Wat is de Data Act?
De Data Act, in het Nederlands: de Dataverordening, is een Europese wet die verschillende aspecten van de uitwisseling van data regelt.
De verplichtingen uit de Data Act worden op 12 september 2025 van toepassing.
Organisaties die door de Data Act worden geraakt moeten dus op die datum zorgen dat zij aan de verplichtingen voldoen.
Voor wie geldt de Data Act?
Bedrijven die specifiek door de Data Act worden geraakt, zijn:
- Producenten van connected products
- Ontwikkelaars en aanbieders van apps die worden gebruikt met connected products
- Bedrijven die data uit connected product verwerken
- Aanbieders van clouddiensten zoals Saas-, Paas- en IaaS-diensten
- Partijen die slimme contracten aanbieden of implementeren
Daarnaast kan iedere organisatie die over data beschikt te maken krijgen met de Data Act, namelijk als zij een verzoek krijgen van een overheidsinstantie om data te verstrekken.
Verder gelden er restricties op wat er in contracten tussen zakelijke partijen mag worden afgesproken met betrekking tot de uitwisseling van data in het algemeen. Dat is niet beperkt tot specifieke soorten bedrijven.
Wat regelt de Data Act?
Samengevat regelt de Data Act:
- de uitwisseling van data die via connected products wordt gegenereerd (IoT-data)
- het overstapproces waarbij klanten van cloudproviders naar een andere provider overstappen (switching)
- welke contractuele voorwaarden onredelijk zijn, als het gaat om de uitwisseling van data
- het opvragen van data door overheidsinstanties
- eisen aan interoperabiliteit van data en datadiensten
Uitwisseling van IoT-data
De Data Act regelt in de eerste plaats de uitwisseling van data bij connected / internet of things producten (IoT-data).
Deze producten genereren vaak veel data, al dan niet via een mobiele applicatie / app. Een slimme tandenborstel kan bijvoorbeeld informatie registreren over hoe vaak de gebruiker poetst, wanneer, hoe hard etc. Dat kan interessante informatie zijn voor de gebruiker, die deze informatie kan gebruiken om beter te poetsen of misschien zelfs te delen met diens tandarts.
Ook connected producten die bedrijfsmatig worden ingezet kunnen waardevolle informatie genereren voor de bedrijven die ze gebruiken. Een fabriek die connected robots inzet kan bijvoorbeeld op basis van door die robots gegenereerde data weten hoe productief het productieproces is, of wanneer de robots toe zijn aan een onderhoudsbeurt.
De bedoeling van de Data Act is om gebruikers van connected producten (zowel organisaties als personen) toegang te geven tot de IoT-data en hen daar meer zeggenschap over te geven.
Connected producten en bijbehorende apps moeten bijvoorbeeld zo worden ontworpen dat de IoT-data makkelijk en gratis beschikbaar is voor de gebruiker. En de partij die beschikt over de IoT-data (dit wordt de ‘datahouder’ genoemd) moet deze data aan de gebruiker beschikbaar maken en op verzoek van de gebruiker aan een derde overdragen. Ook moet de gebruiker informatie krijgen over wat er mogelijk is met de IoT-data.
Dit betekent dat partijen die connected products produceren, bijbehorende apps aanbieden of die over IoT-data beschikken verschillende maatregelen moeten nemen om te zorgen dat de IoT-data makkelijk beschikbaar is en kan worden overgedragen en dat de gebruikers daarover worden geïnformeerd. Omdat IoT-data in veel gevallen ook bestaat uit persoonsgegevens, zullen veel privacyverklaringen ook moeten worden geüpdatet.
Switching
Een ander belangrijk onderdeel van de Data Act is de verplichting voor cloudaanbieders om hun klanten naar een andere aanbieder over te laten stappen (te switchen).
Onder cloudaanbieders vallen in ieder geval IaaS, Paas en SaaS aanbieders, maar ook andere clouddiensten zoals storage-as-a-service en edge computing.
De verplichtingen zijn bedoeld om ‘vendor lock-in’ te voorkomen, het fenomeen waarbij de klant van een IT-leverancier zich niet vrij voelt naar een andere leverancier over te stappen. De Europese wetgever wil dit uit de wereld helpen, omdat het de concurrentie te veel beperkt. Of met de Data Act dit doel wordt bereikt is de vraag: er zijn vaak meerdere oorzaken van vendor lock-in dan de onmogelijkheid om de data over te dragen, maar het is een stap in de goede richting.
Samengevat houden de switching-verplichtingen in dat cloudaanbieders hun klanten moeten ondersteunen bij het overstapproces naar een andere leverancier of een on-premise oplossing. Zij moeten dit in ieder geval doen door de klantdata makkelijk overdraagbaar te maken, open interfaces beschikbaar te stellen, te zorgen voor interoperabiliteit van de data en door de klant informatie te geven over de data en het overstapproces.
Ook moeten cloudaanbieders in hun contracten met klanten bepalingen opnemen die het overstapproces vergemakkelijken, zoals de verplichting om de klant te ondersteunen bij het overstapproces en om de data tijdens het proces in voldoende mate te beveiligen. Hiermee schrijft de Europese wetgever dus voor wat er minimaal in cloudcontracten moet staan over het overstapproces. Op sommige punten gaat dit vrij ver: de Data Act grijpt zelfs in op de opzegtermijn van het contract - deze mag niet langer zijn dan twee maanden.
Voor cloudaanbieders is verder van belang dat zij vanaf 2027 geen overstapkosten in rekening mogen brengen aan hun klanten. Het gaat hier om kosten die verband houden met de overdracht van de data zoals data-extractiekosten en kosten voor het verlenen van ondersteuning aan de klant tijdens het overstapproces. Cloudaanbieders kunnen overwegen die kosten in de prijs te verdisconteren of, als dat bij de dienst past, het overstapproces zo te stroomlijnen of te automatiseren dat ze daar in feite geen kosten voor hoeven te maken.
Cloudaanbieders zullen hun processen en contracten dus af moeten stemmen op de Data Act, en ook technische maatregelen moeten nemen om het overstapproces voor hun klanten makkelijk te maken.
Geen onredelijk contractuele voorwaarden
Om te voorkomen dat zakelijke klanten onredelijke contractuele voorwaarden krijgen opgelegd als het gaat om uitwisseling van data, bevat de Data Act een hoofdstuk met bepalingen die niet in contracten met zakelijke klanten mogen staan. Dit gaat niet alleen om contracten met cloudaanbieders, maar om alle soorten contracten die betrekking hebben op de uitwisseling van data met zakelijke partijen.
Sommige bepalingen zijn nooit toegestaan, zoals een uitsluiting van aansprakelijkheid voor schade die is veroorzaakt door opzet of grove schuld en een bepaling die het recht ontneemt om juridische maatregelen te nemen bij wanprestatie van de partij die de contractuele voorwaarden oplegt. Andere bepalingen zijn onder omstandigheden onredelijk, zoals dat de partij die de data genereert of verstrekt deze niet mag gebruiken of dat de aansprakelijkheid van de partij die de contractuele voorwaarden oplegt onredelijk ver wordt beperkt.
Dit onderdeel uit de Data Act geldt niet voor consumenten. De reden hiervoor is dat contractuele voorwaarden met consumenten al via andere wetgeving worden geregeld, namelijk via het consumentenrecht.
Het opvragen van data door overheidsinstanties
In bepaalde situaties, namelijk noodsituaties en - voor data die geen persoonsgegevens zijn - als een overheidsinstantie geen mogelijkheid heeft om voor diens publieke taken aan data te komen, kan de overheidsinstantie een datahouder verplichten data af te staan. Het kan daarbij ook om bedrijfsgevoelige data gaan.
Om bindend te zijn moet het verzoek van de overheidsinstantie wel aan een aantal voorwaarden voldoen, waaronder dat de gevraagde data gespecificeerd moet worden, dat de noodzaak om de data op te vragen moet worden aangetoond en dat de wettelijke bepaling op basis waarvan de data wordt opgevraagd wordt vermeld.
De datahouder heeft de mogelijkheid om bezwaar te maken tegen een dergelijk verzoek. Bij noodsituaties zal dit binnen vijf werkdagen moeten.
Bedrijven die over gevoelige data beschikken doen er dus goed aan om zich voor te bereiden op dit soort overheidsverzoeken, bijvoorbeeld door daar een intern draaiboek voor te maken.
Toegang tot data door overheidsinstanties in derde landen
Niet alleen overheidsinstanties uit Europa kunnen data opvragen maar overheidsinstanties daarbuiten ook.
De Data Act bepaalt dat als een clouddienst een verzoek krijgt van een overheidsinstantie van buiten de EER (de Europese Economische Ruimte) de clouddienst de data alleen onder bepaalde voorwaarden aan zo’n overheidsinstantie mag verstrekken. In principe moet het verzoek van de overheidsinstantie gebaseerd zijn op een internationale overeenkomst tussen het land waar het verzoek vandaan komt en het land waar het verzoek wordt gedaan. Als er niet zo'n overeenkomst is moet het verzoek specifiek zijn, moet het kunnen worden aangevochten bij een rechter in het derde land en moet deze rechter rekening kunnen houden met de belangen van de partij die de data moet verstrekken.
Interoperabiliteitseisen
Om te zorgen voor een makkelijke en vrije uitwisseling van data moeten cloudaanbieders en partijen die deelnemen aan Europese ‘data spaces’ aan bepaalde interoperabiliteitseisen voldoen. Deze eisen zullen worden vastgelegd in Europese normen. De Data Act omvat een aantal voorschriften waar die normen aan moeten voldoen.
Slimme contracten
Slimme contracten (smart contracts) die betrekking hebben op de uitwisseling van data moeten op grond van de Data Act aan bepaalde eisen voldoen. Ze moeten een afdoende toegangscontrolemechanisme hebben, een mechanisme voor beëindiging van de transacties die via het slimme contract worden verwerkt, een archiveringsfuncties waarin de transacties worden gearchiveerd en moeten consistent zijn.
Bereid u voor op de Data Act
De Data Act heeft voor aanbieders van connected products en daarbij behorende mobiele apps en voor cloudaanbieders de grootste impact. Maar ook organisaties met (bedrijfs)gevoelige data en bedrijven die contracten afsluiten voor het uitwisselen van data doen er goed aan zich voor te bereiden op de Data Act.
Per 12 september 2025 is de Data Act van toepassing.
Heeft u vragen over de Data Act? Neem dan contact op met bitlegal.