Meer rechten voor gebruikers, meer plichten voor aanbieders
Op 12 september 2025 is de Europese Dataverordening (Data Act) in werking getreden. Met de Data Act wil de Europese Unie zorgen voor een eerlijke digitale economie en gelijktijdig concurrentie en innovatie binnen de digitale economie stimuleren. De Data Act richt zich dan ook met name op het wegnemen van drempels die dit bemoeilijken. Deze nieuwe wetgeving heeft een breed toepassingsbereik: van fabrikanten van slimme apparaten en softwareontwikkelaars tot cloud- en hostingaanbieders, en zelfs bedrijven die deze technologieën gebruiken. Vrijwel elke onderneming krijgt er mee te maken, want data speelt tegenwoordig een rol in bijna ieder bedrijfsproces.
In deze blog bespreken we de belangrijkste onderdelen van de Data Act en wat dit betekent voor uw onderneming.
Rechten van gebruikers slimme apparaten.
Slimme apparaten die wij bezitten, genereren continu gegevens. Denk aan een smartwatch, de Ring deurbel, een robotstofzuiger of Google Home. Tot nu toe bleef deze data vaak in handen van de fabrikant, waardoor gebruikers afhankelijk waren van diens systemen.
De komst van de Data Act brengt hier verandering in. De gebruiker krijgt recht op toegang tot de door het apparaat verzamelde data. Bovendien mag de gebruiker die data delen met derden, zoals een data-analist. De fabrikant (de zogeheten “datahouder”) is verplicht de data op een eenvoudige en kosteloze manier beschikbaar te stellen, bijvoorbeeld via API’s. Tegelijkertijd mag de dataontvanger de gegevens alleen gebruiken voor het doel waarvoor deze zijn verstrekt. En dus niet voor het ontwikkelen van concurrerende producten.
Voor bedrijven die slimme producten ontwikkelen, betekent dit dat productdocumentatie moet vermelden welke data er wordt verzameld, met welke frequentie, wie toegang heeft en hoe gebruikers de data kunnen opvragen. Transparantie richting klanten is dus een wettelijke verplichting geworden.
Nieuwe regels voor cloud- en hostingaanbieders.
Een ander belangrijk onderdeel van de Data Act ziet toe op cloud- en hostingdiensten. Veel bedrijven maken gebruik van cloudopslag, hosting of Software-as-a-Service (SaaS). Het overstappen van de ene aanbieder naar de andere aanbieder was in veel gevallen tijdrovend, ingewikkeld en kostbaar. Daarbij was het ook gebruikelijk dat deze aanbieders forse overstapkosten vroegen, waardoor klanten feitelijk werden gegijzeld (vendor lock-in).
De Data Act heeft hier inmiddels verandering in gebracht. Cloud- en hostingproviders mogen nu alleen nog verlaagde overstapkosten rekenen, die rechtstreeks verband houden met het overstapproces. En vanaf 12 januari 2027 mogen er helemaal géén kosten meer in rekening worden gebracht. Het doel is duidelijk. Overstappen tussen aanbieders moet laagdrempelig en betaalbaar worden. Deze regels gelden niet alleen voor klassieke cloud- en hostingproviders, maar ook voor aanbieders van dataverwerkingsdiensten zoals edge computing en SaaS-diensten.
Daarnaast schrijft de Data Act voor dat cloud- en hostingsproviders contractueel moeten vastleggen hoe het overstapproces verloopt. Zij zijn verplicht om clausules op te nemen over de exit, de ondersteuning en de bijstand die zij daarbij bieden. Daarbij geldt in beginsel een maximale overstapperiode van 30 dagen, waarin de aanbieder het proces actief ondersteunt en moet zorgen dat er geen onderbreking in de dienstverlening plaatsvindt. Ook moet het contract waarborgen dat alle data en toepassingen daadwerkelijk kunnen worden overgedragen naar een andere aanbieder.
Om dit mogelijk te maken, moeten de providers hun systemen zo inrichten dat portabiliteit – het verplaatsen van data en toepassingen van de ene aanbieder naar de andere – technisch uitvoerbaar is. Daarbij moet de nieuwe aanbieder een functioneel gelijkwaardige dienst kunnen aanbieden. Dat gaat niet zo ver dat deze de functionaliteit volledig in de eigen systemen moet inbouwen, maar de aanbieder moet wel maatregelen nemen om het overstapproces te vergemakkelijken.
De oneerlijkheidstoets: bescherming van het MKB.
De Data Act beoogt ook micro, kleine en middelgrote ondernemingen te beschermen tegen oneerlijke contractsbepalingen die eenzijdig worden opgelegd door cloud- en hostingproviders. In de praktijk accepteren afnemers vaak standaardvoorwaarden over toegang tot en gebruik van data. Dit gaat zelfs soms zo ver dat zij hun eigen verstrekte gegevens niet verder mogen gebruiken. Hoewel er in beginsel contractsvrijheid geldt tussen ondernemingen onderling, stelt de Data Act daar nu grenzen aan.
Eenzijdig opgelegde voorwaarden die betrekking hebben op datatoegang, datagebruik, aansprakelijkheid of rechtsmiddelen bij dataverplichtingen, worden nu onderworpen aan een oneerlijkheidstoets. Een belangrijke kanttekening is dat het moet gaan om een beding dat eenzijdig is opgelegd. Als er wel degelijk onderhandelingsruimte was, rust de bewijslast op de partij die het beding heeft opgesteld.
De lat voor ‘’oneerlijkheid’’ ligt vrij hoog. Een contractueel beding is oneerlijk als het gebruik ervan sterk afwijkt van goede handelspraktijken en daarmee in strijd is met de goede trouw en eerlijke behandeling. Een commercieel belang behartigen maakt een beding nog niet automatisch oneerlijk! De oneerlijkheidstoets geldt niet voor bepalingen die de kern van de overeenkomst betreffen, zoals welke data concreet worden uitgewisseld en de prijs die daarvoor wordt betaald. Daarnaast blijven andere kaders onverkort van toepassing, zoals de AVG, bescherming van bedrijfsgeheimen en intellectuele eigendomsrechten.
De Data Act maakt daarbij onderscheid tussen een zwarte lijst (altijd oneerlijk) en een grijze lijst (vermoedelijk oneerlijk).
Zwarte lijst: altijd oneerlijk
De Data Act noemt drie typen bedingen die per definitie nietig zijn:
- uitsluiting van aansprakelijkheid voor opzet of grove nalatigheid;
- bepalingen die maken dat de opleggende partij niet aansprakelijk is bij niet-nakoming, terwijl de ander wel zijn rechten verliest;
- het alleenrecht voor één partij om te bepalen of data aan de overeenkomst voldoet of om het contract uit te leggen.
Grijze lijst: vermoedelijk oneerlijk
Daarnaast is er een categorie bepalingen die wordt vermoed oneerlijk te zijn, tenzij de opleggende partij overtuigend tegenbewijs levert. Voorbeelden zijn:
- een ongelijkmatige verdeling van aansprakelijkheid of rechtsmiddelen bij niet-nakoming;
- gebruik van data op een manier die schadelijk is voor de belangen van de andere partij;
- het nagenoeg onmogelijk maken voor de andere partij om eigen data te gebruiken;
- een gebrek aan opzeggingsmogelijkheden binnen redelijke termijn;
- het onthouden van een kopie van de verstrekte of gegenereerde gegevens, tijdens of na de overeenkomst;
- eenzijdige of abrupte opzegging door de opleggende partij zonder zwaarwegende reden;
- eenzijdige wijziging van prijs of essentiële voorwaarden zonder geldige reden of opzegmogelijkheid.
Wat mogen overheden straks wél en niet met uw data doen?
Ook handelingen van overheden worden gereguleerd in de Data Act. Overheden mogen alleen in uitzonderlijke gevallen data opvragen, bijvoorbeeld bij een noodsituatie of wanneer dit noodzakelijk is voor het uitvoeren van hun wettelijke taken in het publieke belang. De wet stelt hierbij duidelijke eisen aan de manier waarop de overheid zulke verzoeken mag doen.
Het dataverzoek moet specifiek, transparant en proportioneel zijn. De overheid mag alleen de data opvragen die strikt noodzakelijk is voor het beoogde doel. Bedrijfsgeheimen en vertrouwelijke informatie moeten te allen tijde worden beschermd. Zodra de data niet meer nodig is, moet het onmiddellijk worden verwijderd, zodat er geen onnodige opslag of gebruik plaatsvindt.
Daarnaast legt de Data Act beperkingen op om herhaaldelijk gebruik door verschillende overheidsinstanties te voorkomen. Dezelfde dataset mag niet meerdere keren door verschillende instanties worden opgevraagd, om administratieve lasten voor bedrijven te verminderen en misbruik van gevoelige gegevens te voorkomen. Op deze manier wordt een balans gevonden tussen het publieke belang en de bescherming van commerciële en vertrouwelijke informatie.
Conclusie: kansen én verplichtingen door de Data Act
Met de Data Act zet de Europese Unie een grote stap richting een eerlijke digitale economie waarin data beter benut kan worden. Voor ondernemers biedt dit kansen, maar ook juridische risico’s. Denk aan het tijdig aanpassen van contracten, het correct inrichten van afspraken over data-uitwisseling en het beperken of voorkomen van (persoonlijke) aansprakelijkheid bij slecht risicobeheer.
The Legal Company ondersteunt ondernemers hierbij vanuit een juridische invalshoek. Wij screenen contracten op risico’s, zorgen dat afspraken over data, overstappen (migratie), opzegging en aansprakelijkheid in lijn zijn met de nieuwe wetgeving en adviseren bestuurders over hun verantwoordelijkheden. Zo bent u voorbereid op de inwerkingtreding van de Data Act en voorkomt u juridische problemen. Neem gerust contact met ons op via info@thelegalcompany.nl of bel naar 020 345 0152.
