Bent u als ICT-dienstverlener, SaaS-, PaaS-, IaaS-aanbieder of IoT (Internet of things)-leverancier actief binnen de EU? Dan is er belangrijk juridisch nieuws dat u niet mag missen! Op 12 september 2025 treedt de Europese Data Act in werking. Deze verordening heeft grote gevolgen als u digitale diensten of producten levert waarbij u gebruiksdata verzamelt. Dat heeft impact op de operationele handelwijze rondom deze data en de contracten en algemene voorwaarden die daarop moeten worden aangepast. De Data Act verbiedt namelijk bepaalde voorwaarden en verplicht tegelijkertijd dat andere voorwaarden juist expliciet worden opgenomen.
In deze blog leggen we uit wat de Data Act betekent voor uw organisatie en hoe u voorkomt dat u ongewenste risico’s loopt.
Geen onredelijke bedingen meer binnen zakelijke relaties (B2B)
De Data Act beschermt vooral de ‘zwakkere’ contractpartij, normaliter de consument maar die bescherming gaat nu ook gelden voor zakelijke wederpartijen. Bij grote clouddiensten en IoT-leveranciers is onderhandelen vaak nauwelijks mogelijk: bedrijven (en consumenten) krijgen meestal alleen een “take it or leave it”-contract. De Data Act stelt nu dat dergelijk eenzijdig opgelegde, oneerlijke bedingen jegens bedrijven ook niet meer bindend zijn.
Een beding wordt als oneerlijk beschouwd als het sterk afwijkt van goede handelspraktijken of in strijd is met goede trouw en eerlijke behandeling. Daarbij kijkt de wet niet alleen naar bepalingen over data, maar ook naar aansprakelijkheid en de rechten van de klant bij schending of beëindiging van het contract.
Voorbeelden van zwarte en grijze bedingen die niet meer zijn toegestaan
Om concreet te zijn:
Zwart = Altijd oneerlijk:
- Uitsluiting van aansprakelijkheid voor opzet of grove nalatigheid
- Beperking van rechtsmiddelen bij wanprestatie
- Leverancier mag als enige beoordelen of data aan afspraken voldoet of contracten uitleggen
Grijs = Vermoedelijk oneerlijk:
- Eenzijdige prijswijzigingen zonder opzeggingsmogelijkheid
- Gebruik van klantdata op een manier die klantbelangen schaadt
- Onevenredige beperking van de aansprakelijkheid van leverancier of vergroting van die van de klant consument
Vendor lock-in voorkomen door contractuele exit-regeling
De Data Act wil ook overstapdrempels wegnemen en je de klant eigenlijk “insluit”. Lange opzegtermijnen, hoge kosten voor data-export of andere beperkingen om over te stappen naar een andere leverancier zijn niet langer toegestaan. Op grond van de Data act moeten contracten voortaan een duidelijke exit-regeling bevatten, zodat klanten binnen 30 dagen hun data kunnen meenemen en de bedrijfscontinuïteit behouden blijft.
Wat betekent dit voor uw contracten?
- Zorg dat de contracten en de algemene voorwaarden die u sluit met klanten vanaf 12 september 2025 direct voldoen aan de Data Act.
- Zorg dat u ten aanzien van de bestaande contracten checkt welke overgangstermijnen er gelden, dat is namelijk afhankelijk van duur en einddatum.
- Controleer uw algemene voorwaarden op zwarte en grijze bedingen zoals de toegang tot data, aansprakelijkheid, prijswijzigingen en zorg voor de juiste exit-regelingen.
Sancties bij niet naleving Europese Data Act
Deze Europese verordening heeft directe werking hetgeen wil zeggen dat de Nederlandse consument of zakelijke wederpartij er direct beroep op kan doen bij een rechter als ware het een Nederlandse wet. Dat maakt dat als u nog steeds bepalingen hanteert of handelt in strijd zijn met deze Data Act, dit nietig of vernietigbaar is en u schadeplichtig kan worden, aansprakelijk dus voor de hierdoor ontstane schade.
Verder kan, indien u na 12 september 2025 de Data Act niet naleeft, een bestuurlijke boete worden opgelegd door de Autoriteit Persoonsgegevens, mits de overtreding onder het bereik van de AVG/UAVG valt. De maximale boete bedraagt 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is (artikel 17 UAVG)
De exacte hoogte van de boete wordt afgestemd op de ernst van de overtreding en de mate van verwijtbaarheid (artikel 5:46 Awb)
Andere bestuurlijke sancties (zoals dwangsommen of aanwijzingen) zijn mogelijk indien deze in de nationale implementatiewetgeving zelf zijn voorzien, maar wordt nog verder uitgewerkt.
Houd de regie over uw diensten en data
De les is duidelijk: als ICT-dienstverlener moet u nu proactief uw contracten en algemene voorwaarden onder de loep nemen. Zo voorkomt u juridische discussies en risico’s, beschermt u uw klanten op de juiste manier. Ook blijft u compliant met Europese wetgeving en voorkomt u de sancties.
Advies nodig over contractvoorwaarden, compliance of overstapprocedures? De juristen van The Legal Company helpen ICT-dienstverleners graag bij het opstellen of reviewen van contracten die voldoen aan de Data Act én aan de specifieke behoeften van uw organisatie. Neem contact op via info@thelegalcompany.nl of bel 020-3450152.
