vertrouwen schaalbaar naar honderden deelnemers.

Conclusie: beide lagen zijn nodig

Data governance vormt het fundament onder werkende dataspaces. De organisatorische laag - verantwoordelijkheid van de dataspace-initiatiefnemer/beheerder - bepaalt wie mag meedoen, welke data wordt gedeeld, en onder welke voorwaarden. De technische laag - waar infrastructuurproviders waarde toevoegen - zorgt dat die regels automatisch worden gehandhaafd via autorisatieregisters, identity management en certified connectors.

Europese wetgeving via de Data Governance Act en Data Act maakt deze tweedeling formeel. Operationele dataspaces zoals Catena-X en de Mobility Data Space bewijzen dat het model werkt wanneer verantwoordelijkheden helder zijn verdeeld.

Voor organisaties die starten met federatief data delen: begin met een concrete, afgebakende use case om snel te valideren wat governance-technisch nodig is. Kies technische partners die governance-afspraken direct kunnen vertalen naar werkende autorisaties, zodat organisatorische spelregels en technische infrastructuur hand-in-hand evolueren. Start pragmatisch, verfijn iteratief, zo voorkom je eindeloze planningsfasen en bouw je governance die daadwerkelijk werkt in de praktijk. Beide lagen versterken elkaar; geen van beide werkt optimaal zonder de andere. Lees ook ons artikel over het verschil tussen dataspaces en blockchain , waar governance de beslissende factor is.

Klaar om te starten?

Ontdek hoe jouw organisatie data governance pragmatisch kan vormgeven.

Plan een Dataspace EXPLORER

Plan een Dataspace PIONEER

;

};

export default DataGovernanceDataspaces;

; import { ArrowLeft, Calendar, Shield, Users, Scale, Building2, Globe, Gavel, Network, BookOpen } from

;

const DataGovernanceDataspaces = () => { return <> <BlogSEO title=

Data governance in dataspaces heeft twee onlosmakelijke lagen: organisatorische afspraken en technische infrastructuur. Dit artikel maakt helder hoe verantwoordelijkheden zijn verdeeld.

>Dataspace EXPLORER</Link> {

> TNO benadrukt in onderzoek naar dataspace-implementatie dat de

vaak complexer blijkt dan de techniek: organisaties worstelen meer met businessmodellen en governance-afspraken dan met de technische implementatie zelf. Dit komt doordat governance fundamenteel draait om vertrouwen organiseren tussen partijen die soms zelfs concurrenten zijn. Herken je deze{

> De initiatiefnemer bepaalt ook toetredingsregels: wie mag meedoen, welke certificeringen zijn vereist, hoe worden deelnemers geverifieerd? Het <a href=

> In de operationele fase willen veel organisaties echter liever zelf een technische laag ontwikkelen waarmee authenticatie en autorisatie worden gecontroleerd; ze vinden het onprettig om een externe applicatie controle te geven over hun data-endpoints. Moderne dataspace-infrastructuur zoals{

> Waarvan de kernbepalingen sinds september 2025 gelden, geeft gebruikers het recht op toegang tot data gegenereerd door IoT-apparaten en slimme producten. Data-houders moeten gratis toegang bieden in machine-leesbaar formaat, waar technisch mogelijk in real-time. Producten moeten

data delen faciliteren. Lees meer in ons artikel over de{

> Blijft relevant voor alle persoonsgegevens die via dataspaces worden gedeeld. Federatieve architecturen kunnen GDPR-compliance faciliteren doordat data bij de bron blijft, dit ondersteunt{

> TNO is hier expliciet over: definieer eerst welke concrete toepassingen je wilt faciliteren, welke problemen je oplost, en welke businessmodellen daarbij passen. De technische implementatie volgt uit deze keuzes, niet andersom. <Link to=

>Onderzoek van JADS naar 155 dataspaces</Link> bevestigt dit: het ontbreken van een concrete use case is het grootste obstakel. Lees ook ons artikel over de{

> Catena-X organiseert trainingen via hun

> Catena-X publiceert hun

}aan federatief data delen voor circulaire kunststoffen. Lees ook onze analyse van{

>Plan een Dataspace EXPLORER</Link> </Button> <Button size=