Hoe kan ik voorbereiden op de Data Act?

Implementeren IoT data-verplichtingen

Het meeste werk is weggelegd voor bedrijven die data uit connected products (internet of things producten) verwerken.

Het daarbij om de volgende soorten partijen:

• De fabrikant van het verbonden product
• De verkoper of verhuurder van het verbonden product
• De aanbieder van de (mobiele) applicatie die bij het verbonden product wordt gebruikt
• De derde aan wie de data worden overgedragen

Samengevat moeten deze partijen zorgen dat de gebruikers van de verbonden producten toegang krijgen tot de data die zij genereren en die data ook kunnen overdragen aan een andere partij als zij dat willen.

Wat dit in de praktijk verder betekent, ook vanuit het oogpunt van de Algemene Verordening Gegevensbescherming (AVG) heb ik in een ‘deepdive’ artikel onderzocht.

Maatregelen cloudaanbieders

Cloudaanbieders zullen maatregelen moeten nemen om te zorgen dat klanten hun klantdata makkelijk mee kunnen nemen naar een andere cloudaanbieder of een on premise omgeving.

Onder 'cloudaanbieders' vallen niet alleen aanbieders van Infrastructure-as-a-service (Iaas) of Platform-as-a-service (Paas) maar ook Software-as-a-service aanbieders. Daarnaast gaat het niet alleen om zakelijke klanten maar ook om consumenten. Een online boekhoudprogramma voor zakelijke klanten of consumenten valt bijvoorbeeld onder deze verplichtingen.   

Cloudaanbieders moeten zorgen dat:

• Klanten een open interface kunnen gebruiken om hun data over te dragen aan een andere provider of een on premise locatie
• Zij voldoen aan Europese eisen voor interoperabiliteit van de data
• Zij contractuele afspraken maken met klanten
• Zij hun klanten informatie geven over het overstapproces
• Zij vanaf 2027 geen overstapkosten meer in rekening brengen aan klanten

Daarnaast moeten cloudaanbieders maatregelen treffen om te voorkomen dat niet-Europese overheidsinstanties data opvragen in strijd met het Europese recht. Zo'n verzoek moet bijvoorbeeld worden getoetst op rechtsgeldigheid en de klant als uitgangspunt moet worden geïnformeerd over de dataverstrekking. Om hier op voorbereid te zijn is het verstandig om een intern draaiboek te maken.

Datacontracten reviewen

Bedrijven die B2B contracten afsluiten over toegang of uitwisseling van data doen er goed aan die contracten te reviewen. De Data Act verklaart bepaalde afspraken in dat soort contracten die eenzijdig worden opgelegd namelijk ongeldig, zoals bepaalde aansprakelijkheidsuitsluitingen.  

Het gaat hierbij niet alleen om partijen die IoT-data uitwisselen en cloudaanbieders maar alle soorten B2B contracten waarin de toegang of uitwisseling van data wordt geregeld. Dus ook bijvoorbeeld datalicenties of contracten of algemene voorwaarden met gebruikers van een platform.

Voorbereiden op dataverzoeken van Europese overheidsinstanties

Alle bedrijven kunnen van Europese overheidsinstanties een verzoek krijgen om data aan hen te verstrekken. Dergelijke verzoeken moeten wel aan bepaalde in de Data Act vastgestelde voorwaarden voldoen.

Omdat er maar erg weinig tijd is om te reageren op dit soort verzoeken (bij noodsituaties maar 5 werkdagen) is het verstandig om daar op voor te bereiden en bijvoorbeeld een intern draaiboek te maken.

Slimme contracten (smart contracts)

Aanbieders van slimme datacontracten zullen hun contracten en processen onder de loep moeten nemen. Dat soort contracten moeten aan bepaalde eisen uit de Data Act voldoen. Zo moeten ze afdoende toegangscontrolemechanisme hebben, een mechanisme voor beëindiging van de transacties die via het slimme contract worden verwerkt, een archiveringsfunctie waarin de transacties worden gearchiveerd en moeten ze consistent zijn. 

Hulp nodig?