De Data Act: wat verandert er met de komst van deze verordening voor uw bedrijf?

Sinds begin dit jaar is de Data Act in werking getreden. Vanaf 12 september 2025 is deze verordening officieel van kracht. Deze nieuwe Europese wetgeving heeft een grote impact op bedrijven die te maken hebben met IoT-producten, dataverwerking en clouddiensten. In dit artikel bespreekt Joost van Dongen wat de Data Act inhoudt en voor wie deze geldt.

#tech
#cybersecurity

Datum:  15 mei 2024

Geschreven door:  Joost van Dongen

Leestijd:  +/- 4 minuten

Wat is de Data Act in en voor wie geldt deze?

De Data Act is een belangrijke pijler van de datastrategie van de Europese Unie met als overkoepelend doel om de digitale transitie in de Europese Unie te bevorderen. Deze verordening van de EU heeft tot doel om eerlijke toegang tot en gebruik van data te bewerkstelligen. De Data Act heeft een breed toepassingsbereik en is relevant voor producenten en gebruikers van fysieke Internet of Things (IoT) producten, leveranciers van gerelateerde diensten, zakelijke datahouders en ontvangers, aanbieders van dataverwerkingsdiensten (cloud- en edge serviceproviders) en nationale en Europese publieke instellingen. Nu het een Europese verordening betreft hebben de regels uit de Data Act directe werking in Nederland zonder dat deze in nationale wetgeving geïmplementeerd hoeven te worden.

Om welke data gaat het precies?

De Data Act hanteert een brede definitie van data. Onder ‘data’ wordt elke digitale weergave verstaan van activiteiten, feiten of informatie, inclusief beeld en geluid. Dit kunnen zowel persoonsgegevens als niet-persoonsgebonden gegevens betreffen. Wanneer het gaat om de verplichting tot het delen van data op grond van de Data Act gaat het dus om data die wordt verzameld of gegenereerd door IoT-producten.

Wat zijn IoT-producten?

In de Data Act worden IoT-producten omschreven als producten die verbonden kunnen worden met internet om vervolgens met andere producten (of systemen) data uit te wisselen. Het gaat in dit geval om de IoT-producten zelf, maar ook om de gerelateerde dienst. De gerelateerde dienst is de dienst die noodzakelijk is voor de functionaliteit van het IoT-product. IoT-producten worden vaak aangeduid als slimme producten. Denk bijvoorbeeld aan een slimme deurbel, robotstofzuiger, wasmachines, medische apparatuur, landbouwmachines en andere industriële machines.

Wat regelt de Data Act?

Gegevens delen met derden

In veel gevallen worden op dit moment gegevens van IoT-producten uitsluitend verzameld door de fabrikant. Deze krijgt daardoor een concurrentievoordeel nu de gebruiker hierdoor afhankelijk worden gesteld van de fabrikant en niet bij andere partijen terecht kunnen voor bijvoorbeeld reparatie. De Data Act bevat specifieke maatregelen om gebruikers van producten toegang te laten krijgen tot de gegevens die door de fabrikant worden verzameld. Deze gegevens moeten op eenvoudige, veilige, gestructureerde en kosteloze manier worden verstrekt zodat deze vervolgens kunnen worden gedeeld met een derde partij die bijvoorbeeld aftermarket (reparatie)diensten verleent.

Deze derde partij is ook gebonden aan regels en dient onder andere de gegevens:

Let op: voor micro- en kleine ondernemingen die als derde worden gekwalificeerd gelden voornoemde verplichtingen in beginsel niet.

Oneerlijke contractuele bepalingen

De Data Act bepaalt dat contractuele bepalingen die worden opgelegd aan micro-, kleine- of middelgrote ondernemingen niet bindend zijn indien deze eenzijdig worden opgelegd en afwijken van de goede handelspraktijken. Het gaat dan met name om contractuele bedingen betreffende de toegang tot en het gebruik van gegevens of aansprakelijkheid en rechtsmiddelen die open staan voor een schending of beëindiging van gegevensgerelateerde verplichtingen.

Een contractuele bepaling is onder meer oneerlijk wanneer daarin:

Overstappen naar een andere dataverwerkingsdienst

Verder bevat de Act regels die het voor de klant van dataverwerkingsdiensten (kortgezegd: clouddiensten) makkelijker maakt om over te stappen naar een andere aanbieder. Aanbieders van clouddiensten mogen daarom geen pre-commerciële, commerciële, technische, contractuele en organisatorische belemmeringen opwerpen aan gebruikers. De Data Act wil deze kwesties aanpakken door het contractueel te vergemakkelijken om over te stappen naar een andere dienstverlener of data en gegevens over te dragen. Daarbij is het belangrijk dat volledige ondersteuning en continuïteit van de dienstverlening tijdens de overgang blijft bestaan.


Blijf scherp

De Data Act is op 11 januari 2024 in werking getreden en legt veel verplichtingen op aan bedrijven. Vanaf 12 september 2025 zal deze voor bedrijven gaan gelden. Bent u een leverancier van IoT-producten of een gerelateerde dienst of neemt u als klant dataverwerkingsdiensten af en heeft u vragen over de Data Act? Stel aan ze aan onze IT-specialisten.

Meer over dit onderwerp: