De Europese Data Act treedt op 12 september 2025 in werking. Deze verordening heeft belangrijke gevolgen voor bedrijven die binnen de Europese Unie een Internet of Things (IoT)-oplossing aanbieden of clouddiensten leveren, zoals SaaS-, PaaS-, of IaaS-diensten. Een belangrijk gevolg is dat deze bedrijven hun voorwaarden tegen het licht moeten houden, met name ten aanzien van bepalingen over data. De Data Act verbiedt namelijk bepaalde voorwaarden en verplicht tegelijkertijd dat andere voorwaarden juist expliciet worden opgenomen.
Hoewel de ingangsdatum nadert, merken wij in de praktijk dat veel partijen nog onvoldoende inzicht hebben in de impact van deze verordening. Het is dan ook raadzaam voor deze bedrijven om op korte termijn te inventariseren welke verplichtingen er gelden en of hun voorwaarden daar nog wel mee in overeenstemming zijn. In deze blog zetten we de belangrijkste aandachtspunten met betrekking tot contractvoorwaarden onder de Data Act op een rij.
De Data Act introduceert allereerst een verbod op oneerlijke, eenzijdig opgelegde contractvoorwaardenin de zakelijke context.
Dergelijke beschermingsmechanismen kennen we binnen het Europese recht al langer bij consumentencontracten. Omdat consumenten doorgaans niet over de kennis, onderhandelingsmacht of middelen beschikken om bij het aangaan van een overeenkomst invloed uit te oefenen op de contractvoorwaarden, biedt het Europese recht hen bescherming via onder meer de Richtlijn oneerlijke bedingen. De Europese wetgever heeft in dat kader verschillende lijsten opgesteld van bedingen die (vermoedelijk) oneerlijk zijn. Als een beding oneerlijk is, is het nietig of kan het worden vernietigd zodat de gebruiker zich er niet langer op kan beroepen.
Hoewel dit beschermingsmechanisme in het consumentenrecht al lange tijd bestaat, geldt in de zakelijke context een grotere contractsvrijheid. De gedachte daarachter is dat professionele partijen voldoende deskundig en toegerust zijn om hun eigen belangen te behartigen. In de praktijk blijkt echter dat deze veronderstelling in het digitale tijdperk niet altijd meer opgaat.
Een bedrijf dat zijn website wil hosten via een hyperscaler als AWS of Azure, kan niet met Amazon of Microsoft onderhandelen over de voorwaarden. Deze partijen hebben een zodanig sterke marktpositie dat er geen enkele prikkel bestaat om met klanten te onderhandelen – het is een kwestie van take it or leave it. Juist vanwege dit soort machtsongelijkheid en het gebrek aan onderhandelingsruimte bij veel digitale diensten, vond de Europese wetgever het op zijn plaats om ook in het B2B-domein een vergelijkbaar beschermingsmechanisme te introduceren.
Om de bescherming in het B2B-domein voor elkaar te krijgen, verbiedt de Data Act expliciet eenzijdig opgelegde ‘oneerlijke’ bedingen en bepaalt daarover dat deze dan ‘niet-bindend’ zijn. De oneerlijkheidstoets ziet niet alleen op bepalingen over toegang tot en gebruik van gegevens, maar ook op bepalingen over aansprakelijkheid en de rechtsmiddelen die beschikbaar zijn bij schending of beëindiging van dergelijke afspraken.
Een beding wordt volgens de Data Act als ‘oneerlijk’ beschouwd als het gebruik ervan sterk afwijkt van ‘goede handelspraktijken’ en in strijd is met de goede trouw en eerlijke behandeling. Dit is dus een open norm die als algemene maatstaf geldt.
Naast de open norm (de onredelijkheidstoets), bevat de Data Act een lijst met bedingen die altijd als oneerlijk worden aangemerkt en een lijst met bedingen die vermoedelijk oneerlijk zijn - vergelijkbaar met de zwarte en grijze lijst uit de Richtlijn oneerlijke bedingen. Hieronder geven we enkele voorbeelden ter illustratie. Voor de leesbaarheid spreken we steeds over een ‘leverancier’ die voorwaarden hanteert tegenover een ‘klant’, maar in de praktijk hoeft er niet altijd sprake te zijn van een klassieke klant-leveranciersrelatie.
Voorbeelden van bedingen die volgens de Data Act altijd oneerlijk zijn:
Voorbeelden van bedingen die volgens de Data Act vermoedelijk oneerlijk zijn:
De redelijkheidstoets geldt alleen voor bedingen die eenzijdig zijn opgelegd, zonder dat er ruimte was om over dat beding te onderhandelen. De bewijslast ligt bij de partij die het beding heeft gebruikt. Deze partij moet bewijzen dat het niet eenzijdig is opgelegd (en niet onredelijk, mocht het beding voorkomen op de ‘grijze’ lijst). 
Eén van de centrale problemen die de Data Act probeert aan te pakken, is het fenomeen van vendor lock-in. In de praktijk hanteren aanbieders van clouddiensten en IoT-oplossingen regelmatig contractvoorwaarden die het voor de klant lastig maken om over te stappen naar een andere leverancier. Denk aan lange opzegtermijnen, of voorwaarden op grond waarvan de klant een (hoge) vergoeding moet betalen om zijn data terug te krijgen. Om dit soort overstapdrempels weg te nemen, bevat de Data Act verschillende verbodsbepalingen die specifiek gericht zijn op het voorkomen ’van vendor lock-in. Zie onder meer:
Artikel |
Inhoud |
Verband met vendor lock-in |
Artikel 13 lid 5 (c) |
Verbod op beding dat gebruik of toegang tot data verhindert of ernstig beperkt |
Maakt gebruik in combinatie met andere producten/diensten lastiger |
Artikel 13 lid 5 (d) |
Verbod op beding dat de partij belet om binnen een redelijke termijn op te zeggen |
Maakt overstappen naar een andere leverancier onaantrekkelijk |
Artikel 13 lid 5 (e) |
Verbod op beding dat voorkomt dat de klant bij einde overeenkomst een kopie van zijn data krijgt |
Bemoeilijkt het overstappen naar een andere leverancier (of maakt dit zelfs onmogelijk) |
Artikel 13 lid 5 (f) |
Verbod op beding waarmee de leverancier eenzijdig binnen een onredelijk korte termijn kan opzeggen (zonder redelijke overstapmogelijkheid) |
Belemmert stabiele afname van diensten en ondermijnt planning van een overstap. |
Artikel 13 lid 5 (g) |
Verbod op eenzijdige wijziging van prijs of voorwaarden zonder opzeggingsmogelijkheid |
Schept onwenselijke afhankelijkheidsrelatie ten opzichte van leverancier |
Met dit soort verboden wil de Europese wetgever bewerkstelligen dat het makkelijker wordt om data mee te nemen naar een andere dienst, zonder onevenredige kosten en zonder dat daarbij data verloren gaat (met alle gevolgen van dien).
De Data Act bevat niet alleen verboden contractsbepalingen. Op grond van artikel 25 van de Data Act zijn aanbieders van dataverwerkingsdiensten juist ook verplicht om duidelijke en schriftelijke afspraken te maken over de procedure die geldt als een klant wil overstappen naar een andere leverancier.
Deze contractuele exit-regeling moet aan verschillende eisen voldoen. De Data Act eist bijvoorbeeld dat een overstap binnen 30 dagen mogelijk moet zijn, dat de leverancier daaraan alle benodigde medewerking verleent, en dat hij daarbij de bedrijfscontinuïteit van zijn klant in het oog houdt. Dit soort procedurele aspecten moeten verplicht in het contract worden meegenomen.
De Data Act heeft belangrijke gevolgen voor uiteenlopende ICT-dienstverleners. Nieuwe contracten vanaf 12 september 2025 moeten direct voldoen aan de inhoudelijke eisen. Voor bestaande contracten gelden overgangstermijnen afhankelijk van duur en einddatum.
Worden er met een (IoT)-product of (online) dienst gegevens verzamelt of verwerkt, dan doet de aanbieder er verstandig aan om zijn algemene voorwaarden op korte termijn tegen het licht te houden. Mogelijk zijn bepaalde afspraken niet meer houdbaar, of moeten er juist verplicht nieuwe zaken in de voorwaarden worden opgenomen.
Hulp nodig? Ons team van deskundige juristen staat klaar om contracten op te stellen of te reviewen die niet alleen voldoen aan alle wettelijke eisen, maar ook afgestemd zijn op de specifieke behoeften van jouw organisatie. Neem contact met ons op, om de mogelijkheden te bespreken.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.