sample-hero

    Wat is de Data Act?

    De wet verduidelijkt rechten en verplichtingen voor organisaties, aanbieders en gebruikers van data en legt kaders vast voor data-deling, contractvoorwaarden en interoperabiliteit.

    Data Act factsheet

    De EU Data Act (Verordening 2023/2854) zorgt voor nieuwe regels rondom datatoegang, gegevensdeling en clouddiensten. De verordening moet de datamarkt eerlijker en toegankelijker maken, met meer controle voor gebruikers en strengere verplichtingen voor aanbieders. Lees alle informatie in het factsheet of de samenvatting op deze pagina.

    Data Act factsheet
    Data Act Factsheet

    De Data Act

    De Data Act moet obstakels in de datamarkt doorbreken, zoals vendor lock-in, beperkte toegang tot productdata en oneerlijke contractvoorwaarden. De verordening harmoniseert regels over:

    • toegang tot data uit verbonden producten;
    • gegevensdeling tussen organisaties;
    • overstappen tussen clouddiensten;
    • interoperabiliteit van cloud- en datasystemen;
    • contractvoorwaarden voor datadeling.

    De verordening trad in werking op 11 januari 2024 en is van toepassing vanaf 12 september 2025. Bepalingen over oneerlijke contractvoorwaarden gelden vanaf 12 september 2027

    De Data Act

    Gegevens uit verbonden producten en gerelateerde diensten

    De Data Act geeft gebruikers meer controle over de data die wordt gegenereerd door verbonden producten, zoals voertuigen, machines, medische apparatuur en smart devices. Ook gerelateerde diensten, bijvoorbeeld software die nodig is om een dergelijk product te laten functioneren, vallen hieronder.

    Wat valt onder de regels?

    • Verbonden producten: apparaten die gegevens genereren over prestaties, gebruik of omgeving en deze via een netwerk kunnen doorgeven.
    • Gerelateerde diensten: functies of software die noodzakelijk zijn voor de werking van het product.
    • Gegenereerde gegevens: zowel automatisch geregistreerde sensorgegevens als bewust ingevoerde informatie.

    Betrokken partijen

    De Data Act onderscheidt vier rollen:

    • Gebruiker van het product of de dienst
    • Gegevenshouder, die bepaalt wie toegang krijgt
    • Aanbieder, zoals de verkoper of fabrikant
    • Derde partijen die de gebruiker toegang wil geven tot de data

    Belangrijkste verplichtingen

    Gegevenshouders moeten:

    • gebruikers eenvoudig, veilig en kosteloos toegang geven tot de gegevens;
    • de data in ruwe, bruikbare vorm beschikbaar stellen (inclusief metadata);
    • op verzoek data rechtstreeks aan een derde partij leveren;
    • dezelfde datakwaliteit verstrekken als zij zelf tot hun beschikking hebben.

    Wat mag niet?

    • Data gebruiken om concurrerende producten te ontwikkelen
    • De economische positie van de gebruiker te ondermijnen
    • Misbruik maken van de technische infrastructuur van de gegevenshouder
    Lees meerLees minder

    Contractvoorwaarden voor gegevensdeling

    De Data Act wil een einde maken aan oneerlijke contractvoorwaarden tussen ondernemingen bij datadeling.

    Modelcontractvoorwaarden

    De Europese Commissie ontwikkelt niet-bindende:

    • Modelcontractvoorwaarden (MTC’s) voor gegevensdeling;
    • Standaardcontractbepalingen (SCC’s) voor clouddiensten.
    • Deze helpen bij het opstellen van evenwichtige, transparante contracten

    Oneerlijke voorwaarden

    Een contractuele voorwaarde is oneerlijk als deze:

    • afwijkt van goede handelspraktijken,
    • in strijd is met goede trouw,
    • eenzijdig is opgelegd zonder echte onderhandelingsmogelijkheid.

    De Data Act bevat:

    • een zwarte lijst (altijd oneerlijk),
    • een grijze lijst (vermoedelijk oneerlijk).

    Clouddiensten en dataverwerkingsdiensten

    De Data Act introduceert uitgebreide verplichtingen voor aanbieders van clouddiensten om overstappen, combineren en beschermen van data mogelijk te maken.

    Overstappen tussen clouddiensten

    Aanbieders moeten:

    • alle technische, contractuele en organisatorische overstapbelemmeringen verwijderen;
    • overstappen binnen maximaal 30 dagen mogelijk maken;
    • functionele gelijkwaardigheid garanderen op basis van dezelfde input;
    • duidelijke informatie geven over risico’s, overgangsperioden en data-overdracht;
    • data wissen na een succesvolle overstap;
    • een online register publiceren met datastructuren, exportformaten en interoperabiliteitsspecificaties.

    Belangrijk: Vanaf 12 januari 2027 mogen overstapkosten niet meer worden gerekend.

    Bescherming tegen ongeoorloofde toegang

    Cloudaanbieders moeten voorkomen dat overheden buiten de EU toegang krijgen tot data in strijd met Europees of nationaal recht. Hiervoor moeten zij o.a.:

    • technische, juridische en organisatorische maatregelen treffen (zoals encryptie en strikte toegangscontrole);
    • transparant zijn over de jurisdictie van hun infrastructuur;
    • maatregelen publiceren op hun website.

    Interoperabiliteit van diensten

    Aanbieders moeten interoperabiliteit mogelijk maken door:

    • machineleesbare dataformaten en open interfaces aan te bieden;
    • geharmoniseerde Europese standaarden te volgen;
    • technische beperkingen die interoperabiliteit in de weg staan te verwijderen.
    Lees meerLees minder

    Ondersteuning

    De Data Act heeft gevolgen voor contracten, technische architectuur, governance, cloudstrategie en gegevensbeheer. In het factsheet wordt benadrukt dat organisaties juridische, technische en organisatorische maatregelen moeten afstemmen op de nieuwe regels.

    Onze ICT-juristen helpen bij interpretatie, toetsing en implementatie binnen jouw organisatie.

    Contact

    Data Act

    De belangrijkste verplichtingen uit NIS2

    NIS2 introduceert drie hoofdverplichtingen en één aanvullende bestuurdersverplichting:

    1. Registratieplicht

    Organisaties moeten zich actief registreren bij de bevoegde autoriteit en o.a. KVK-gegevens en IP-adressen doorgeven.

    2. Meldplicht bij incidenten

    Bij een (mogelijk) significant cybersecurity-incident moet een organisatie snel handelen:

    • Binnen 24 uur melden
    • Binnen 72 uur eerste analyse
    • Binnen 1 maand een eindrapport met oorzaak en maatregelen
    3. Zorgplicht: cybersecuritymaatregelen

    Onder NIS2 wordt een breed pakket aan beveiligingsmaatregelen verplicht, waaronder:

    • Risicoanalyses
    • Incidentrespons
    • Beveiliging van de toeleveringsketen
    • Continuïteitsplannen
    • Cyberhygiëne en medewerkersopleiding
    • MFA en veilige communicatie
    • Cryptografiebeleid
    Governance: verantwoordelijkheid van bestuurders

    Bestuurders moeten actief betrokken zijn bij cyberbeveiliging, adequate kennis opdoen en kunnen zelfs persoonlijk aansprakelijk worden gesteld.

    Meer informatie ontvangen?

    Laat een bericht achter via het formulier. Een van onze juridisch adviseurs neemt dan contact met je op.

    Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.

    Laat je gegevens achter
    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram