Een uitgebreid overzicht van de dataverordening, met inbegrip van de doelstellingen en de werking ervan in de praktijk.
Waarom de dataverordening?
De dataverordening is een wet die bedoeld is om de data-economie van de EU te versterken en een concurrerende datamarkt te bevorderen door gegevens (met name industriële gegevens) toegankelijker en bruikbaarder te maken, datagestuurde innovatie aan te moedigen en de beschikbaarheid van gegevens te vergroten. Om dit te bereiken, waarborgt de dataverordening een eerlijke verdeling van de waarde van gegevens over de actoren in de data-economie. Het verduidelijkt wie welke gegevens mag gebruiken en onder welke voorwaarden. Voor meer gedetailleerde informatie kunt u de veelgestelde vragen (FAQ’s) over de dataverordening raadplegen.
De afgelopen jaren is de beschikbaarheid van op internet aangesloten producten (“verbonden producten”) op de Europese markt snel toegenomen. Deze producten, die samen een netwerk vormen dat bekend staat als het Internet-of-things (IoT), vergroten de hoeveelheid gegevens die beschikbaar is voor hergebruik in de EU aanzienlijk. Dit biedt een enorm potentieel voor innovatie en concurrentievermogen in de EU.
De dataverordening geeft gebruikers van verbonden producten (bedrijven of personen die een dergelijk product bezitten, leasen of huren) meer controle over de gegevens die zij genereren, terwijl stimulansen worden behouden voor degenen die in datatechnologieën investeren. Daarnaast worden algemene voorwaarden vastgesteld voor situaties waarin een bedrijf wettelijk verplicht is om gegevens met een ander bedrijf te delen.
De dataverordening bevat ook maatregelen om de eerlijkheid en concurrentie op de Europese cloudmarkt te vergroten en bedrijven te beschermen tegen oneerlijke contractuele voorwaarden in verband met het delen van gegevens die door sterkere spelers worden opgelegd. Het voorziet ook in een mechanisme waarmee overheidsinstanties gegevens kunnen opvragen bij een bedrijf waar er een uitzonderlijke behoefte is, bijvoorbeeld in openbare noodsituaties, en bevat duidelijke regels over de wijze waarop dergelijke verzoeken moeten worden gedaan. Daarnaast worden waarborgen ingevoerd om te voorkomen dat overheidsinstanties uit derde landen toegang hebben tot niet-persoonsgebonden gegevens wanneer dit in strijd zou zijn met het EU-recht of het nationale recht. Tot slot worden in de dataverordening essentiële eisen inzake interoperabiliteit vastgesteld om ervoor te zorgen dat gegevens naadloos kunnen stromen tussen sectoren en lidstaten, gefaciliteerd door gemeenschappelijke Europese dataruimten, alsook tussen aanbieders van dataverwerkingsdiensten.
De dataverordening is op 22 december 2023 bekendgemaakt in het Publicatieblad van de EU en is sinds 12 september 2025 van toepassing.
De dataverordening vormt een aanvulling op de datagovernanceverordening, die in september 2023 van toepassing werd. Hoewel de datagovernanceverordening het vertrouwen in vrijwillige mechanismen voor het delen van gegevens vergroot, biedt de dataverordening juridische duidelijkheid over de toegang tot en het gebruik van gegevens.
Samen met andere beleidsmaatregelen en financieringsmogelijkheden dragen deze twee verordeningen bij tot de totstandbrenging van een eengemaakte datamarkt in de EU. Het doel is om van Europa een leider in de data-economie te maken door het potentieel van de steeds grotere hoeveelheden gegevens, met name industriële gegevens, te benutten ten behoeve van de Europese economie en samenleving.
Aandachtspunten
Overeenkomstig de algemene bepalingen (hoofdstuk I) waarin het toepassingsgebied van de verordening wordt uiteengezet en de belangrijkste termen worden gedefinieerd, is de dataverordening gestructureerd in zes hoofdhoofdstukken:
Hoofdstuk II over het delen van business-to-business- en business-to-consumer-gegevens in het kader van het internet der dingen: gebruikers van IoT-objecten kunnen toegang krijgen tot gegevens die zij gezamenlijk genereren door hun gebruik van een verbonden product, en deze gebruiken en overdragen.
Hoofdstuk III over het delen van gegevens tussen ondernemingen: dit verduidelijkt de voorwaarden voor het delen van gegevens wanneer een bedrijf wettelijk verplicht is, onder meer via de dataverordening, om gegevens met een ander bedrijf te delen.
Hoofdstuk IV over oneerlijke bedingen in overeenkomsten: deze bepalingen beschermen alle bedrijven, met name kmo’s, tegen oneerlijke contractuele bedingen die hun worden opgelegd.
Hoofdstuk V over het delen van gegevens tussen ondernemingen en overheden: overheidsinstanties zullen in bepaalde situaties van uitzonderlijke noodzaak meer empirisch onderbouwde beslissingen kunnen nemen door middel van maatregelen om toegang te krijgen tot bepaalde gegevens die in het bezit zijn van de particuliere sector.
Hoofdstuk VI over overstappen tussen gegevensverwerkingsdiensten: aanbieders van cloud- en edgecomputingdiensten moeten aan minimumeisen voldoen om de interoperabiliteit te vergemakkelijken en overstappen mogelijk te maken.
Hoofdstuk VII over onrechtmatige toegang van de overheid van derde landen tot gegevens: niet-persoonsgebonden gegevens die in de EU zijn opgeslagen, worden beschermd tegen onrechtmatige verzoeken om toegang van buitenlandse overheden.
Hoofdstuk VIII over interoperabiliteit: deelnemers aan dataruimten moeten voldoen aan criteria om gegevens binnen en tussen dataruimten te laten stromen. In een EU-register zullen relevante normen en specificaties voor cloudinteroperabiliteit worden vastgesteld.
Hoofdstuk IX over tenuitvoerlegging: De lidstaten moeten een of meer bevoegde autoriteiten aanwijzen voor het toezicht op en de handhaving van de dataverordening. Wanneer meer dan één autoriteit wordt aangewezen, moet een “gegevenscoördinator” worden aangewezen om op nationaal niveau als centraal contactpunt op te treden.
Hoofdstuk II: Business-to-business en business-to-consumer data delen in de context van de IoT-markt
Waarom?
Een belangrijke doelstelling van de dataverordening is om billijkheid in de data-economie te creëren en gebruikers in staat te stellen waarde te halen uit de gegevens die zij genereren met behulp van de verbonden producten die zij bezitten, huren of leasen.
De dataverordening stelt gebruikers van verbonden producten (bv. verbonden auto’s, medische en fitnessapparatuur, industriële of landbouwmachines) en aanverwante diensten (d.w.z. alles waardoor een verbonden product zich op een specifieke manier gedraagt, zoals een app om de helderheid van lichten aan te passen of de temperatuur van een koelkast te regelen) in staat toegang te krijgen tot de gegevens die zij gezamenlijk creëren door gebruik te maken van de verbonden producten/gerelateerde diensten.
De beschikbaarheid van dergelijke gegevens zal aanzienlijke gevolgen hebben voor de economie. Gegevens die door verbonden producten en aanverwante diensten worden gegenereerd, kunnen bijvoorbeeld worden gebruikt om aftermarket- en ondersteunende diensten te stimuleren en om volledig nieuwe diensten te creëren, wat zowel bedrijven als consumenten ten goede komt.
Voorbeelden van verbonden producten: consumentenproducten (bv. geconnecteerde auto’s, apparaten voor gezondheidsmonitoring, smart home-apparaten), andere producten (bv. vliegtuigen, robots, industriële machines).
Voorbeeld van een gerelateerde dienst: een gebruiker koopt een wasmachine en installeert een toepassing waarmee hij de milieueffecten van de wascyclus kan meten op basis van de gegevens van de verschillende sensoren in de machine en de cyclus dienovereenkomstig kan aanpassen. Deze applicatie zou worden beschouwd als een gerelateerde dienst.
Voorbeelden van aftermarket- en nevendiensten: reparatie- en onderhoudsdiensten, op gegevens gebaseerde verzekeringen.
Soorten gegevens die binnen het toepassingsgebied vallen
Hoofdstuk II van de datawet inzake het delen van gegevens tussen bedrijven en tussen bedrijven en consumenten is van toepassing op alle ruwe en voorverwerkte gegevens die zijn gegenereerd door het gebruik van een verbonden product of een gerelateerde dienst en die gemakkelijk beschikbaar zijn voor de datahouder (bv. fabrikant van een verbonden product/aanbieder van een gerelateerde dienst), met andere woorden gegevens die gemakkelijk toegankelijk zijn zonder onevenredige inspanning en die verder gaan dan een eenvoudige verrichting. Dit geldt voor zowel persoonsgegevens als niet-persoonsgebonden gegevens, met inbegrip van relevante metagegevens.
Dergelijke gegevens omvatten gegevens die zijn verzameld van een enkele sensor of een verbonden groep sensoren, zoals temperatuur, druk, debiet, audio, pH-waarde, vloeistofniveau, positie, versnelling of snelheid.
Afgeleide of afgeleide gegevens en inhoud (bv. sterk verrijkte gegevens, audiovisueel materiaal) vallen buiten het toepassingsgebied. Voorts laat de datawet de wetgeving inzake de bescherming van intellectuele-eigendomsrechten onverlet.
Als een gebruiker bijvoorbeeld een film op zijn aangesloten tv bekijkt, valt de film zelf niet binnen het bereik, maar vallen gegevens over de helderheid van het scherm binnen het bereik.
In de praktijk
Hoofdstuk II van de dataverordening biedt gebruikers (d.w.z. elke natuurlijke of rechtspersoon die een verbonden product bezit, huurt of leaset) toegang tot de gegevens die zij genereren door hun gebruik van het verbonden product of de gerelateerde dienst. Als de gebruiker deze gegevens wil delen met een andere entiteit of persoon (“derdepartij”), kan hij dit rechtstreeks doen of kan hij de gegevenshouder vragen deze te delen met een derde partij van zijn keuze (met uitzondering van poortwachters in het kader van de wet inzake digitale markten). De datahouder is meestal het bedrijf dat het verbonden product maakt of dat een gerelateerde dienst levert. Een gegevenshouder moet een contract met de gebruiker hebben (bv. een verkoopcontract, een huurcontract, een contract voor gerelateerde diensten enz.) waarin de rechten zijn vastgelegd met betrekking tot de toegang tot, het gebruik en het delen van de gegevens die door het verbonden product of de gerelateerde dienst worden gegenereerd. Het is belangrijk op te merken dat de gegevenshouder geen door het product gegenereerde niet-persoonsgebonden gegevens kan gebruiken zonder toestemming van de gebruiker.
Bij wijze van voorbeeld, en rekening houdend met het feit dat het relevante contract de exacte rollen bepaalt:
-
Een bedrijf exploiteert een bulldozer: de gegevenshouder is doorgaans de fabrikant van de bulldozer en de gebruiker is het bedrijf dat de bulldozer exploiteert.
-
Als iemand een aangesloten koelkast koopt en een app downloadt die hen helpt de optimale temperatuur voor de inhoud van de koelkast te regelen, zouden er mogelijk twee gegevenshouders zijn, namelijk de entiteit die de koelkast in de handel heeft gebracht en de entiteit die de gerelateerde dienst aanbiedt (de app), en slechts één gebruiker (de eigenaar van de koelkast).
De dataverordening bevat verschillende mechanismen om het voor gebruikers gemakkelijker te maken om van deze bepalingen gebruik te maken: gegevenshouders moeten de gebruiker informatie verstrekken over het soort gegevens dat zij zullen genereren bij het gebruik van het verbonden product of de gerelateerde dienst (met inbegrip van het volume, de verzamelfrequentie enz.); gebruikers moeten via een eenvoudig proces om toegang tot de gegevens kunnen verzoeken, en gegevenshouders moeten de gegevens gratis ter beschikking stellen van gebruikers.
Beperkingen op het gebruik van de gegevens
Om bedrijven er niet van te weerhouden te investeren in producten die gegevens genereren, kunnen de verkregen gegevens niet worden gebruikt om een concurrerend verbonden product te ontwikkelen. De dataverordening verbiedt geen concurrentie op het gebied van aanverwante of aftermarketdiensten. Bovendien is er op grond van de dataverordening geen verplichting voor een datahouder om data te delen met buiten de EU gevestigde derden.
De dataverordening is volledig in overeenstemming met de regels inzake gegevensbescherming, met name de AVG. Wanneer de gebruiker niet de betrokkene is van wie de gegevens worden opgevraagd, kunnen persoonsgegevens alleen ter beschikking worden gesteld als er een geldige rechtsgrondslag is (bv. toestemming). Dit is een belangrijke overweging, aangezien de gezamenlijk gegenereerde gegevens vaak zowel persoonsgegevens als niet-persoonsgebonden gegevens bevatten, die moeilijk te scheiden kunnen zijn.
Het stimuleert de ontwikkeling van verbonden producten en diensten op basis van nieuwe gegevensstromen, die van bijzonder belang zijn voor kleinere bedrijven. Bovendien zijn micro- en kleine ondernemingen, als fabrikanten of aanbieders van aanverwante diensten, niet aan dezelfde verplichtingen onderworpen als grotere ondernemingen.
Om bedrijfsgeheimen te beschermen zonder afbreuk te doen aan het doel van de dataverordening om meer gegevens beschikbaar te stellen, kunnen de datahouder en de gebruiker/derde partij bepaalde maatregelen overeenkomen om de vertrouwelijkheid van de bedrijfsgeheimen te waarborgen. Wanneer deze maatregelen niet worden nageleefd, kan de gegevenshouder het delen van gegevens weigeren of opschorten. De gegevenshouder mag alleen weigeren gegevens te delen wanneer hij kan aantonen dat hij zeer waarschijnlijk ernstige economische schade zal lijden als gevolg van de openbaarmaking van bedrijfsgeheimen.
De gegevenshouder en -gebruiker kunnen ermee instemmen het delen van gegevens te beperken indien er een risico bestaat dat de beveiligingseisen van het verbonden product worden ondermijnd, met ernstige nadelige gevolgen voor de gezondheid, veiligheid of beveiliging van mensen tot gevolg. Dergelijke vereisten moeten worden vastgelegd in het EU-recht of het nationale recht.
Indien de gegevenshouder gegevens opschort, achterhoudt of weigert te delen om redenen van bescherming van bedrijfsgeheimen of beveiligingsvereisten, moet hij de nationale bevoegde autoriteit daarvan in kennis stellen. Gebruikers kunnen een dergelijk besluit aanvechten, hetzij bij de bevoegde rechterlijke instantie van een lidstaat, via een klacht bij de bevoegde autoriteit, hetzij met instemming van de gegevenshouder bij een geschillenbeslechtingsinstantie.
Hoofdstuk III: Regels inzake verplichte uitwisseling van gegevens tussen ondernemingen
Waarom?
De dataverordening voert regels in voor situaties waarin een bedrijf (“datahouder”) krachtens het EU-recht of het nationale recht wettelijk verplicht is gegevens beschikbaar te stellen aan een ander bedrijf (“dataontvanger”), ook in het kader van IoT-gegevens. De voorwaarden voor het delen van gegevens moeten met name eerlijk, redelijk en niet-discriminerend zijn.
Als stimulans voor het delen van gegevens kunnen gegevenshouders die verplicht zijn gegevens te delen, de ontvanger van de gegevens om een “redelijke vergoeding” verzoeken.
Soorten gegevens die binnen het toepassingsgebied vallen
Hoofdstuk III van de Datawet is van toepassing op alle gegevens (zowel persoonlijke als niet-persoonlijke) die in het bezit zijn van een bedrijf, met inbegrip van situaties die onder hoofdstuk II van de Datawet vallen.
In de praktijk
Gegevenshouders kunnen een redelijke vergoeding vragen voor het ter beschikking stellen van de gegevens aan een ontvanger van de gegevens. Dit kan kosten omvatten voor het beschikbaar stellen van de gegevens en technische kosten in verband met verspreiding en opslag. Micro-ondernemingen, kmo’s en non-profitonderzoeksorganisaties mogen echter niet meer in rekening worden gebracht dan de kosten voor het beschikbaar stellen van de gegevens.
Om gegevenshouders te beschermen, bevat de datawet een niet-uitputtende lijst van maatregelen om situaties te verhelpen waarin een derde of gebruiker onrechtmatig toegang heeft gehad tot gegevens of deze onrechtmatig heeft gebruikt. Een gegevenshouder kan bijvoorbeeld eisen dat een inbreukmakende partij stopt met de productie van het product in kwestie of de gegevens vernietigt die hij onrechtmatig heeft verkregen, of hij kan schadevergoeding eisen.
Verplichtingen tot het delen van gegevens die aan de datawet voorafgaan, blijven onaangetast. Verplichtingen in toekomstige (sectorale) wetgeving moeten worden afgestemd op de bepalingen van hoofdstuk III van de dataverordening.
Hoofdstuk IV: Oneerlijke contractuele voorwaarden
Waarom?
Contractuele vrijheid staat centraal in business-to-business relaties. De dataverordening heeft echter tot doel alle Europese bedrijven die gegevens willen verkrijgen, met name kmo’s, te beschermen tegen oneerlijke contractuele bedingen door middel van haar maatregelen om in te grijpen in situaties waarin een van de bedrijven zich bijvoorbeeld in een sterkere onderhandelingspositie bevindt (bv. vanwege de marktomvang) en een niet-onderhandelbaar beding (“take-it-or-leave-it”) oplegt met betrekking tot de toegang tot en het gebruik van gegevens.
Soorten gegevens die binnen het toepassingsgebied vallen
Deze regels hebben betrekking op alle gegevens, zowel persoonlijke als niet-persoonlijke, die in het bezit zijn van een particuliere entiteit waartoe toegang wordt verkregen en die worden gebruikt op basis van een contract tussen bedrijven.
In de praktijk
Eenzijdig opgelegde take-it-or-leave-it-voorwaarden kunnen, wanneer zij betrekking hebben op het beschikbaar stellen van gegevens, aan een oneerlijkheidstoets worden onderworpen.
De datawet bevat een niet-uitputtende lijst van bedingen die altijd als oneerlijk worden beschouwd (bv. dat zou de aansprakelijkheid van de partij die het beding eenzijdig heeft opgelegd voor opzettelijke handelingen of grove nalatigheid uitsluiten of beperken) en van bedingen die als oneerlijk worden beschouwd (bv. dat zou de rechtsmiddelen in geval van niet-nakoming van contractuele verplichtingen of aansprakelijkheid in geval van niet-nakoming van die verplichtingen op ongepaste wijze beperken of de aansprakelijkheid van de onderneming waaraan het beding eenzijdig is opgelegd, uitbreiden). Als een beding als oneerlijk wordt beschouwd, is het niet langer geldig – waar mogelijk wordt het eenvoudigweg van de overeenkomst gescheiden. Indien het wordt geacht oneerlijk te zijn, kan de entiteit die het beding heeft opgelegd, proberen aan te tonen dat het beding niet oneerlijk is.
Hoofdstuk V: Data-uitwisseling tussen bedrijven en overheden
Waarom?
Gegevens die in het bezit zijn van particuliere entiteiten kunnen essentieel zijn voor een overheidsinstantie om een taak van algemeen belang te vervullen. Hoofdstuk V van de dataverordening biedt overheidsinstanties onder bepaalde voorwaarden toegang tot dergelijke gegevens wanneer er sprake is van een uitzonderlijke behoefte. Dit laatste heeft betrekking op een onvoorzienbare en in de tijd beperkte situatie waarin de gegevens die in het bezit zijn van een particuliere entiteit noodzakelijk zijn voor de vervulling van de taak van algemeen belang, met name om de empirisch onderbouwde besluitvorming te verbeteren. Situaties van uitzonderlijke noodzaak omvatten zowel openbare noodsituaties (zoals grote natuurrampen of door de mens veroorzaakte rampen, pandemieën en cyberbeveiligingsincidenten) als niet-noodsituaties (zo kunnen geaggregeerde en geanonimiseerde gegevens van gps-systemen van bestuurders worden gebruikt om de verkeersstromen te helpen optimaliseren).
De dataverordening zal ervoor zorgen dat overheidsinstanties tijdig en op betrouwbare wijze toegang hebben tot dergelijke gegevens, zonder onnodige administratieve lasten voor bedrijven op te leggen.
Soorten gegevens die binnen het toepassingsgebied vallen
In hoofdstuk V vallen alle gegevens binnen het toepassingsgebied, met de nadruk op niet-persoonsgebonden gegevens.
In hoofdstuk V van de datawet inzake het delen van gegevens tussen ondernemingen en overheden wordt een onderscheid gemaakt tussen twee scenario’s:
-
Om te kunnen reageren op een openbare noodsituatie moet een overheidsinstantie niet-persoonsgebonden gegevens opvragen. Als dit echter onvoldoende is om op de situatie te reageren, kunnen persoonsgegevens worden opgevraagd. Waar mogelijk moeten deze gegevens door de gegevenshouder worden geanonimiseerd.
-
In niet-noodsituaties mogen overheidsinstanties alleen niet-persoonsgebonden gegevens opvragen.
Belangrijkste belanghebbenden
Tot de entiteiten die het recht hebben om gegevens op te vragen, behoren overheidsinstanties van de lidstaten en bepaalde instellingen, organen en agentschappen van de EU. Deze entiteiten kunnen de gegevens onder bepaalde voorwaarden ook delen met onderzoeks- en financieringsorganisaties.
In het kader van verzoeken van ondernemingen aan de overheid zijn gegevenshouders doorgaans particuliere entiteiten, maar kunnen zij ook overheidsbedrijven omvatten.
In de praktijk
Een overheidsinstantie kan een gegevenshouder onder bepaalde voorwaarden verplichten bepaalde gegevens onverwijld beschikbaar te stellen om te reageren op een openbare noodsituatie. In de datawet wordt een openbare noodsituatie gedefinieerd; maar het bestaan ervan wordt bepaald volgens nationale of EU-procedures of -wetten.
Voor uitzonderlijke behoeften die geen verband houden met een openbare noodsituatie, kan een overheidsinstantie niet-persoonsgebonden gegevens opvragen om een specifieke taak van algemeen belang te vervullen waarin de wet voorziet, indien de overheidsinstantie kan aantonen dat zij de gegevens niet via andere middelen heeft kunnen raadplegen.
In beide gevallen (noodgevallen en niet-noodgevallen) moeten verzoeken aan een aantal strikte beginselen en voorwaarden voldoen. Verzoeken moeten bijvoorbeeld specifiek, transparant en evenredig zijn, bedrijfsgeheimen moeten worden beschermd en de gegevens moeten worden gewist zodra ze niet langer nodig zijn.
De onderstaande tabel geeft een overzicht van wat bedrijven in dit verband kunnen vragen om gegevens aan een overheidsinstantie te verstrekken.
Vergoeding voor het beschikbaar stellen van gegevens op grond van hoofdstuk V van de datawet
| Andere bedrijven dan micro- en kleine bedrijven kunnen vragen om: | Micro- en kleine bedrijven kunnen vragen om: | |
| Openbare noodtoestand | Bedrijven kunnen vragen dat hun bijdrage aan de gegevens wordt erkend en publiekelijk erkend door de ontvangende overheidsinstantie. | Redelijke vergoeding die de gemaakte technische en organisatorische kosten niet overschrijdt + publieke erkenning, op verzoek |
| Niet-noodsituatie | Redelijke vergoeding die de gemaakte technische en organisatorische kosten niet overschrijdt (behalve voor de productie van officiële statistieken) | n.v.t. (vrijgesteld van de verplichting om gegevens te verstrekken) |
Om de lasten voor bedrijven tot een minimum te beperken, kunnen dezelfde gegevens niet meer dan één keer worden opgevraagd (“eenmalig beginsel”) door meer dan één overheidsinstantie. Daarom moeten alle verzoeken openbaar worden gemaakt door de gegevenscoördinator (tenzij er een veiligheidsprobleem is).
Hoofdstuk VI: Wisselen tussen gegevensverwerkingsdiensten
Waarom?
Om een concurrerende markt in de EU te waarborgen, moeten klanten van dataverwerkingsdiensten (met inbegrip van cloud- en edgediensten) naadloos van de ene aanbieder naar de andere kunnen overstappen. Klanten worden op dit moment echter geconfronteerd met een aantal belemmeringen, waaronder hoge kosten in verband met bijvoorbeeld het uitgaan van gegevens, langdurige procedures en een gebrek aan interoperabiliteit tussen aanbieders, wat kan leiden tot een verlies van gegevens en toepassingen.
De Data Act maakt schakelen vrij, snel en vloeiend. Dit zal ten goede komen aan klanten, die vrijelijk de diensten kunnen kiezen die het beste aan hun behoeften voldoen, evenals leveranciers, die zullen profiteren van een grotere pool van klanten.
Toepassingsgebied
Hoofdstuk VI van de datawet is van toepassing op aanbieders van dataverwerkingsdiensten (d.w.z. digitale diensten die alomtegenwoordige netwerktoegang op aanvraag mogelijk maken, zoals netwerken, servers of andere virtuele of fysieke infrastructuur en software). Gegevens die essentieel zijn voor het overstappen, omvatten input- en outputgegevens, met inbegrip van metagegevens, die door het gebruik van de dienst door de klant worden gegenereerd, met uitzondering van gegevens die door intellectuele-eigendomsrechten worden beschermd of een bedrijfsgeheim van de dienstverlener vormen.
In de praktijk
Om de machtsongelijkheid tussen aanbieders en klanten op de cloudmarkt te verhelpen, stelt de dataverordening minimumeisen vast voor de inhoud van cloudcontracten. Met name klanten uit de particuliere en publieke sector zullen profiteren van een veel grotere contractuele transparantie.
De dataverordening bevat maatregelen om ervoor te zorgen dat klanten snel en soepel kunnen overstappen van de ene aanbieder van dataverwerkingsdiensten (“bronaanbieder”) naar een andere (“bestemmingsaanbieder”), zonder gegevens of de functionaliteit van toepassingen te verliezen. Aanbieders van Platform en Software as a Service moeten bijvoorbeeld open interfaces beschikbaar stellen en ten minste gegevens exporteren in een veelgebruikt en machineleesbaar formaat. Aanbieders van Infrastructure as a Service moeten maatregelen nemen om ervoor te zorgen dat, wanneer een klant overstapt op een dienst van hetzelfde type, de klant materieel vergelijkbare resultaten krijgt als reactie op dezelfde input voor functies die beide diensten delen (“functionele gelijkwaardigheid”). Als voorbeeld van een dergelijke maatregel moet de bronprovider mogelijk tools gebruiken voor het verschuiven van computerworkloads van de ene virtualisatietechnologie naar de andere.
Alle providers zijn verplicht om obstakels weg te nemen waarmee hun klanten te maken kunnen krijgen wanneer ze naar een andere provider willen overstappen of meerdere diensten tegelijkertijd willen gebruiken.
De datawet zal vanaf 12 januari 2027 ook de overstapkosten, met inbegrip van kosten voor gegevensdoorgifte (d.w.z. kosten voor gegevensdoorgifte), volledig afschaffen. Dit betekent dat aanbieders hun klanten geen kosten in rekening kunnen brengen voor de handelingen die nodig zijn om overstappen te vergemakkelijken of voor het uitgaan van gegevens. Als overgangsmaatregel gedurende de eerste drie jaar na de inwerkingtreding van de dataverordening (van 11 januari 2024 tot en met 12 januari 2027) mogen aanbieders hun klanten echter nog steeds de kosten in rekening brengen die zij hebben gemaakt in verband met overstappen en gegevensuitvoer.
Hoofdstuk VII: Onwettige toegang van de overheid van derde landen
Waarom?
Soms is een besluit of vonnis van een land buiten de EU (“derde land”) bedoeld om de overheid toegang te verlenen tot niet-persoonsgebonden gegevens die binnen de EU worden verwerkt en opgeslagen, en deze door te geven. In bepaalde gevallen kan het verlenen van toegang tot of doorgifte van dergelijke gegevens echter daadwerkelijk onrechtmatig zijn, met name wanneer het verzoek in strijd is met de EU-wetgeving en waarborgen inzake de bescherming van de grondrechten van natuurlijke personen, nationale veiligheidsbelangen of commercieel gevoelige gegevens.
De dataverordening volgt de datagovernanceverordening met betrekking tot de bepalingen ter voorkoming van onrechtmatige toegang van overheden van derde landen tot en doorgifte van niet-persoonsgebonden gegevens die in de EU worden bewaard. Dergelijke bepalingen hebben geen gevolgen voor de regelmatige uitwisseling van gegevens tussen ondernemingen. Zij vergroten de transparantie en rechtszekerheid met betrekking tot het proces en de voorwaarden waaronder niet-persoonsgebonden gegevens toegankelijk zijn voor of kunnen worden doorgegeven aan overheidsinstanties van buiten de EU.
Soorten gegevens die binnen het toepassingsgebied vallen
Alle niet-persoonsgebonden gegevens die in de EU worden bewaard door een aanbieder van een gegevensverwerkingsdienst.
In de praktijk
De dataverordening verbiedt geen grensoverschrijdende gegevensstromen, maar zorgt ervoor dat de bescherming van gegevens in de EU ook geldt voor gegevens die buiten de EU worden doorgegeven.
In dit verband stelt de dataverordening regels en waarborgen vast voor verzoeken van een buitenlandse overheidsinstantie om toegang tot niet-persoonsgebonden gegevens die in de Unie worden bewaard. Legitieme internationale samenwerking op het gebied van rechtshandhaving wordt door deze bepalingen niet aangetast.
Als er geen internationale overeenkomst is die de toegang van een overheid van een derde land tot niet-persoonsgebonden gegevens in de EU regelt, kunnen de gegevens alleen onder specifieke voorwaarden worden doorgegeven of geraadpleegd. Deze voorwaarden hebben betrekking op bepaalde waarborgen ter bescherming van de Europese rechten waaraan het rechtsstelsel van het derde land moet voldoen, waaronder een vereiste om de redenen daarvoor uiteen te zetten en de evenredigheid in het besluit te beoordelen. De aanbieder van gegevensverwerkingsdiensten waarop een dergelijk besluit betrekking heeft, kan contact opnemen met de relevante nationale instantie om te helpen beoordelen of aan de voorwaarden van de gegevensverordening is voldaan. Om te helpen beoordelen of aan deze voorwaarden is voldaan, zal de Europese Commissie samen met de Europese raad voor gegevensinnovatie (een in het kader van de datagovernanceverordening opgerichte deskundigengroep) richtsnoeren ontwikkelen om de uitwisseling van beste praktijken te vergemakkelijken en prioriteit te geven aan sectoroverschrijdende interoperabiliteitsnormen).
Aanbieders van gegevensverwerkingsdiensten moeten alle redelijke maatregelen nemen (bv. versleuteling, audits, naleving van certificeringsregelingen) om de toegang tot de systemen waarin zij niet-persoonsgebonden gegevens opslaan, te voorkomen. Deze maatregelen moeten op hun websites worden gepubliceerd. Bovendien moeten zij, waar mogelijk, hun klanten informeren voordat zij toegang geven tot hun gegevens.
Hoofdstuk VIII: Interoperabiliteit
Waarom?
Normen en interoperabiliteit zijn essentieel om ervoor te zorgen dat gegevens uit verschillende bronnen binnen en tussen gemeenschappelijke Europese dataruimten kunnen worden gebruikt om onderzoek te bevorderen en nieuwe producten of diensten te ontwikkelen. Daartoe stelt de dataverordening een aantal essentiële eisen vast waaraan deelnemers aan dataruimten moeten voldoen en die door de Europese Commissie verder kunnen worden gespecificeerd door middel van gedelegeerde handelingen.
Het heeft ook tot doel de interoperabiliteit tussen gegevensverwerkingsdiensten te waarborgen; dit is van essentieel belang om ervoor te zorgen dat klanten gemakkelijker kunnen overstappen.
Belangrijkste belanghebbenden
Dit hoofdstuk is gericht op deelnemers aan dataruimten die gegevens of op gegevens gebaseerde diensten aanbieden aan andere deelnemers en die het delen van gegevens binnen de dataruimten faciliteren of daaraan deelnemen.
Het richt zich ook op leveranciers van slimme contracten en aanbieders van gegevensverwerkingsdiensten.
In de praktijk
Deelnemers aan dataruimten moeten aan verschillende essentiële eisen voldoen om gegevens binnen en tussen dataruimten te laten stromen. Zo moet een beschrijving van de gegevensstructuren, gegevensformaten en woordenlijsten, indien beschikbaar, openbaar toegankelijk zijn. Daarnaast moet worden gezorgd voor middelen om de interoperabiliteit van overeenkomsten voor het delen van gegevens, zoals slimme contracten, te waarborgen.
De dataverordening bereidt ook de weg voor het vergroten van de interoperabiliteit van dataverwerkingsdiensten door middel van geharmoniseerde normen en open interoperabiliteitsspecificaties.
Daarnaast bevat het eisen voor verkopers van slimme contracten voor de geautomatiseerde uitvoering van overeenkomsten voor het delen van gegevens, bijvoorbeeld om ervoor te zorgen dat zij de bepalingen van de overeenkomst voor het delen van gegevens correct uitvoeren en bestand zijn tegen manipulatie door derden.
De Commissie zal belemmeringen voor interoperabiliteit beoordelen en prioriteit geven aan normalisatiebehoeften, op basis waarvan zij de Europese normalisatie-instellingen kan verzoeken geharmoniseerde normen op te stellen die aan de bovengenoemde eisen voldoen.
Indien het verzoek niet tot een geharmoniseerde norm leidt of indien de norm ontoereikend is om de conformiteit met de dataverordening te waarborgen, kan de Commissie gemeenschappelijke specificaties vaststellen als noodoplossing. Deze moeten op een open en inclusieve manier worden ontwikkeld, rekening houdend met de feedback van het Europees Comité voor gegevensinnovatie.
Hoofdstuk IX: Handhavings- en overkoepelende bepalingen
De lidstaten wijzen een of meer (nieuwe of bestaande) bevoegde autoriteiten aan om de efficiënte uitvoering van de dataverordening te waarborgen. Wanneer er meerdere bevoegde autoriteiten zijn, moeten de lidstaten een van hen aanwijzen als “gegevenscoördinator”. De gegevenscoördinator zal fungeren als “één loket” voor alle kwesties in verband met de uitvoering van de dataverordening op nationaal niveau, waardoor de toepassing ervan voor zowel bedrijven als overheidsinstanties wordt vergemakkelijkt. Als een bedrijf bijvoorbeeld verhaal zoekt voor de schending van zijn rechten uit hoofde van de datawet, moet de datacoördinator (op verzoek) alle nodige informatie verstrekken om hen te helpen hun klacht in te dienen bij de juiste bevoegde autoriteit. De gegevenscoördinator zal ook de samenwerking in grensoverschrijdende situaties vergemakkelijken, bijvoorbeeld wanneer een bevoegde autoriteit van een bepaalde lidstaat niet weet welke autoriteit zij in de lidstaat van de gegevenscoördinator moet benaderen.
De Commissie zal een openbaar register van bevoegde autoriteiten en gegevenscoördinatoren bijhouden.
Het Europees Comité voor gegevensinnovatie zal besprekingen tussen bevoegde autoriteiten vergemakkelijken, bijvoorbeeld om aanbevelingen over de vaststelling van sancties voor inbreuken op de dataverordening te coördineren en goed te keuren. De sancties worden vastgesteld door de bevoegde autoriteiten en volgens de dataverordening moeten er doeltreffende, evenredige en afschrikkende sancties zijn.
De lidstaten kunnen desgewenst gecertificeerde organen voor geschillenbeslechting oprichten om partijen bij te staan die het niet eens kunnen worden over eerlijke, redelijke en niet-discriminerende voorwaarden voor het beschikbaar stellen van gegevens. Het staat de partijen vrij zich tot elk orgaan voor geschillenbeslechting te wenden, hetzij in de lidstaat waar zij zijn gevestigd, hetzij in een andere lidstaat.
Gecertificeerde geschillenbeslechtingsmechanismen en gespecialiseerde bevoegde autoriteiten zullen het voor bedrijven, met name kleine bedrijven, gemakkelijker maken om hun rechten uit hoofde van de dataverordening af te dwingen, aangezien zij de betrokken partijen een eenvoudige, snelle en goedkope oplossing bieden.
Ondersteunen van de uitvoering van de dataverordening
De dataverordening is van toepassing sinds 12 september 2025. Om bedrijven te helpen door deze nieuwe regels te navigeren, heeft de Commissie het volgende gepubliceerd:
- Veelgestelde vragen (FAQ's) over de Datawet
- Ontwerpaanbeveling inzake niet-bindende modelcontractvoorwaarden voor toegang tot en gebruik van gegevens (MCT’s) en niet-bindende modelcontractbepalingen voor cloudcomputingcontracten (SCC’s)
- Richtsnoeren voor voertuiggegevens bij de dataverordening
In de toekomst zal de Commissie richtsnoeren publiceren over een redelijke compensatie voor verplichte uitwisseling van gegevens tussen ondernemingen in het kader van hoofdstuk III van de dataverordening.
Voortbouwend op de reeds gepubliceerde richtsnoeren biedt de gelanceerde juridische helpdesk van de dataverordening belanghebbenden concrete richtsnoeren over juridische kwesties in verband met de dataverordening.
In de digitale omnibus stelt de Commissie specifieke wijzigingen van de dataverordening voor om bedrijven, overheidsdiensten en burgers onmiddellijk te ontlasten en het concurrentievermogen te stimuleren.
Binnen drie jaar na de inwerkingtreding ervan zal de Commissie een evaluatie uitvoeren van het effect van de dataverordening. Op basis hiervan kan de Commissie zo nodig een wijziging van de wet voorstellen.
Wettelijke mededeling
Dit document mag niet worden beschouwd als representatief voor het officiële standpunt van de Europese Commissie.