Sinds de invoering van de Algemene verordening gegevensbescherming, geldt Europa wereldwijd als koploper op het gebied van gegevensbescherming. Burgers kregen nieuwe rechten, organisaties kregen nieuwe plichten en toezichthouders kregen tanden. Inmiddels is de AVG stevig ingeburgerd in de praktijk. Deze verordening heeft geleid tot meer bewustwording rondom persoonsgegevens: deze kunnen niet zomaar vrijelijk worden geëxploiteerd.
Toch staat de hedendaagse datagedreven samenleving niet stil. Slimme apparaten, kunstmatige intelligentie en de explosieve groei van het Internet of Things brengen nieuwe uitdagingen en kansen. Waar de AVG gericht is op bescherming van persoonsgegevens, vraagt de huidige praktijk om regelgeving die ook de benutting van data reguleert. Daarom introduceerde de Europese Unie in 2023 de Data Act, die vanaf 12 september 2025 handhaafbaar is. Deze wet is niet ontworpen als vervanger van de AVG, maar als aanvulling daarop.
De vraag die voor organisaties centraal staat, is hoe deze twee wetten zich tot elkaar verhouden. Op welke punten vullen de wetten elkaar aan en waar ontstaan er wrijvingen?
Wat reguleren de AVG en de Data Act?
De AVG gaat over persoonsgegevens. Dat zijn alle gegevens die direct of indirect te herleiden zijn tot een natuurlijk persoon. De kern van de wet bestaat uit het beschermen van het fundamentele recht van burgers op gegevensbescherming. Voor organisaties betekent dit bijvoorbeeld dat zij zorgvuldig moeten omgaan met persoonsgegevens, transparant moeten zijn over de manier waarop ze die gegevens gebruiken en dat zij altijd een rechtmatige grondslag moeten hebben voor de verwerking. Voor burgers vertaalt de AVG zich in rechten als inzage, rectificatie, wissing, dataportabiliteit en het recht om bezwaar te maken. De AVG wordt in Nederland gehandhaafd door de Autoriteit Persoonsgegevens, die bij overtredingen forse boetes kan opleggen.
De Data Act kent een andere invalshoek. Deze wet is niet beperkt tot persoonsgegevens, maar ziet op alle data die voortkomt uit het gebruik van bepaalde producten en digitale diensten. Denk daarbij aan de enorme hoeveelheid informatie die slimme apparaten genereren: van slimme auto’s en huishoudelijke apparaten tot industriële machines en landbouwvoertuigen. De Data Act verplicht fabrikanten en aanbieders om gebruikers en derden toegang te geven tot deze data, onder eerlijke, transparante en niet-discriminerende voorwaarden. Het doel is om de machtsconcentratie bij enkele grote techbedrijven te doorbreken, innovatie te bevorderen en de digitale positie van Europa te versterken.
Gelijkenissen: dezelfde waarden, maar een ander vertrekpunt
De AVG en de Data Act beogen beiden om de positie van burgers en organisaties te versterken ten opzichte van Big Tech. De AVG doet dat door burgers te beschermen, terwijl de Data Act beoogt gebruikers toegang te geven tot waardevolle datasets. Samen versterken ze de positie van individuen in een steeds verder digitaliserende wereld.
Een gelijkenis tussen beide verordeningen is de mate van controle die zij gebruikers geven over data. In de AVG vertaalt dit zich in individuele rechten, zoals het recht op inzage en dataportabiliteit: een betrokkene kan opvragen welke persoonsgegevens worden verwerkt, met welk doel en met wie deze worden gedeeld. Ook kan de betrokkene vragen om deze persoonsgegevens over te dragen aan een andere organisatie. De Data Act werkt met een vergelijkbaar concept door gebruikers van apparaten inzage te geven in de data die hun apparaat genereert, maar ook de mogelijkheid te bieden deze data beschikbaar te stellen aan derden, bijvoorbeeld om onderhoud te laten uitvoeren of nieuwe diensten te gebruiken. Waar de AVG vooral draait om persoonlijke controle en bescherming van het individuele recht op gegevensbescherming, richt de Data Act zich op het vergroten van de economische herbruikbaarheid van data en het stimuleren van innovatie.
Verschillen: waar lopen de lijnen uiteen?
Ondanks enkele overeenkomsten zijn er fundamentele verschillen die organisaties niet uit het oog mogen verliezen. Het meest in het oog springende verschil is de scope van de verordeningen. De AVG richt zich uitsluitend op persoonsgegevens, terwijl de Data Act zicht uitstrekt tot alle data die door apparaten en diensten wordt gegenereerd. Een slimme auto kan dat goed illustreren. De locatiegegevens van de bestuurder vallen onder zowel de Data Act als de AVG (wanneer zij betrekking hebben op een identificeerbare natuurlijke persoon), maar de motorgegevens of de informatie over het brandstofverbruik behoren slechts tot het domein van de Data Act.
Ook de doelstellingen lopen uiteen. Waar de AVG primair gericht is op de bescherming van de fundamentele rechten en vrijheden van individuen, is de Data Act bedoeld om de data-economie te stimuleren en innovatie mogelijk te maken. De insteek komt dus voornamelijk neer op beschermen versus benutten.
Daarnaast verschillen de adressanten van de wetten. De AVG spreekt verwerkingsverantwoordelijken en verwerkers aan. De Data Act legt verplichtingen op aan fabrikanten van apparaten, aanbieders van digitale diensten, datahouders en eindgebruikers. Dat betekent dat ook organisaties die voorheen niet of nauwelijks met de AVG te maken hadden, nu onder de Data Act nieuwe verantwoordelijkheden krijgen.
Het grootste spanningsveld van deze kwestie ligt in het volgende: organisaties moeten persoonsgegevens beschermen en datalekken voorkomen, maar tegelijkertijd data beschikbaar stellen voor hergebruik. In de praktijk betekent dit dat dezelfde dataset onder twee regimes kan vallen. Wanneer persoonsgegevens en niet-persoonsgegevens onlosmakelijk met elkaar zijn verweven, moeten organisaties zorgvuldig bepalen wat wel en niet gedeeld mag worden. Dit vraagt om een stukje zelfkennis van de organisatie en nieuwe processen en kaders die aan beide verordeningen kunnen voldoen.
Betekenis voor een organisatie
Databeleid is belangrijker dan ooit. Organisaties zullen dat beleid moeten verbreden naar een geïntegreerde aanpak waarin zowel bescherming als benutting van data een plek heeft. Op basis van dataclassificatie kunnen processen worden ingericht om data gecontroleerd te delen. Ook contractbeheer moet opnieuw onder de loep worden genomen om te zorgen dat afspraken over data-eigendom, gebruik en toegang transparant en niet-discriminerend zijn. Organisaties die deze slag nu maken, kunnen niet alleen juridische risico’s beperken, maar ook kansen benutten. Data die vroeger werd gezien als iets wat je vooral moest beschermen, kan nu, mits zorgvuldig, een bron van innovatie en concurrentievoordeel worden. De komst van de Data Act is daarmee niet alleen een compliancevraagstuk, maar ook een strategische kans voor organisaties om hun datagedreven ambities te vervullen.
Niet zeker of jouw organisatie volledig voldoet aan de AVG? Wij bieden je een handige checklist waarmee je zelf aan de slag kunt gaan om privacy binnen jouw organisatie te waarborgen.
