Wat is de Data Act in en voor wie geldt deze?
De Data Act is een belangrijke pijler van de datastrategie van de Europese Unie met als overkoepelend doel om de digitale transitie in de Europese Unie te bevorderen. Deze verordening van de EU heeft tot doel om eerlijke toegang tot en gebruik van data te bewerkstelligen. De Data Act heeft een breed toepassingsbereik en is relevant voor producenten en gebruikers van fysieke Internet of Things (IoT) producten, leveranciers van gerelateerde diensten, zakelijke datahouders en ontvangers, aanbieders van dataverwerkingsdiensten (cloud- en edge serviceproviders) en nationale en Europese publieke instellingen. Nu het een Europese verordening betreft hebben de regels uit de Data Act directe werking in Nederland zonder dat deze in nationale wetgeving geïmplementeerd hoeven te worden.
Om welke data gaat het precies?
De Data Act hanteert een brede definitie van data. Onder ‘data’ wordt elke digitale weergave verstaan van activiteiten, feiten of informatie, inclusief beeld en geluid. Dit kunnen zowel persoonsgegevens als niet-persoonsgebonden gegevens betreffen. Wanneer het gaat om de verplichting tot het delen van data op grond van de Data Act gaat het dus om data die wordt verzameld of gegenereerd door IoT-producten.
Wat zijn IoT-producten?
In de Data Act worden IoT-producten omschreven als producten die verbonden kunnen worden met internet om vervolgens met andere producten (of systemen) data uit te wisselen. Het gaat in dit geval om de IoT-producten zelf, maar ook om de gerelateerde dienst. De gerelateerde dienst is de dienst die noodzakelijk is voor de functionaliteit van het IoT-product. IoT-producten worden vaak aangeduid als slimme producten. Denk bijvoorbeeld aan een slimme deurbel, robotstofzuiger, wasmachines, medische apparatuur, landbouwmachines en andere industriële machines.
Wat regelt de Data Act?
- De Data Act (ook wel Gegevenswet) is een nieuwe Europese wet die tot doel heeft een eerlijke en concurrerende gegevensmarkt te creëren voor bedrijven en consumenten. Met de verordening wordt geprobeerd het delen en hergebruik van gegevens (data) makkelijker te maken.
- Het legt fabrikanten van IoT-producten en aanbieders van gerelateerde diensten de verplichting op om gegevens toegankelijk te maken voor gebruikers en derden.
- De Act bevat nieuwe regels die het voor klanten van clouddiensten makkelijker maakt om over te stappen van aanbieder.
- Op grond van de verordening zijn oneerlijke bedingen met betrekking tot de toegang en het gebruik van gegevens tussen ondernemingen verboden.
- Ook wordt bepaald dat overheidsinstanties in sommige situaties gegevens door gegevenshouders gratis beschikbaar moeten stellen wanneer er een uitzonderlijke noodzaak is om de gegevens te gebruiken voor een specifieke taak van algemeen belang.
- De Data Act voorziet in interoperabiliteitsnormen voor deelnemers aan dataruimten die gegevens of datadiensten aanbieden aan andere deelnemers.
- Tot slot moeten aanbieders van dataverwerkingsdiensten passende waarborgen nemen om internationale overheidstoegang en toegang van overheden van zogenoemde derde landen te voorkomen indien deze overdracht of toegang in strijd is met regels van de Europese Unie.
Gegevens delen met derden
In veel gevallen worden op dit moment gegevens van IoT-producten uitsluitend verzameld door de fabrikant. Deze krijgt daardoor een concurrentievoordeel nu de gebruiker hierdoor afhankelijk worden gesteld van de fabrikant en niet bij andere partijen terecht kunnen voor bijvoorbeeld reparatie. De Data Act bevat specifieke maatregelen om gebruikers van producten toegang te laten krijgen tot de gegevens die door de fabrikant worden verzameld. Deze gegevens moeten op eenvoudige, veilige, gestructureerde en kosteloze manier worden verstrekt zodat deze vervolgens kunnen worden gedeeld met een derde partij die bijvoorbeeld aftermarket (reparatie)diensten verleent.
Deze derde partij is ook gebonden aan regels en dient onder andere de gegevens:
- slechts te gebruiken voor de doeleinden die met de gebruiker zijn overeengekomen en de gegevens te wissen wanneer deze niet langer nodig zijn;
- niet beschikbaar te stellen aan een organisatie die op grond van de Digital Services Act wordt gekwalificeerd als poortwachter (veelal grote online platforms); en
- niet te gebruiken op een manier die een negatief effect heeft op de beveiliging van het product dat of dienst die verbonden is met internet.
Let op: voor micro- en kleine ondernemingen die als derde worden gekwalificeerd gelden voornoemde verplichtingen in beginsel niet.
Oneerlijke contractuele bepalingen
De Data Act bepaalt dat contractuele bepalingen die worden opgelegd aan micro-, kleine- of middelgrote ondernemingen niet bindend zijn indien deze eenzijdig worden opgelegd en afwijken van de goede handelspraktijken. Het gaat dan met name om contractuele bedingen betreffende de toegang tot en het gebruik van gegevens of aansprakelijkheid en rechtsmiddelen die open staan voor een schending of beëindiging van gegevensgerelateerde verplichtingen.
Een contractuele bepaling is onder meer oneerlijk wanneer daarin:
- de aansprakelijkheid eenzijdig wordt beperkt in geval van opzet of bewuste roekeloosheid;
- de partij waaraan het beding eenzijdig is opgelegd wordt uitgesloten van remedies waarover deze beschikt in geval van niet-nakoming van contractuele verplichtingen; en
- de partij die het beding oplegt het exclusieve recht verkrijgt om te bepalen of de verstrekte gegevens in lijn zijn met de overeenkomst.
Overstappen naar een andere dataverwerkingsdienst
Verder bevat de Act regels die het voor de klant van dataverwerkingsdiensten (kortgezegd: clouddiensten) makkelijker maakt om over te stappen naar een andere aanbieder. Aanbieders van clouddiensten mogen daarom geen pre-commerciële, commerciële, technische, contractuele en organisatorische belemmeringen opwerpen aan gebruikers. De Data Act wil deze kwesties aanpakken door het contractueel te vergemakkelijken om over te stappen naar een andere dienstverlener of data en gegevens over te dragen. Daarbij is het belangrijk dat volledige ondersteuning en continuïteit van de dienstverlening tijdens de overgang blijft bestaan.
