De Data Act: een samenvatting

Gepubliceerd op 10 juli 2024 om 11:35

Wat is de Data Act?

De Data Act, in het Nederlands: de Dataverordening, is een Europese wet die verschillende aspecten van uitwisseling van data regelt.

Op 12 september 2025 worden de verplichtingen uit de Data Act van toepassing.

Organisaties die door de Data Act worden geraakt zullen dus moeten zorgen dat zij op die datum aan de verplichtingen van de Data Act voldoen.

Voor wie geldt de Data Act?

Bedrijven die specifiek door de Data Act geraakt worden zijn:

  • Producenten van connected products
  • Ontwikkelaars en aanbieders van apps die worden gebruikt met connected products
  • Bedrijven die data uit connected product verwerken
  • Aanbieders van clouddiensten zoals Saas, Paas en IaaS diensten
  • Partijen die slimme contracten aanbieden of implementeren

Daarnaast kan iedere organisatie die over data beschikt te maken krijgen met de Data Act, namelijk bij een verzoek van een overheidsinstantie om data te verstrekken.

Verder gelden er restricties op wat er in contracten tussen zakelijke partijen mag worden afgesproken met betrekking tot de uitwisseling van data in het algemeen. Dat is niet beperkt tot specifieke soorten bedrijven.

Wat regelt de Data Act?

Samengevat regelt de Data Act:

  • de uitwisseling van data die via connected products wordt gegenereerd (IoT-data);
  • het overstapproces waarbij klanten van cloudproviders naar een andere provider overstappen (switching);
  • welke contractuele voorwaarden, als het gaat om uitwisseling van data, onredelijk zijn;
  • het opvragen van data door overheidsinstanties;
  • eisen aan interoperabiliteit van data en datadiensten.

Uitwisseling van IoT-data

De Data Act regelt in de eerste plaats de uitwisseling van data bij connected / internet of things producten (IoT-data).

Deze producten genereren vaak veel data, al dan niet via een mobiele applicatie/app. Een slimme tandenborstel kan bijvoorbeeld informatie registreren over hoe vaak de gebruiker poetst, wanneer, hoe hard etc. Dat kan interessante informatie zijn voor de gebruiker, die die informatie kan gebruiken om beter te poetsen of misschien zelfs te delen met diens tandarts.

Ook connected producten die bedrijfsmatig worden ingezet kunnen waardevolle informatie genereren voor bedrijven die ze gebruiken. Een fabriek die connected robots inzet kan bijvoorbeeld op basis van door die robots gegenereerde data weten hoe productief het productieproces is, of wanneer de robots toe zijn aan een onderhoudsbeurt.

De bedoeling van de Data Act is om gebruikers van connected producten (zowel organisaties als personen) toegang te geven tot de IoT-data en hen daar meer zeggenschap over te geven.

Zo moeten connected producten en bijbehorende apps zo worden ontworpen dat de IoT-data makkelijk en gratis beschikbaar is voor de gebruiker. En moet de partij die beschikt over de IoT-data (dit wordt de ‘datahouder’ genoemd) deze data aan de gebruiker beschikbaar maken en deze op verzoek van de gebruiker aan een derde overdragen. Ook moet de gebruiker informatie krijgen over wat er mogelijk is met de IoT-data.

Dit betekent dat partijen die connected products produceren, die bijbehorende apps aanbieden en die over data beschikken verschillende maatregelen moeten nemen om te zorgen dat de data makkelijk beschikbaar is en kan worden overgedragen en de gebruikers daarover worden geïnformeerd. Omdat IoT-data in veel gevallen ook bestaat uit persoonsgegevens, kan het zijn dat partijen die verantwoordelijk zijn voor de IoT-data hun privacyverklaringen moeten updaten.

Switching

Een ander belangrijk aspect van de Data Act is de verplichting voor cloudaanbieders om hun klanten makkelijk naar een andere aanbieder over te laten stappen (te switchen).

Onder cloudaanbieders vallen in ieder geval IaaS, Paas en SaaS aanbieders, maar ook andere clouddiensten zoals storage-as-a-service en edge computing.

De verplichtingen zijn bedoeld om ‘vendor lock in’ te voorkomen, het fenomeen waarbij de klant van een IT-leverancier zich niet vrij voelt om naar een andere leverancier over te stappen. De Europese wetgever wil dit fenomeen uit de wereld wil helpen omdat het de concurrentie te veel beperkt. Of de Data Act dit doel zal bereiken is de vraag, vaak zijn er meerdere oorzaken van vendor lock in dan alleen de onmogelijkheid om de data over te dragen, maar het is een stap in de goede richting.

Samengevat houden de switching-verplichtingen in dat cloudaanbieders hun klanten moeten ondersteunen bij het overstapproces naar een andere leverancier of een on-premise oplossing. Dit moeten zij in ieder geval doen door de klantdata makkelijk overdraagbaar te maken, open interfaces beschikbaar te stellen, te zorgen voor interoperabiliteit van de data en de klant informatie te geven over de data en het overstapproces.

Ook moeten zij in hun contracten met de leveranciers bepalingen opnemen die het overstapproces vergemakkelijken, zoals de verplichting om de klant te ondersteunen bij het overstapproces en om de data tijdens het proces voldoende te beveiligen. Hiermee schrijft de Europese wetgever dus voor wat er minimaal in cloudcontracten moet staan over het overstapproces. Op sommige punten gaat dit vrij ver: de Data Act grijpt zelfs in op de opzegtermijn van het contract, deze mag niet langer zijn dan twee maanden.

Voor cloudaanbieders is verder van belang dat zij vanaf 2027 geen overstapkosten in rekening mogen brengen aan hun klanten. Het gaat hier om kosten die verband houden met de overdracht van de data zoals data-extractiekosten en en kosten voor het verlenen van ondersteuning aan de klant tijdens het overstapproces. Zij kunnen overwegen die kosten in de prijs te verdisconteren of, als dat bij de dienst past, het overstapproces zo te stroomlijnen of automatiseren dat ze daar in feite geen kosten voor hoeven te maken.

Cloudaanbieders zullen hun processen en contracten dus af moeten stemmen op de Data Act en ook technische maatregelen moeten nemen om het overstappen voor hun klanten makkelijk te maken.

Geen onredelijk contractuele voorwaarden

Om te voorkomen dat zakelijke klanten onredelijke contractuele voorwaarden krijgen opgelegd als het gaat om uitwisseling van hun data, bevat de Data Act een hoofdstuk met bepalingen die niet in contracten met zakelijke klanten mogen staan. Dit gaat niet alleen om contracten met cloudaanbieders maar om alle soorten contracten die betrekking hebben op de uitwisseling van data met zakelijke partijen.

Sommige bepalingen zijn nooit toegestaan, zoals een uitsluiting van aansprakelijkheid voor schade die is veroorzaakt door opzet of grove schuld en het uitsluiten van juridische maatregelen bij wanprestatie van de partij die de contractuele voorwaarden oplegt. Andere bepalingen zijn onder omstandigheden onredelijk, zoals dat de partij die de data genereert of verstrekt wordt verhinderd die te gebruiken en een onredelijke beperking van aansprakelijkheid.

Dit onderdeel uit de Data Act geldt niet voor consumenten. De reden hiervoor is dat contractuele voorwaarden met consumenten al via andere wetgeving wordt geregeld, namelijk via het consumentenrecht.

Het opvragen van data door overheidsinstanties

In bepaalde situaties, namelijk noodsituaties en, voor data die geen persoonsgegevens zijn, als een overheidsinstantie geen mogelijkheid heeft om aan data te komen voor diens publieke taken, kan de overheidsinstantie een datahouder verplichten data af te staan. Het kan daarbij ook om bedrijfsgevoelige data gaan.

Om bindend te zijn moet het verzoek van de overheidsinstantie wel aan een aantal voorwaarden voldoen, waaronder dat de gevraagde data gespecificeerd moeten worden, de noodzaak om ze op te vragen aangetoond moet worden en dat de wettelijke bepaling op basis waarvan de data wordt opgevraagd wordt vermeld.

De datahouder heeft de mogelijkheid om bezwaar te maken tegen het verzoek. Bij noodsituaties zal dit binnen vijf werkdagen moeten. Bedrijven die over gevoelige data beschikken doen er dus goed aan voorbereid te zijn op dit soort overheidsverzoeken, bijvoorbeeld door daar een intern draaiboek voor te maken.

Toegang tot data door overheidsinstanties in derde landen

Niet alleen overheidsinstanties uit Europa kunnen data opvragen maar overheidsinstanties daarbuiten ook.

De Data Act bepaalt dat als een clouddienst een verzoek krijgt van een overheidsinstantie buiten de EER (de Europese Economische Ruimte) dan mag de clouddienst de data alleen onder bepaalde voorwaarden aan zo’n overheidsinstantie verstrekken. In principe moet het verzoek van de overheidsinstantie gebaseerd zijn op een internationale overeenkomst tussen het land waar het verzoek vandaan komt en het land waar het verzoek wordt gedaan. Als er niet zo'n overeenkomst is moet het verzoek specifiek zijn, kunnen worden aangevochten bij een rechter in het derde land die rekening mag houden met de belangen van de partij die de data moet verstrekken.

Interoperabiliteitseisen

Om te zorgen voor een makkelijke en vrije uitwisseling van data moeten cloudaanbieders en partijen die deelnemen aan Europese ‘data spaces’ aan bepaalde interoperabiliteitseisen voldoen. Deze eisen zullen worden vastgelegd in Europese normen, de Data Act omvat een aantal voorschriften waar die normen aan moeten voldoen.

Slimme contracten

Slimme contracten (smart contracts) die betrekking hebben op de uitwisseling van data moeten op grond van de Data Act aan bepaalde eisen voldoen. Ze moeten een afdoende toegangscontrolemechanisme hebben, een mechanisme voor beëindiging van de transacties die via het slimme contract worden verwerkt, een archiveringsfuncties waarin de transacties worden gearchiveerd en moeten consistent zijn. 

Bereid u voor op de Data Act


De Data Act heeft voor aanbieders van connected products en daarbij behorende mobiele apps en voor cloudaanbieders de grootste impact. Maar ook organisaties met (bedrijfs)gevoelige data en bedrijven die contracten afsluiten voor het uitwisselen van data doen er goed aan zich voor te bereiden op de Data Act.

Per 12 september 2025 is de Data Act van toepassing.

Heeft u vragen over de Data Act? Neem dan contact op met bitlegal.