De Data Act is een nieuwe EU-verordening die gebruikers van met internet verbonden producten recht geeft op toegang tot de data die die producten genereren en die nieuwe regels bevat voor cloud-diensten.
Wat de Data Act regelt
De Data Act (Verordening (EU) 2023/2854) is een pijler van de Europese datastrategie. Doel is een eerlijke en concurrerende datamarkt, waarin data tussen sectoren kan stromen zonder de rechten van betrokkenen of bedrijfsgeheimen te schaden. Centraal staat het versterken van de positie van de gebruiker van verbonden producten en gerelateerde diensten: wie het product gebruikt, krijgt zeggenschap over de data die dat gebruik genereert.
Toegang tot data: direct waar het kan, op verzoek waar nodig
De Data Act heeft betrekking op verbonden producten. Zo’n verbonden product is elk Internet of Things-apparaat, zoals een verbonden koelkast, een auto of een landbouwmachine, en gerelateerde diensten.
De kern is toegang tot data die door het verbonden product of de gerelateerde dienst wordt gegenereerd, inclusief relevante metagegevens om die data te kunnen interpreteren. In beginsel geldt access-by-design: producten en diensten worden zó ontworpen dat de gebruiker de gegevens rechtstreeks kan benaderen, continu en in realtime, voor zover relevant en technisch haalbaar. Waar directe toegang (nog) niet mogelijk is, moet de gegevenshouder de gegevens op eenvoudig elektronisch verzoek onmiddellijk beschikbaar stellen, veilig, kosteloos voor de gebruiker en in een alomvattend, gestructureerd en machineleesbaar formaat.
Wie zijn de hoofdrolspelers?
De verordening introduceert een aantal rollen. De “gebruiker” is de persoon of organisatie die het verbonden product gebruikt. De “gegevenshouder” is de partij die het recht of de plicht heeft om de gegevens te gebruiken of beschikbaar te stellen (vaak de fabrikant of dienstverlener). “Derden” zijn partijen aan wie de gebruiker data wil laten verstrekken, bijvoorbeeld een reparateur of een onafhankelijke dienstverlener. Deze rollen bepalen wie welke rechten en plichten heeft.
Tijdpad en toezicht
De verordening geldt vanaf 12 september 2025. De hiervoor genoemde access-by-default-verplichting geldt echter pas per 12 september 2026. Het toezicht is verdeeld tussen de Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument & Markt (ACM).
Delen met derden: innovatie, met waarborgen
Gebruikers van een verbonden product mogen hun gegevens laten verstrekken aan een derde. De gegevenshouder levert dan dezelfde datakwaliteit als waarover hij zelf beschikt. Poortwachters in de zin van de Digital Markets Act zijn uitgesloten als ontvanger op basis van deze route. Derden mogen de gegevens alleen gebruiken voor het uitdrukkelijk overeengekomen doel en niet om concurrerende verbonden producten te ontwikkelen. Data moet worden gewist zodra het doel is bereikt, tenzij anders overeengekomen voor niet‑persoonsgegevens.
Grenzen: AVG, cybersecurity en bedrijfsgeheimen
De AVG blijft volledig van toepassing op persoonsgegevens. Als de gebruiker niet de betrokkene is, is een geldige grondslag vereist. Partijen kunnen de toegang beperken als dat noodzakelijk is om veiligheidsvereisten van het product te beschermen en ernstige risico’s voor gezondheid of veiligheid te voorkomen. Bedrijfsgeheimen worden alleen gedeeld met passende vertrouwelijkheidsmaatregelen; in uitzonderlijke gevallen mag toegang worden geweigerd als openbaarmaking zeer waarschijnlijk tot ernstige, onherstelbare economische schade leidt.
Cloud en interoperabiliteit
Een ander onderwerp dat de Data Act regelt, ziet op het aanpakken van “lock-ins” bij clouddiensten (SaaS, IaaS, PaaS). Overstappen tussen clouddiensten moet eenvoudiger worden via contractuele transparantie, exporteerbare data in gangbare, machineleesbare formats en een stapsgewijze afschaffing van exit fees. Opvallend is verder vooral de maximale opzegtermijn voor initiëren van een overstap van 2 maanden.
Wat betekent dit concreet?
Aanbieders en gebruikers van verbonden producten moeten nagaan welke verplichtingen of rechten ze hebben op de data die wordt gegenereerd. Contracten en product-informatie zullen moeten worden bijgewerkt, en data‑processen moeten worden herijkt als data met gebruikers en derden wordt gedeeld. Verder moet worden bepaald welke data er überhaupt in scope is, en hoe die beschikbaar is/kan worden gesteld.
De nieuwe regels voor cloud-diensten hebben gevolgen voor cloud-contracten. Gebruikers profiteren van betere bescherming, terwijl aanbieders minder strenge voorwaarden kunnen opleggen.
