Op 11 januari 2024 is de EU Data Act – Verordening (EU) 2023/2854 – in werking getreden, twintig dagen na bekendmaking in het Publicatieblad van de Europese Unie. De verordening is van toepassing met ingang van 12 september 2025. Deze wetgeving legt fundamentele nieuwe verplichtingen op aan fabrikanten van verbonden producten en aanbieders van gerelateerde diensten, en raakt daarmee een breed scala aan sectoren: van de maakindustrie en de energiesector tot de gezondheidszorg en de automobielindustrie. Wie data genereert, verwerkt of gebruikt in een zakelijke context, doet er goed aan zich tijdig te verdiepen in de reikwijdte van deze wetgeving.
Wat regelt de Data Act?
De Data Act maakt deel uit van de Europese datastrategie, die erop gericht is Europa’s concurrentiepositie op het gebied van de data-economie te versterken. De verordening stelt regels vast over wie toegang heeft tot data die wordt gegenereerd door het gebruik van producten of diensten, en onder welke voorwaarden die data gedeeld moet worden. Het gaat daarbij niet om een algemeen recht op alle data, maar om een stelsel van zes specifieke clusters: toegang van gebruikers tot product- en dienstgegevens, B2B-deling op eerlijke voorwaarden, publieke toegang bij uitzonderlijke noodzaak, overstappen tussen dataverwerkingsdiensten, bescherming tegen internationale overheidstoegang tot niet-persoonsgebonden gegevens, en interoperabiliteit.
Verplichtingen voor bedrijven: productontwerp
Verbonden producten moeten zodanig worden ontworpen en vervaardigd dat de gegenereerde data standaard, gemakkelijk, veilig, kosteloos en in een machineleesbaar formaat rechtstreeks toegankelijk is voor de gebruiker. Gebruikers van verbonden producten – denk aan smart home-apparaten, industriële machines of voertuigen – krijgen daarmee het recht op toegang tot de data die hun gebruik van dat product genereert. Fabrikanten en dienstverleners mogen die data niet langer exclusief voor zichzelf houden.
Belangrijk is dat deze verplichting een gefaseerde inwerkingtreding kent. Hoewel de Data Act als geheel van toepassing is vanaf 12 september 2025, geldt de ontwerp- en fabricageverplichting voor verbonden producten pas voor producten die na 12 september 2026 in de handel worden gebracht. Bestaande producten vallen daar dus nog niet onder.
Eerlijke voorwaarden bij B2B-datadeling
De verordening bevat specifieke regels over contractuele bedingen in B2B-datacontracten. Een beding dat eenzijdig door een onderneming is opgelegd aan een andere onderneming, bindt de wederpartij niet indien het oneerlijk is. Van eenzijdige oplegging is sprake wanneer de andere partij ondanks een poging om te onderhandelen geen invloed op de inhoud heeft kunnen uitoefenen. De bewijslast hiervan rust op de partij die het beding heeft laten opnemen.
Een beding is oneerlijk indien het gebruik ervan sterk afwijkt van goede handelspraktijken en in strijd is met de goede trouw en eerlijke behandeling. De verordening noemt als voorbeelden bedingen die aansprakelijkheid voor opzet of grove nalatigheid uitsluiten, de wederpartij beletten haar eigen data te gebruiken, eenzijdige beëindiging op onredelijk korte termijn toestaan, of aanzienlijke prijs- of andere wezenlijke wijzigingen eenzijdig mogelijk maken. Het rechtsgevolg is dat het oneerlijke beding de wederpartij niet bindt, terwijl de overige contractuele bepalingen in stand blijven voor zover het beding scheidbaar is.
Wisselwerking met de AVG
De Data Act staat naast de Algemene Verordening Gegevensbescherming, maar er bestaat een belangrijke wisselwerking. De verordening ziet ook op persoonsgegevens, maar maakt die niet los van het gegevensbeschermingsrecht. Wanneer de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, mogen die persoonsgegevens alleen worden verstrekt als daarvoor een geldige rechtsgrond bestaat op grond van artikel 6 AVG. De Data Act creëert daarmee geen zelfstandige uitzondering op de AVG: datatoegang op grond van de Data Act ontslaat partijen niet van hun AVG-verplichtingen, en geeft evenmin een grondslag voor verdere bewaring of hergebruik van de verstrekte gegevens buiten het doel waarvoor zij zijn verkregen.
Cloudportabiliteit en switching
Een afzonderlijk hoofdstuk verplicht aanbieders van dataverwerkingsdiensten om overstappen naar een andere aanbieder eenvoudiger te maken. Zij mogen geen precommerciële, commerciële, technische, contractuele of organisatorische belemmeringen opwerpen die klanten hinderen bij het overstappen. Vanaf 12 januari 2027 mogen aanbieders van dataverwerkingsdiensten klanten geen overstapkosten meer in rekening brengen. De feitelijke overdracht van data en configuraties moet onverwijld plaatsvinden en in geen geval na een verplichte overgangsperiode van maximaal dertig dagen. Voor organisaties die sterk afhankelijk zijn van één cloudleverancier biedt dit nieuwe onderhandelingsruimte bij contractsverlenging of -heronderhandeling.
Publieke toegang bij uitzonderlijke noodzaak
De verordening biedt overheidsinstanties onder strikte voorwaarden de mogelijkheid om bij uitzonderlijke noodzaak – zoals een publieke noodsituatie – toegang te vorderen tot privédata. Andere gegevenshouders dan micro-ondernemingen en kleine ondernemingen zijn in dat geval verplicht de benodigde data kosteloos beschikbaar te stellen. In andere gevallen van uitzonderlijke noodzaak heeft de gegevenshouder recht op een eerlijke vergoeding. Deze bevoegdheid is gebonden aan de in de verordening genoemde voorwaarden van proportionaliteit en subsidiariteit.
Handhaving in Nederland
In Nederland is de handhaving inmiddels wettelijk ingekaderd in de Uitvoeringswet dataverordening. De Autoriteit Consument en Markt is de bevoegde autoriteit voor het grootste deel van de verordening, waaronder de hoofdstukken over productdata, B2B-deling, en cloudportabiliteit. De Autoriteit Persoonsgegevens is bevoegd voor de privacygevoelige onderdelen en voor verwerking van persoonsgegevens binnen bepaalde artikelen en hoofdstuk V. Beide autoriteiten kunnen binnen hun eigen domein handhavend optreden met een last onder bestuursdwang of een bestuurlijke boete. De uitvoeringswet voorziet bovendien in een samenwerkings- en informatie-uitwisselingsregeling tussen ACM en AP, zodat beide toezichthouders bij overlappende vraagstukken gecoördineerd kunnen optreden.
Wat betekent dit concreet?
Bedrijven die verbonden producten ontwikkelen, importeren of distribueren, doen er verstandig aan hun productontwerp en contractuele structuur nu al te toetsen aan de Data Act. Voor producten die na 12 september 2026 op de markt komen, geldt de ontwerp- en toegankelijkheidsverplichting onverkort. Voor dienstverlenende partijen die data verwerken namens gebruikers, is het zaak te inventariseren welke data-uitwisselingsverplichtingen op hen van toepassing zijn en of bestaande overeenkomsten – inclusief eenzijdig opgestelde dataclausules – daarmee in lijn zijn.
Wie wacht tot de handhaving op gang komt, loopt het risico achter de feiten aan te lopen. Tijdige afstemming van producten, diensten en contracten op de nieuwe spelregels is niet alleen een kwestie van compliance, maar biedt ook kansen: wie zijn klanten transparantie en datatoegang biedt, onderscheidt zich in een markt die steeds kritischer kijkt naar hoe bedrijven omgaan met data.
Heeft u vragen over de gevolgen van de EU Data Act voor uw onderneming of uw contracten? De advocaten van Law & More staan u graag bij.
Veelgestelde vragen
Geldt de Data Act al voor mijn bestaande verbonden producten?
De verordening is van toepassing vanaf 12 september 2025, maar de verplichting om verbonden producten zo te ontwerpen dat data toegankelijk is voor gebruikers geldt pas voor producten die na 12 september 2026 in de handel worden gebracht. Bestaande producten die vóór die datum al op de markt zijn, vallen daar nog niet onder. Fabrikanten en importeurs doen er echter verstandig aan hun productontwikkeling nu al af te stemmen op de nieuwe eisen, zodat toekomstige producten bij marktintroductie compliant zijn.
Wat moet ik doen als mijn datacontract clausules bevat die de toegang tot data beperken?
Onder de Data Act kunnen contractuele bedingen die eenzijdig zijn opgelegd en die de wederpartij beletten haar eigen data te gebruiken of te exploiteren, als oneerlijk worden aangemerkt en daarmee niet-bindend zijn. Het is raadzaam bestaande datacontracten te laten toetsen op dergelijke clausules. De bewijslast dat een beding niet eenzijdig is opgelegd, rust op de partij die het beding heeft laten opnemen. Vroegtijdige heronderhandeling is doorgaans effectiever dan afwachten totdat de wederpartij zich op de verordening beroept.
Mag ik persoonsgegevens delen op grond van de Data Act zonder AVG-rechtsgrond?
Nee. De Data Act geeft geen zelfstandige grondslag voor het verstrekken van persoonsgegevens. Wanneer de gebruiker niet het datasubject is wiens persoonsgegevens worden opgevraagd, mogen die gegevens alleen worden verstrekt als daarvoor een geldige rechtsgrond bestaat onder artikel 6 AVG. Bovendien biedt datatoegang op grond van de Data Act geen basis voor verdere bewaring of hergebruik van de verstrekte persoonsgegevens buiten het oorspronkelijke doel. AVG-compliance en Data Act-compliance moeten dus gelijktijdig worden gewaarborgd.
Kan ik nog overstapkosten in rekening brengen als aanbieder van clouddiensten?
Vanaf 12 januari 2027 is het aanbieders van dataverwerkingsdiensten verboden om klanten overstapkosten in rekening te brengen. Daarnaast geldt al per 12 september 2025 dat geen technische, contractuele of organisatorische belemmeringen mogen worden opgeworpen die overstappen hinderen. De feitelijke dataoverdracht bij een overstap moet bovendien onverwijld plaatsvinden en uiterlijk binnen een overgangsperiode van dertig dagen zijn afgerond. Bestaande contracten die langere termijnen of overstapvergoedingen bevatten, verdienen herziening.
Welke toezichthouder is in Nederland bevoegd voor de handhaving van de Data Act?
De handhaving is verdeeld tussen de Autoriteit Consument en Markt en de Autoriteit Persoonsgegevens. De ACM is bevoegd voor het grootste deel van de verordening, waaronder de bepalingen over productdata, B2B-deling en cloudportabiliteit. De AP is bevoegd voor de privacygevoelige onderdelen en de verwerking van persoonsgegevens binnen bepaalde artikelen en hoofdstuk V. Beide autoriteiten kunnen een last onder bestuursdwang of een bestuurlijke boete opleggen. Tegen dergelijke besluiten staan de reguliere bestuursrechtelijke rechtsmiddelen open, waaronder bezwaar, beroep en een voorlopige voorziening.
Geldt de Data Act ook voor kleine ondernemingen?
De verordening maakt op enkele punten onderscheid naar ondernemingsgrootte. Zo zijn micro-ondernemingen en kleine ondernemingen bij publieke noodvorderingen van data vrijgesteld van de verplichting om data kosteloos beschikbaar te stellen; zij hebben in die gevallen recht op een eerlijke vergoeding. Voor de overige verplichtingen – waaronder de toegankelijkheidsverplichting voor verbonden producten en de eerlijkheidstoets voor B2B-bedingen – geldt geen algemene vrijstelling voor het midden- en kleinbedrijf. Ook kleinere aanbieders van verbonden producten of clouddiensten dienen hun bedrijfsvoering dus tijdig op de verordening af te stemmen.
