De Data Act is vanaf 12 september 2025 van toepassing. De kern van het eerste deel van de wet is het gegevensdelingskader. Dat kader bepaalt wie toegang krijgt tot welke gegevens, onder welke voorwaarden en met welk doel. Belangrijk: die verplichtingen raken niet alleen partijen die gegevens genereren zoals hoe dat bij Internet of Things producten gebeurt.
Afhankelijk van het hoofdstuk van de Data Act kunnen gegevenshouders, gegevensontvangers (derden) en overheidsinstanties onder specifieke regels en verplichtingen vallen. Gebruikers verkrijgen daarentegen met name rechten, zoals toegang tot gegevens en het recht op doorgifte aan derden. Wie die partijen zijn, en waar ze rekening mee moeten houden, leggen we uit in dit blog over het gegevensdelingskader van de Data Act.
Waarom de Data Act er is
Gegevens zaten te vaak op slot bij een paar sterke spelers. Dat remt innovatie, vergroot lock-in en zorgt voor scheve contracten. De Data Act wil dat doorbreken met twee heldere doelen: eerlijke verdeling van de waarde van gegevens én eerlijke toegang tot en gebruik van gegevens.
De verdeling in de Data Act
De Data Act is opgebouwd uit verschillende hoofdstukken, die elk een ander deel van het datalandschap regelen (zie ook artikel 1 lid 2 Data Act).
Hoofdstukken II tot en met V vormen samen het gegevensdelingskader: ze bepalen de rechten en plichten rond gegevens die voortkomen uit verbonden producten en diensten (hoofdstuk II), de regels voor het delen van gegevens tussen ondernemingen en eerlijke contractvoorwaarden (hoofdstukken III en IV), en de mogelijkheid voor overheden om in uitzonderlijke gevallen toegang te krijgen tot gegevens (hoofdstuk V). De latere hoofdstukken (VI tot en met VIII) gaan over dataverwerkingsdiensten, bescherming tegen onrechtmatige toegang door buitenlandse overheden en interoperabiliteit. Zo is de Data Act een breed kader dat zowel technische, economische als juridische aspecten van datagebruik afdekt. In dit blog besteden we geen aandacht aan het laatste gedeelte over dataverwerkingsdiensten.
Hoofdstuk II: verbonden producten en gerelateerde diensten
De Data Act introduceert transparantierechten en -plichten voor ‘verbonden producten’ en ‘gerelateerde diensten’ (later meer over deze termen). Als gebruiker heb je het recht op toegang tot de gegevens die door jouw gebruik ontstaan en het recht die gegevens te delen met een derde van jouw keuze. Daarnaast introduceert de Data Act verplichtingen voor partijen die dergelijke producten en diensten vermarkten.
Initieel vernauwde het gros van de mensen de reikwijdte van de Data Act tot Internet of Things apparaten, maar een verbonden product kan meer zijn dan alleen een slimme koelkast. Een verbonden product is een object dat gegevens kan verzamelen of genereren over het gebruik, de prestaties of de omgeving, en deze gegevens kan communiceren. Denk aan een verbonden koelkast of hardloophorloge, maar ook fietsen of auto’s kunnen verbonden producten zijn als ze gegevens genereren en communiceren. Een gerelateerde dienst is een digitale dienst die gelinkt kan worden aan het gebruik van een verbonden product en die de functionaliteit van het product beïnvloedt (denk aan een app die de helderheid van lichten kan reguleren, of de temperatuur van een koelkast).
Rechten en plichten
De verkoper, verhuurder of leasegever van een verbonden product, of de leverancier van een gerelateerde dienst moet aan informatieverplichtingen voldoen (met uitzondering van micro- of kleine ondernemingen). Vóór het sluiten van een overeenkomst moet duidelijk zijn welke gegevens worden verzameld, waar ze staan, hoe een gebruiker toegang tot de gegevens krijgt, en wat de doeleinden van gegevensgebruik door een (mogelijke, andere) gegevenshouder zijn.
In verbonden producten en gerelateerde diensten moet daarnaast het nieuwe principe toegang by design zijn ingebed. Dat houdt in dat er bij voorkeur directe toegang is voor de gebruiker via het product of de dienst. Kan dat echt niet, dan moet de gegevenshouder de data actief en (zo mogelijk) realtime beschikbaar stellen (denk aan een website waar je gegevens kan downloaden).
De gegevenshouder
Maar wie is de gegevenshouder en waarom is dat relevant? De gegevenshouder is de partij die het recht of de verplichting heeft gegevens te gebruiken en ter beschikking te stellen, zoals bij een verbonden product de fabrikant, of de aanbieder van de gerelateerde dienst.
Aan de gegevenshouder legt de Data Act plichten op ten aanzien van het delen van gegevens en rechten aan de gebruiker. Gebruikers mogen gegevens opvragen bij de gegevenshouder, en hebben het recht de gegevenshouder te verzoeken die gegevens door te sturen naar een derde partij. Zo kan ik bijvoorbeeld Garmin vragen om gegevens over het gebruik van mijn hardloophorloge door te laten sturen naar mijn fysiotherapeut.
Let op: in de praktijk kan het zo zijn dat er meerdere gegevenshouders zijn. Als Betty op vakantie een verbonden auto huurt bij verhuurbedrijf Shiny Wheels, die de auto heeft van autobedrijf Yotoya is de verhouding als volgt. Betty is de gebruiker, en zowel Shiny Wheels als Yotoya zijn gegevenshouders. Als Betty gegevens opvraagt bij Shiny Wheels, verzoekt Shiny Wheels aan Yotoya, bijvoorbeeld via een direct platform aangeboden door Yotoya, of door een verzoek, de gegevens van Betty.
Let op 2.0: wees je ook bewust van het feit dat een gebruiker ook een rechtspersoon kan zijn. De gebruikers die het recht hebben om gegevens op te vragen, kunnen dus ook zakelijke partijen zijn.
Voorwaarden van gegevensdeling
Dat delen gaat onder bepaalde voorwaarden voor de derde partij en de gegevenshouder. Onder meer wordt de derde partij begrensd in het gebruik op basis van de doelen opgesteld door de gebruiker, mag de derde partij geen poortwachter zijn, en mag de derde partij de gegevens niet gebruiken voor profilering.
Er moet dus een driepartijencontract zijn tussen de gegevenshouder(s), gegevensontvangers en de gebruiker om deze afspraken vast te leggen. De Europese Commissie heeft niet-bindende modelcontractvoorwaarden (MTC’s) voor gegevensdelingsovereenkomsten opgesteld om bedrijven te helpen bij het opstellen van passende voorwaarden over bijvoorbeeld redelijke vergoeding en de bescherming van bedrijfsgeheimen.
Figuur 1: illustratie van de Europese Commissie van het driehoekscontract in 'Final Report of the Expert Group on B2B data sharing and cloud computing contracts' van 2 april 2025
Let op: dit hoofdstuk gaat over gegevens die door het gebruik van een product of dienst worden gegenereerd. Maar de Data Act eindigt daar niet.
Hoofdstuk III & IV: het verplicht delen van gegevens tussen ondernemingen (B2B)
Dit hoofdstuk introduceert een gegevensdelingskader in het geval een partij verplicht gegevens moet delen met een andere partij (beide ondernemingen). Dat kan onder de Data Act bij een verzoek van een gebruiker, maar ook op basis van andere nationaalrechtelijke of Europese regels. Delen gebeurt (onder meer) onder de regels opgesteld in de Data Act, denk hierbij aan:
- Delen gebeurt eerlijk, redelijk en niet-discriminerend (fair, reasonable and non discriminatory, “FRAND”-voorwaarden).
- Er mag een vergoeding worden gevraagd; bij mkb/ngo is de vergoeding maximaal kostendekkend.
- De gegevenshouder mag passende technische beschermingsmaatregelen treffen, welke de gegevensontvanger niet mag wijzigen.
- Gebruik geen van de oneerlijke bedingen. De Data Act kent zwarte-lijstbepalingen (altijd ongeldig) en grijze-lijstbepalingen (vermoedelijk oneerlijk) die de angel trekken uit “slikken-of-stikken”-contracten.
Praktisch betekent dit dat juist ook partijen die zélf niets “meten” of “genereren” te maken krijgen met de Data Act: als ontvanger (met strikte gebruiksgrenzen) of als houder die moet delen op basis van een andere verplichting dan de Data Act.
Hoofdstuk V: gegevens delen met de overheid bij uitzonderlijke noodzaak (B2G)
De publieke sector mag gegevens opvragen bij ‘uitzonderlijke noodzaak’ en moet zo’n verzoek motiveren en proportionaliteit aantonen. Oftewel: de instantie moet niet via een andere, gelijkwaardige, weg de (persoons)gegevens zelf kunnen verkrijgen.
Situaties van uitzonderlijke nood omvatten zowel algemene noodsituaties (zoals grote natuurrampen of door de mens veroorzaakte rampen, pandemieën en cyberbeveiligingsincidenten) als niet-noodsituaties (bijvoorbeeld geaggregeerde en geanonimiseerde gegevens van GPS-systemen van bestuurders die kunnen worden gebruikt om verkeersstromen te optimaliseren).
Als er sprake is van een algemene noodsituatie kunnen Europese en nationale entiteiten persoonsgegevens en niet persoonsgebonden gegevens opvragen. Als er geen sprake is van een algemene noodsituatie kunnen instanties in bepaalde situaties (bijvoorbeeld bij het vervullen van een specifieke taak van algemeen belang, zoals het opstellen van officiële statistieken) niet-persoonsgebonden gegevens verzoeken.
Wat moet je nu regelen
Is jouw product verbonden of bied je een gerelateerde dienst aan? Zo ja, dan zijn er verschillende verplichtingen op het gebied van transparantie waar je aan moet voldoen en kan je je voorbereiden op drieluikscontracten met derde partijen en je gebruiker. Daarbij is het ook relevant om te kijken naar de afweging ten opzichte van persoonsgegevensbescherming (onder meer de Algemene verordening gegevensbescherming): wat mag ik delen, en op basis waarvan? Denk aan:
- Toegang-by-design: organiseer directe toegang of een solide mechanisme voor tijdige verstrekking.
- Heb inzicht in je gegevens: weet welke gegevens waar staan, welke gegevens je zou moeten aanleveren en hoe je die kan opvragen.
- Stel je voorwaarden voor gegevensdeling op (FRAND): denk aan standaardvoorwaarden, prijsmodel (kostendragers uitsplitsen), regelingen t.a.v. bedrijfsgeheimen, beveiligings- en audit-clausules, en duidelijke gebruiksdoelen voor ontvangers. Let hierbij op de zwarte/grijze-lijstbedingen.
- Bereid een rechtmatigheidsanalyse voor: wat is de grondslag voor gegevensdeling en welke waarborgen zijn ingeregeld?
Bied je geen verbonden product of gerelateerde dienst aan? Dan ga je na welke B2B en B2G-delingsscenario’s (hoofdstuk III) relevant kunnen zijn voor jouw organisatie, en hoe je zal reageren op een verzoek tot gegevens en welke gegevens je onder welke voorwaarden (denk aan bedrijfsgeheimen, beveiligingsbeleid) wil en kan delen, of ontvangen.
- Maak een B2G-verzoekprocedure: wie beoordeelt, hoe motiveer je, wat log je, hoe anonimiseer je?
- Bereid je voor als gegevensontvanger: als een gebruiker verzoek doet om gegevens bij een gegevenshouder, en jouw organisatie moet dat verwerken voor doel X, hoe ga je daarmee om?
Resumerend
De Data Act draait om eerlijk delen, niet alleen door makers van slimme producten, maar net zo goed door partijen die gegevens moeten delen of mogen ontvangen onder duidelijke spelregels. Als je een verbonden product aanbiedt of gerelateerde dienst, moet je nu al aan de verplichtingen voldoen. Andere organisaties doen er slim aan om zich voor te bereiden op gegevensverzoeken. Dit ook in het kader van de rest van de ambitie van de EU om het kader voor vrij verkeer van gegevens beter in te regelen.
Richt nu je processen, contracten en techniek zo in dat je per hoofdstuk weet: ben ik houder, gebruiker, ontvanger of overheidspartner, en wat moet ik dan doen?
Heb je hier hulp bij nodig? Neem dan contact met ons op!
