Dagelijks gebruiken we allerlei digitale toepassingen, zoals slimme thermostaten, gezondheidsapps en navigatiesystemen. Bij het gebruik van deze toepassingen voeden wij hun leveranciers bijna onophoudelijk met data. Voor de gebruiker voelt dit vaak als vooruitgang: apps en apparaten worden steeds slimmer en laten ons dagelijks leven soepeler verlopen. Maar achter die gebruiksvriendelijkheid schuilt een groeiende afhankelijkheid van een paar grote spelers.
Daar kleven ook nadelen aan, zoals een groeiende afhankelijkheid van een paar dominante spelers die onze data beheersen en die het overstappen naar concurrenten bemoeilijken. De Europese Unie (“EU”) voorzag dit probleem en biedt als oplossing de Data Act. Deze verordening treedt per 12 september 2025 in werking. Vanaf dat moment moeten partijen hun contracten aanpassen aan de nieuwe verplichtingen. In deze bijdrage wordt ingegaan op de rol van modelcontractsbepalingen, die een belangrijke rol spelen bij het eerlijk en transparant regelen van datadeling tussen bedrijven en gebruikers.
In het kort: wat is de Data Act?
De Data Act heeft tot doel om de toegang tot en het gebruik van data binnen de EU te bevorderen. De Data Act biedt duidelijke regels over wie data mag gebruiken en onder welke voorwaarden. Dat doet deze verordening bijvoorbeeld door bepaalde als ‘oneerlijk’ gekwalificeerde bedingen te verbieden en een exit-regeling te verplichten.[1]
Voor wie geldt de Data Act?
Het toepassingsbereik van de Data Act is breed en geldt onder meer voor:
- fabrikanten en leveranciers van Internet of Things-apparaten (zoals slimme meters);
- aanbieders van daaraan gerelateerde diensten (denk aan een app die correspondeert met de slimme meter); en
- aanbieders van dataverwerkingsdiensten (zoals cloudproviders, SaaS-diensten en data-analyseplatform).
Dataverwerkingsdiensten moeten bovendien vanaf 12 januari 2027 een kosteloze exit-regeling opnemen in hun contracten en algemene voorwaarden en gebruikers uitgebreid informeren over hun rechten.
Wat zijn de gevolgen van de Data Act?
De Data Act maakt ingrijpende veranderingen noodzakelijk. De Data Act is binnenkort direct van toepassing, terwijl veel bedrijven hun contracten niet of onvoldoende hebben aangepast aan het nieuwe stelsel. Contracten moeten daarom worden herzien om te voldoen aan de nieuwe regels rond datadeling en exit-regelingen. Om bedrijven hierbij houvast te bieden, heeft de Europese Commissie modelcontractsbepalingen opgesteld die uitgaan van vier scenario’s.
Modelcontractsbepalingen
De modelcontractsbepalingen van de Europese Commissie zijn toepasbaar in business-to-business-situaties waarin sprake is van data sharing of cloud computing contracts. Denk bij data sharing aan een fabrikant die data deelt met de gebruiker van een slim apparaat, en bij cloud computing contracts aan afspraken tussen bedrijven en hun clouddienstverlener over opslag en verwerking van data. De modelcontractsbepalingen zijn een praktisch hulpmiddel voor het opstellen van evenwichtige contracten. De Data Act-clausules zijn nadrukkelijk niet-bindend. Het is dus niet verplicht om de modelcontractsbepalingen integraal over te nemen. Elke organisatie kan haar eigen draai geven aan de modelcontractsbepalingen, zolang daarmee de verplichtingen uit de Data Act worden gerespecteerd. Wie te ver afwijkt, loopt het risico dat afspraken als ‘oneerlijk’ of ‘onevenwichtig’ worden aangemerkt en een rechter de voorwaarden vernietigt.
Vier scenario’s
Er bestaan modelcontractsbepalingen voor 4 situaties:
- De datahouder deelt data met een gebruiker. Denk aan een autofabrikant die rijgegevens van een slimme auto beschikbaar stelt aan de eigenaar van die auto voor onderhouds- of analysedoeleinden.
- De gebruiker deelt data met derde ontvanger. Bijvoorbeeld de eigenaar van die auto vraagt dat de data wordt gedeeld met een bedrijf dat reisbewegingen analyseert.
- De datahouder deelt data met derde ontvanger. Dit kan de situatie zijn waarin een fabrikant van de auto op verzoek van de eigenaar van de auto data deelt met een analysebedrijf.
- Vrijwillige datadeling door de datahouder. Een voorbeeld hiervan is de autofabrikant die op eigen initiatief geanonimiseerde gegevens deelt met een onderzoeksinstelling.
Inhoud van de modelcontractsbepalingen
De modelcontractsbepalingen vertalen de verplichtingen van de Data Act naar concrete bepalingen. Het gaat daarbij onder andere om de volgende verplichtingen:
- Toegang en gebruik tot data (artikel 4 Data Act).
- Reële vergoeding voor overdracht (artikel 9 Data Act).
- Gebruik enkel voor afgesproken doel + bescherming bedrijfsgeheimen (art. 19)
- De AVG blijft gelden: er is dus een geldige grondslag vereist (art. 1 lid 5 en 5 Data Act): in de praktijk zal het daarbij doorgaans gaan om een gerechtvaardigd belang als grondslag.
Door de modelcontractsbepalingen op te nemen in hun voorwaarden, weten partijen hoe zij data moeten delen, beschermen en gebruiken binnen de kaders van de Data Act.
Conclusie
De Data Act markeert een belangrijk kantelpunt in de Europese datastrategie. Waar data jarenlang vooral in handen was van enkele grote spelers, legt de wet nu duidelijke rechten en plichten neer voor iedereen die data genereert, gebruikt of verwerkt. Dat raakt uiteenlopende partijen: van fabrikanten van slimme apparaten tot clouddienstverleners en bedrijven die daarvan afhankelijk zijn. Eén ding is in elk geval zeker: in de toekomst zal de regie van data niet meer enkel bij enkele grote spelers liggen.
De modelcontractsbepalingen bieden daarbij een nuttige kapstok – niet verplicht, maar wél richtinggevend. Wie contracten tijdig aanpast en de modelcontractsbepalingen benut, maakt de overgang soepel. Wie wacht, loopt het risico dat bestaande afspraken straks niet meer houdbaar zijn.
Wij kunnen jou helpen bij het opstellen en reviewen van contracten. Neem contact met ons op, om de mogelijkheden te bespreken.
Neem contact met ons op
[1] Voor een uitgebreidere behandeling verwijs ik naar het artikel van mijn collega.
