IT-leveranciers opgelet: de Data Act is van kracht

Ten grondslag aan de nieuwe wet ligt de overtuiging dat het concurrentievermogen en de slagkracht van de Europese economie wordt vergroot wanneer gegevens van hoogwaardige kwaliteit zijn, gemakkelijk uitgewisseld kunnen worden en wanneer de toegang tot gegevens niet gemonopoliseerd kan worden. De Data Act beoogt daarom “belemmeringen voor het delen van gegevens” weg te nemen. De wet schetst een algemeen regelgevend kader voor de toegang tot en het gebruik van bepaalde categorieën van gegevens, met als overkoepelend doel het bevorderen van het concurrentie- en innovatievermogen van Europese ondernemingen.

Elementen in de Data Act zijn duidelijk ontleend aan de AVG, zoals regels over overdraagbaarheid van gegevens en internationale doorgifte. De uitgangspunten van de twee wetten zijn echter zeer verschillend. Bij de AVG ligt het accent op het garanderen van een hoge mate van bescherming van persoonsgegevens en dus op het stellen van beperkingen aan het gebruik van data. De Data Act daarentegen beoogt de waarde van data te maximaliseren juist door het delen van data te stimuleren.

Waar de AVG alleen van toepassing is op persoonsgegevens, is de Data Act van toepassing op alle soorten data, ongeacht of de data betrekking hebben op een persoon. In de Data Act is echter expliciet opgenomen dat de Data Act de toepasselijkheid van de AVG onverlet laat en dat bij strijd tussen de twee rechtsregimes, de AVG voorgaat. Voor de verwerking van persoonsgegevens blijft de AVG dus leidend. In de praktijk zal de Data Act dus vooral van toepassing zijn op niet-persoonsgebonden gegevens.

De wet bevat verplichtingen van uiteenlopende aard die op verschillende marktdeelnemers van toepassing zijn. De belangrijkste zal ik hier kort noemen:

1. Toegang tot en overdraagbaarheid van IoT-gegevens. De verordening beoogt afnemers van IoT-apparaten en gerelateerde diensten (zowel in een B2B als B2C verhouding) een sterkere rechtspositie ten aanzien van gegenereerde data te geven, zodat zij voor bijvoorbeeld onderhoud van IoT-apparatuur niet meer afhankelijk zijn van de fabrikant van het apparaat. De Data Act bevat daartoe regels over hoe fabrikanten hun producten moeten ontwerpen en geeft gebruikers recht op gemakkelijke en kosteloze toegang tot deze gegevens. Gebruikers krijgen ook het recht om die gegevens over te laten dragen aan derden (voortbouwend op het recht van overdraagbaarheid van persoonsgegevens zoals opgenomen in artikel 20 van de AVG).

2. Oneerlijke contractuele bedingen. Wanneer een onderneming verplicht is om gegevens beschikbaar te stellen aan een andere onderneming, dan mogen hierover afspraken worden gemaakt, maar dit mag niet leiden tot het eenzijdig opleggen van oneerlijke contractuele bedingen. Zulke bedingen zijn niet-verbindend. Binnen zekere grenzen mag een vergoeding in rekening worden gebracht en mag gebruik worden gemaakt van technische maatregelen, zoals encryptie, om bepaalde gegevens af te schermen.

3. Gegevens beschikbaar stellen aan overheidsinstanties. In uitzonderlijke omstandigheden, zoals bij rampen, is een gegevenshouder verplicht gegevens beschikbaar te stellen aan overheidsinstanties, de Commissie, de Europese Centrale Bank of een orgaan van de Unie.

4. Overstappen naar een andere clouddienst. Op aanbieders van clouddiensten worden vergaande verplichtingen gelegd om het mogelijk te maken dat afnemers kunnen overstappen naar andere aanbieders van soortgelijke diensten of naar een on-premise ICT-infrastructuur. De klant heeft recht op bijstand en ondersteuning in het overstapproces en rechten en verplichtingen ter zake moeten schriftelijk worden vastgelegd. Vanaf 12 januari 2027 mogen clouddienstverleners hun klanten zelfs in het geheel geen overstapkosten meer in rekening brengen bij een exit.

5. Internationale doorgifte. Voortbouwend op verplichtingen over internationale doorgifte van persoonsgegevens in de AVG, bevat de Data Act strikte regels voor de doorgifte van niet-persoonsgebonden gegevens aan landen buiten de EU, in het bijzonder ten aanzien van informatieverzoeken van buitenlandse autoriteiten.

6. Interoperabiliteit. Deelnemers aan dataruimten en clouddienstverleners moeten voldoen aan eisen inzake interoperabiliteit van gegevens en clouddiensten.

Om de naleving en handhaving van de Data Act te garanderen, zijn de EU-lidstaten verplicht een of meer bevoegde toezichthoudende autoriteiten aan te wijzen. Voorts zijn de lidstaten verplicht voorschriften vast te stellen ten aanzien van sancties voor overtredingen van de Data Act. Hierbij moet rekening worden gehouden met verschillende factoren, waaronder de ernst van de inbreuk en de jaaromzet van de overtreder. Sancties moeten doeltreffend, evenredig en afschrikkend zijn.

Met ingang van 12 september 2025 moeten marktdeelnemers voldoen aan de nieuwe wet. IT-leveranciers hebben dus nog even de tijd om hun contracten, processen en ontwerpen aan te passen aan de nieuwe verplichtingen. Vooral IT-leveranciers die zich bezig houden met IoT en aanbieders van clouddiensten moeten de gevolgen van de Data Act echter niet onderschatten. Zij zullen de implementatietermijn naar verwachting nog hard nodig hebben.

Voor vragen over de Data Act neemt u contact op met Jeroen van Helden, Advocaat IT, Privacy & Cybersecurity.