Op 12 september 2025 wordt de Data Act van kracht.
Deze Europese wet is bedoeld om de uitwisseling van data te bevorderen. Niet-naleving van de verplichtingen kan leiden tot boetes van de ACM of de AP.
Hieronder zet ik op een rij wat partijen in de private sector kunnen doen om hun organisaties voor te bereiden op de Data Act.
In dit eerdere blog staat een samenvatting van de Data Act-verplichtingen.

Implementeren IoT data-verplichtingen
Het meeste werk is weggelegd voor bedrijven die data uit connected products (internet of things producten) verwerken.
Het daarbij om de volgende soorten partijen:
- De fabrikant van het verbonden product
- De verkoper of verhuurder van het verbonden product
- De aanbieder van de (mobiele) applicatie die bij het verbonden product wordt gebruikt
- De derde aan wie de data worden overgedragen
Samengevat moeten deze partijen zorgen dat de gebruikers van de verbonden producten toegang krijgen tot de data die zij genereren en die data ook kunnen overdragen aan een andere partij als zij dat willen.
Wat dit in de praktijk verder betekent, ook vanuit het oogpunt van de Algemene Verordening Gegevensbescherming (AVG) heb ik in een ‘deepdive’ artikel onderzocht.
Maatregelen cloudaanbieders
Cloudaanbieders zullen maatregelen moeten nemen om te zorgen dat klanten hun klantdata makkelijk mee kunnen nemen naar een andere cloudaanbieder of een on premise omgeving.
Onder 'cloudaanbieders' vallen niet alleen aanbieders van Infrastructure-as-a-service (Iaas) of Platform-as-a-service (Paas) maar ook Software-as-a-service aanbieders. Daarnaast gaat het niet alleen om zakelijke klanten maar ook om consumenten. Een online boekhoudprogramma voor zakelijke klanten of consumenten valt bijvoorbeeld onder deze verplichtingen.
Cloudaanbieders moeten zorgen dat:
- Klanten een open interface kunnen gebruiken om hun data over te dragen aan een andere provider of een on premise locatie
- Zij voldoen aan Europese eisen voor interoperabiliteit van de data
- Zij contractuele afspraken maken met klanten
- Zij hun klanten informatie geven over het overstapproces
- Zij vanaf 2027 geen overstapkosten meer in rekening brengen aan klanten
Daarnaast moeten cloudaanbieders maatregelen treffen om te voorkomen dat niet-Europese overheidsinstanties data opvragen in strijd met het Europese recht. Zo'n verzoek moet bijvoorbeeld worden getoetst op rechtsgeldigheid en de klant als uitgangspunt moet worden geïnformeerd over de dataverstrekking. Om hier op voorbereid te zijn is het verstandig om een intern draaiboek te maken.
Datacontracten reviewen
Bedrijven die B2B contracten afsluiten over toegang of uitwisseling van data doen er goed aan die contracten te reviewen. De Data Act verklaart bepaalde afspraken in dat soort contracten die eenzijdig worden opgelegd namelijk ongeldig, zoals bepaalde aansprakelijkheidsuitsluitingen.
Het gaat hierbij niet alleen om partijen die IoT-data uitwisselen en cloudaanbieders maar alle soorten B2B contracten waarin de toegang of uitwisseling van data wordt geregeld. Dus ook bijvoorbeeld datalicenties of contracten of algemene voorwaarden met gebruikers van een platform.
Voorbereiden op dataverzoeken van Europese overheidsinstanties
Alle bedrijven kunnen van Europese overheidsinstanties een verzoek krijgen om data aan hen te verstrekken. Dergelijke verzoeken moeten wel aan bepaalde in de Data Act vastgestelde voorwaarden voldoen.
Omdat er maar erg weinig tijd is om te reageren op dit soort verzoeken (bij noodsituaties maar 5 werkdagen) is het verstandig om daar op voor te bereiden en bijvoorbeeld een intern draaiboek te maken.
Slimme contracten (smart contracts)
Aanbieders van slimme datacontracten zullen hun contracten en processen onder de loep moeten nemen. Dat soort contracten moeten aan bepaalde eisen uit de Data Act voldoen. Zo moeten ze afdoende toegangscontrolemechanisme hebben, een mechanisme voor beëindiging van de transacties die via het slimme contract worden verwerkt, een archiveringsfunctie waarin de transacties worden gearchiveerd en moeten ze consistent zijn.
Hulp nodig?
Heeft u hulp nodig bij het implementeren van de Data Act verplichtingen? Neem gerust contact op.