Delegated Act DSA: nieuwe spelregels voor datatoegang

    - - / 10 November 2025

    Begin juli 2025 heeft de Europese Commissie de Delegated Act on Data Access vastgesteld.[1] Deze gedelegeerde handeling werkt artikel 40 van de Digital Services Act (DSA) verder uit en beschrijft hoe onderzoekers onder strikte voorwaarden toegang krijgen tot data van de grootste online platforms en zoekmachines.

    Sinds 29 oktober 2025 zijn de eerste onderdelen van deze regeling daadwerkelijk in werking getreden. Onderzoekers kunnen nu een verzoek indienen, het goedkeuringsproces is gestart en platforms moeten concrete stappen zetten om datatoegang mogelijk te maken.

    Maar wat betekent dit nou in de praktijk, en onder welke voorwaarden krijgen onderzoekers die toegang precies?

    In dit blog licht ik toe wat deze ontwikkeling inhoudt en waarom dit niet alleen relevant is voor platforms, maar ook voor organisaties die daarmee samenwerken.

    Wat regelt artikel 40 DSA?

    Artikel 40 van de DSA geeft toezichthouders én onderzoekers mogelijkheden om inzicht te krijgen in hoe grote online platforms en zoekmachines functioneren. Toezichthouders, zoals de Digital Services Coordinator (DSC) of de Europese Commissie, mogen data opvragen die nodig is om naleving van de DSA te beoordelen. Platforms moeten daarbij ook uitleg geven over de werking en logica van hun algoritmen.

    Voor onderzoekers geldt echter een strenger regime. Alleen de door de DSC goedgekeurde vetted researchers kunnen, via een gemotiveerd verzoek toegang krijgen tot data die nodig is om systemische risico’s te onderzoeken. Platforms mogen een verzoek alleen afwijzen als zij de data niet hebben of als toegang tot ernstige beveiligings- of vertrouwelijkheidsrisico’s zou leiden.

    De Delegated Act vult deze verplichtingen verder in en maakt concreet onder welke voorwaarden platforms data moeten delen, welke waarborgen er gelden, en welke procedures onderzoekers en toezichthouders moeten volgen.

    Wie mag er platformdata opvragen?

    Datatoegang is helaas niet voor iedereen beschikbaar. Zoals al kort genoemd in het kopje hierboven werkt artikel 40 DSA met het concept van vetted researchers. Dit zijn onderzoekers die eerst moeten worden goedgekeurd. Pas daarna kan er een dataverzoek worden ingediend.

    Een onderzoeker krijgt deze status alleen als hij of zij voldoet aan alle voorwaarden. Dat houdt in dat de onderzoeker:

    • is verbonden aan een erkende onderzoeksorganisatie;
    • onafhankelijk is van commerciële belangen;
    • transparant is over de financiering van het onderzoek;
    • passende beveiligingsmaatregelen heeft ingericht;
    • een onderzoeksdoel heeft dat noodzakelijk, proportioneel én gericht is op het begrijpen van systematische risico’s;
    • toezegt de resultaten openbaar te maken binnen een redelijke termijn.[2]

    De combinatie van deze strikte toelatingseisen voor onderzoekers en beperkte weigeringsgronden van platforms maakt datatoegang mogelijk, maar wel binnen een duidelijk en gecontroleerd kader.

    Wat moeten platforms concreet doen?

    De verplichtingen gelden alleen voor zeer grote online platforms (ookwel VLOPs) en zeer grote online zoekmachines (VLOSEs). Dit zijn diensten die meer dan 45 miljoen maandelijkse gebruikers in de EU hebben.[3] Denk hierbij aan platforms zoals Google Search, Instagram, TikTok, X en Youtube. Vanwege hun omvang en maatschappelijke impact vallen zij onder de zwaarste transparantie- en datatoegangsverplichtingen.

    Sinds eind oktober 2025 moeten deze platforms een aantal concrete stappen zetten om datatoegang zo veilig en gecontroleerd mogelijk te maken. Zij moeten:

    • toegang geven tot data op verzoek van de DSC of Commissie;
    • een DSA-datacatalogus publiceren met informatie over datasets die beschikbaar kunnen worden gesteld aan onderzoekers;
    • geschikte en beveiligde toegangskanalen aanbieden;
    • logging en documentatie bijhouden van alle verstrekte toegangen;
    • de DSC informeren over verleende en afgewezen verzoeken en de redenen daarvoor;
    • real-time toegang geven tot openbaar beschikbare data, voor zover dit technisch mogelijk is.[4]

    Deze verplichtingen vragen om nieuwe processen, technische maatregelen en duidelijke verantwoordelijkheden. Niet alleen platforms, maar ook organisaties die diensten leveren aan deze platforms of gebruikmaken van hun data kunnen hier indirect mee te maken krijgen.

    Waarom dit ook relevant is voor andere organisaties

    Ondanks dat de verplichtingen alleen gelden voor VLOPs en VLOSEs, raakt dit in de praktijk veel meer partijen. Organisaties die data leveren aan platforms, gebruikmaken van platform-API’s of afhankelijk zijn van platformdata, kunnen indirect met datatoegangsverzoeken of strengere beveiligingseisen te maken krijgen.

    Omdat veel organisaties afhankelijk zijn van platformdiensten, kunnen wijzigingen in platformprocessen en datastromen directe gevolgen hebben voor hun eigen compliance- en governance structuur. Daarom is het belangrijk om goed te bepalen welke rol jouw organisatie in de keten heeft.

    Wat kun je als organisatie nu al doen?

    Hoewel de praktische uitwerking van de Delegated Act de komende periode verder vorm krijgt, kunnen organisaties zich nu al voorbereiden.

    De belangrijkste stappen zijn:

    1. Breng datastromen in kaart

    Welke data loopt er tussen jouw organisatie en grote platforms? Welke systemen zijn daarbij betrokken?

    1. Controleer contracten en verwerkersovereenkomsten

    Sluiten afspraken met platforms en andere ketenpartners aan op de nieuwe transparantie- en beveiligingseisen?

    1. Creëer bewustwording

    Teams die met data of platformdiensten werken (zoals marketing, IT en security) moeten weten dat deze verplichtingen gelden.

    Conclusie: zicht houden op een snel veranderend speelveld

    Met de Delegated Act en de inwerkingtreding wordt datatoegang onder artikel 40 van de DSA voor het eerst concreet uitvoerbaar. Onderzoekers kunnen vanaf nu officiële verzoeken indienen en platforms moeten een werkende toegangsomgeving en duidelijk proces inrichten.

    Omdat veel organisaties direct of indirect afhankelijk zijn van platformdata, is dit het moment om te bekijken welke data er wordt gedeeld, onder welke voorwaarden en of dit past binnen privacy- en beveiligingsverplichtingen.

    Wil je breder inzicht in andere DSA-verplichtingen, zoals de gevolgen voor algemene voorwaarden? Kijk dan ook naar ons eerdere blog.

    Benieuwd naar wat dit concreet voor jouw bedrijf betekent? Neem gerust contact met ons op, we helpen je graag verder.

    Contact opnemen

    [1] Gedelegeerde Verordening (EU) 2025/2050 van de Commissie van 1 juli 2025 tot aanvulling van Verordening (EU) 2022/2065 (Digital Services Act).

    [2] Artikel 40, lid 8 Digital Services Act (Verordening (EU) 2022/2065).

    [3] Artikel 33, lid 1 Digital Services Act (Verordening (EU) 2022/2065).

    [4] Artikel 40 Digital Services Act (Verordening (EU) 2022/2065); Gedelegeerde Verordening (EU) 2025/2050.
    Terug naar overzicht

    Tess Mulder

    Legal Counsel
    Lees meer
    CTA privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram