Een uitgebreid overzicht van de Data Act, met inbegrip van de doelstellingen en hoe deze in de praktijk werkt.
Waarom de Data Act?
De Data Act is een wet die tot doel heeft de data-economie van de EU te verbeteren en een concurrerende datamarkt te bevorderen door gegevens (met name industriële gegevens) toegankelijker en bruikbaarder te maken, gegevensgestuurde innovatie aan te moedigen en de beschikbaarheid van gegevens te vergroten. Om dit te bereiken zorgt de Datawet voor billijkheid in de verdeling van de waarde van gegevens onder de actoren in de data-economie. Het verduidelijkt wie welke gegevens mag gebruiken en onder welke voorwaarden.
De laatste jaren is er een snelle groei opgetreden in de beschikbaarheid van met internet verbonden producten („verbonden producten”) op de Europese markt. Deze producten, die samen een netwerk vormen dat bekend staat als Internet-of-things (IoT), verhogen de hoeveelheid gegevens die beschikbaar zijn voor hergebruik in de EU aanzienlijk. Dit vormt een enorm potentieel voor innovatie en concurrentievermogen in de EU.
De Data Act geeft gebruikers van verbonden producten (bedrijven of personen die een dergelijk product bezitten, leasen of huren) meer controle over de gegevens die ze genereren, terwijl ze prikkels behouden voor degenen die investeren in datatechnologieën. Daarnaast worden algemene voorwaarden vastgesteld voor situaties waarin een bedrijf wettelijk verplicht is om gegevens te delen met een ander bedrijf.
De Data Act bevat ook maatregelen om de rechtvaardigheid en de concurrentie op de Europese cloudmarkt te vergroten en om bedrijven te beschermen tegen oneerlijke contractuele voorwaarden in verband met het delen van gegevens die worden opgelegd door sterkere spelers. Het voorziet ook in een mechanisme waarmee overheidsinstanties gegevens kunnen opvragen bij een bedrijf wanneer er een uitzonderlijke behoefte is, bijvoorbeeld in noodsituaties, en bevat duidelijke regels over de wijze waarop dergelijke verzoeken moeten worden gedaan. Daarnaast worden waarborgen ingevoerd om te voorkomen dat overheidsinstanties uit derde landen toegang hebben tot niet-persoonsgebonden gegevens wanneer dit in strijd is met het EU- of nationale recht. Ten slotte worden in de Data Act essentiële eisen inzake interoperabiliteit vastgesteld om ervoor te zorgen dat gegevens naadloos kunnen stromen tussen sectoren en lidstaten, gefaciliteerd door gemeenschappelijke Europese gegevensruimten en tussen aanbieders van gegevensverwerkende diensten.
De Data Act is op 22 december 2023 bekendgemaakt in het Publicatieblad van de EU en zal van toepassing worden op 12 september 2025.
De datawet vormt een aanvulling op de Data Governance Act, het eerste resultaat in het kader van de Europese datastrategie. De Data Governance Act is in september 2023 van toepassing geworden. Hoewel de Data Governance Act het vertrouwen in vrijwillige mechanismen voor gegevensuitwisseling vergroot, biedt de Data Act juridische duidelijkheid over de toegang tot en het gebruik van gegevens.
Samen met andere beleidsmaatregelen en financieringsmogelijkheden zullen deze twee verordeningen bijdragen tot de totstandbrenging van een interne EU-markt voor gegevens, waardoor Europa een leider in de data-economie wordt door het potentieel van de steeds toenemende hoeveelheden gegevens, met name industriële gegevens, te benutten ten behoeve van de Europese economie en samenleving.
Aan de orde gestelde kwesties
In overeenstemming met de algemene bepalingen (hoofdstuk I) waarin het toepassingsgebied van de verordening wordt uiteengezet en de kernbegrippen worden gedefinieerd, is de Datawet onderverdeeld in zes hoofdhoofdstukken:
Hoofdstuk II over het delen van gegevens tussen bedrijven en consumenten in het kader van het IoT: gebruikers van IoT-objecten hebben toegang tot, gebruik en port data die ze mede genereren door hun gebruik van een verbonden product.
Hoofdstuk III over het delen van gegevens tussen bedrijven: dit verduidelijkt de voorwaarden voor het delen van gegevens wanneer een bedrijf wettelijk verplicht is, onder meer via de Data Act, om gegevens te delen met een ander bedrijf.
Hoofdstuk IV over oneerlijke contractuele bedingen: deze bepalingen beschermen alle ondernemingen, met name kmo’s, tegen oneerlijke contractuele bedingen die hen worden opgelegd.
Hoofdstuk V over het delen van gegevens tussen bedrijven en overheden: openbare lichamen zullen in bepaalde situaties van uitzonderlijke behoefte meer empirisch onderbouwde beslissingen kunnen nemen door middel van maatregelen om toegang te krijgen tot bepaalde gegevens die in het bezit zijn van de particuliere sector.
Hoofdstuk VI over het omschakelen tussen gegevensverwerkende diensten: aanbieders van cloud- en edgecomputingdiensten moeten voldoen aan minimumeisen om interoperabiliteit te vergemakkelijken en overstappen mogelijk te maken.
Hoofdstuk VII over onrechtmatige toegang van de regering van derde landen tot gegevens: niet-persoonsgebonden gegevens die in de EU zijn opgeslagen, zijn beschermd tegen onrechtmatige buitenlandse verzoeken om toegang van de overheid.
Hoofdstuk VIII over interoperabiliteit: deelnemers aan dataruimten moeten voldoen aan criteria om gegevens binnen en tussen dataruimten te laten stromen. Een EU-register stelt relevante normen en specificaties voor cloudinteroperabiliteit vast.
Hoofdstuk IX over tenuitvoerlegging: De lidstaten moeten een of meer bevoegde autoriteit(en) aanwijzen om de gegevenswet te monitoren en te handhaven. Wanneer meer dan één autoriteit is aangewezen, moet een „gegevenscoördinator” worden aangewezen om op nationaal niveau als enig aanspreekpunt op te treden.
Hoofdstuk II: Business-to-business en business-to-consumer data delen in het kader van de IoT-markt
Waarom?
Een belangrijk doel van de Data Act is om eerlijkheid in de data-economie te creëren en gebruikers in staat te stellen waarde te oogsten uit de gegevens die ze genereren met behulp van de verbonden producten die zij bezitten, huren of leasen.
De Data Act stelt gebruikers van verbonden producten (bv. verbonden auto’s, medische en fitnessapparaten, industriële of landbouwmachines) en aanverwante diensten (d.w.z. alles waardoor een verbonden product zich op een specifieke manier gedraagt, zoals een app om de helderheid van lichten aan te passen of om de temperatuur van een koelkast te regelen) in staat om toegang te krijgen tot de gegevens die zij mede creëren door gebruik te maken van de aangesloten producten/gerelateerde diensten.
De beschikbaarheid van dergelijke gegevens zal aanzienlijke gevolgen hebben voor de economie. Zo kunnen gegevens die worden gegenereerd door verbonden producten en aanverwante diensten worden gebruikt om aftermarket- en ondersteunende diensten te stimuleren en om volledig nieuwe diensten te creëren die zowel bedrijven als consumenten ten goede komen.
Voorbeelden van verbonden producten: consumentenproducten (bv. verbonden auto’s, gezondheidsmonitoringapparatuur, smarthome-apparaten), andere producten (bv. vliegtuigen, robots, industriële machines).
Voorbeeld van een gerelateerde dienst: een gebruiker koopt een wasmachine en installeert een applicatie waarmee hij de milieu-impact van de wascyclus kan meten op basis van de gegevens van de verschillende sensoren in de machine en de cyclus dienovereenkomstig aanpast. Deze aanvraag wordt beschouwd als een verwante dienst.
Voorbeelden van aftermarket en ondersteunende diensten: reparatie- en onderhoudsdiensten, op gegevens gebaseerde verzekeringen.
Soorten gegevens in het toepassingsgebied
Hoofdstuk II van de Data Act over het delen van gegevens tussen bedrijven en consumenten is van toepassing op alle ruwe en voorverwerkte gegevens die worden gegenereerd door het gebruik van een verbonden product of een gerelateerde dienst die gemakkelijk beschikbaar is voor de gegevenshouder ( bv. fabrikant van een verbonden product/aanbieder van een gerelateerde dienst), dat wil zeggen gegevens die gemakkelijk toegankelijk zijn zonder onevenredige inspanningen, die verder gaan dan een eenvoudige verrichting. Dit geldt zowel voor persoonsgegevens als voor niet-persoonsgebonden gegevens, waaronder relevante metadata.
Dergelijke gegevens omvatten gegevens die zijn verzameld van een enkele sensor of een verbonden groep sensoren, zoals temperatuur, druk, debiet, audio, pH-waarde, vloeistofniveau, positie, versnelling of snelheid.
Afgeleide of afgeleide gegevens en inhoud (bv. sterk verrijkte gegevens, audiovisueel materiaal) vallen buiten het toepassingsgebied. Bovendien doet de Datawet geen afbreuk aan de wetten inzake de bescherming van intellectuele eigendomsrechten.
Als een gebruiker bijvoorbeeld een film bekijkt op de aangesloten tv, valt de film zelf niet binnen het bereik, maar zijn gegevens over de helderheid van het scherm binnen bereik.
In de praktijk
Hoofdstuk II van de Data Act geeft gebruikers (d.w.z. elke rechtspersoon of natuurlijke persoon die een verbonden product bezit, huurt of leaset) toegang tot de gegevens die zij genereren via hun gebruik van het verbonden product of de gerelateerde dienst. Als de gebruiker deze gegevens wenst te delen met een andere entiteit of persoon („derde partij”), kan hij dit rechtstreeks doen of kan hij de gegevenshouder vragen deze te delen met een derde van zijn keuze (met uitzondering van poortwachters op grond van de wet inzake digitale markten). De gegevenshouder is meestal het bedrijf dat het verbonden product maakt of dat een gerelateerde dienst levert. Een gegevenshouder moet een contract hebben met de gebruiker (bv. verkoopcontract, huurcontract, gerelateerd dienstencontract, enz.) waarin de rechten worden vastgelegd met betrekking tot de toegang tot, het gebruik en het delen van de gegevens die door het verbonden product of de gerelateerde dienst worden gegenereerd. Het is belangrijk op te merken dat de gegevenshouder geen gebruik kan maken van niet-persoonsgebonden gegevens die door het product worden gegenereerd zonder toestemming van de gebruiker.
Bij wijze van voorbeeld, en rekening houdend met het feit dat de betrokken opdracht de exacte rollen bepaalt:
-
Een bedrijf heeft een bulldozer: de gegevenshouder zou meestal de bulldozerfabrikant zijn, en de gebruiker zou het bedrijf zijn dat de bulldozer exploiteert.
-
Als iemand een aangesloten koelkast koopt en een app downloadt die hen helpt de optimale temperatuur voor de inhoud van de koelkast te regelen, zouden er mogelijk twee gegevenshouders zijn, namelijk de entiteit die de koelkast op de markt heeft gebracht en de entiteit die de bijbehorende dienst aanbiedt (de app), en slechts de ene gebruiker (de eigenaar van de koelkast).
De Data Act bevat verschillende mechanismen om het voor gebruikers gemakkelijker te maken gebruik te kunnen maken van deze bepalingen: gegevenshouders moeten de gebruiker informatie verstrekken over het soort gegevens dat hij zal genereren bij het gebruik van het aangesloten product of de bijbehorende dienst (met inbegrip van het volume, de inzamelingsfrequentie, enz.); gebruikers moeten via een eenvoudig proces om toegang tot de gegevens kunnen verzoeken, en gegevenshouders moeten de gegevens gratis ter beschikking stellen van gebruikers.
Beperkingen op het gebruik van de gegevens
Om bedrijven er niet van te weerhouden te investeren in data-genererende producten, kunnen de verkregen gegevens niet worden gebruikt om een concurrerend verbonden product te ontwikkelen. De Data Act verbiedt de concurrentie in gerelateerde of aftermarket diensten niet. Bovendien is er op grond van de Datawet geen verplichting voor een gegevenshouder om gegevens te delen met derden die buiten de EU gevestigd zijn.
De Data Act is volledig in overeenstemming met de regels inzake gegevensbescherming, met name de AVG. Wanneer de gebruiker niet de betrokkene is van wie de gegevens worden gevraagd, kunnen persoonsgegevens alleen beschikbaar worden gesteld als er een geldige rechtsgrondslag is (bijv. toestemming). Dit is een belangrijke overweging, aangezien de gezamenlijk gegenereerde gegevens vaak zowel persoonlijke als niet-persoonsgebonden gegevens bevatten, die moeilijk te scheiden kunnen zijn.
Het stimuleert de ontwikkeling van verbonden producten en diensten op basis van nieuwe gegevensstromen, die van bijzondere waarde zijn voor kleinere bedrijven. Bovendien zijn micro- en kleine ondernemingen, als fabrikanten of aanbieders van aanverwante diensten, niet onderworpen aan dezelfde verplichtingen als grotere ondernemingen.
Om bedrijfsgeheimen te beschermen zonder afbreuk te doen aan het doel van de Data Act om meer gegevens beschikbaar te stellen, kunnen de gegevenshouder en de gebruiker/derde bepaalde maatregelen overeenkomen om de vertrouwelijkheid van de bedrijfsgeheimen te bewaren. Wanneer deze maatregelen niet worden nageleefd, kan de gegevenshouder de uitwisseling van gegevens inhouden of opschorten. De gegevenshouder mag alleen weigeren gegevens te delen wanneer hij kan aantonen dat de openbaarmaking van bedrijfsgeheimen zeer waarschijnlijk ernstige economische schade zal lijden.
De gegevenshouder en de gebruiker kunnen ermee instemmen het delen van gegevens te beperken indien er een risico bestaat dat de beveiligingseisen van het verbonden product kunnen worden ondermijnd, met ernstige nadelige gevolgen voor de gezondheid, de veiligheid of de beveiliging van mensen tot gevolg. Dergelijke vereisten moeten worden vastgelegd in het Unierecht of het nationale recht.
Indien de houder van de gegevens om redenen van bescherming van bedrijfsgeheimen of veiligheidseisen gegevens opschort, achterhoudt of weigert te delen, stelt hij de nationale bevoegde autoriteit daarvan in kennis. Gebruikers kunnen een dergelijk besluit aanvechten, hetzij voor de bevoegde rechterlijke instantie van een lidstaat, hetzij via een klacht bij de bevoegde autoriteit of na akkoord met de gegevenshouder voor een geschillenbeslechtingsorgaan.
Hoofdstuk III: Regels inzake verplichte uitwisseling van gegevens tussen bedrijven
Waarom?
De Data Act introduceert regels voor situaties waarin een bedrijf („gegevenshouder”) uit hoofde van EU- of nationale wetgeving een wettelijke verplichting heeft om gegevens beschikbaar te stellen aan een ander bedrijf („gegevensontvanger”), ook in het kader van IoT-gegevens. Met name moeten de voorwaarden voor gegevensuitwisseling eerlijk, redelijk en niet-discriminerend zijn.
Als stimulans voor het delen van gegevens kunnen gegevenshouders die verplicht zijn gegevens te delen, een „redelijke compensatie” van de ontvanger van de gegevens vragen.
Soorten gegevens in het toepassingsgebied
Hoofdstuk III van de Datawet is van toepassing op alle gegevens (zowel persoonlijke als niet-persoonlijke) die in het bezit zijn van een bedrijf, met inbegrip van situaties die onder hoofdstuk II van de Data Act vallen.
In de praktijk
Gegevenshouders kunnen een redelijke vergoeding vragen voor het ter beschikking stellen van de gegevens aan een gegevensontvanger. Dit kan kosten omvatten voor het beschikbaar stellen van de gegevens en technische kosten in verband met de verspreiding en opslag. Micro-ondernemingen, kmo’s en onderzoeksorganisaties zonder winstoogmerk mogen echter niet meer in rekening worden gebracht dan de kosten voor het beschikbaar stellen van de gegevens.
Om gegevenshouders te beschermen, bevat de Gegevenswet een niet-uitputtende lijst van maatregelen om situaties te verhelpen waarin een derde partij of gebruiker onrechtmatig toegang heeft gekregen tot of gebruik heeft gemaakt van gegevens. Een gegevenshouder kan bijvoorbeeld eisen dat een inbreukmakende partij stopt met de productie van het betrokken product of de gegevens vernietigt die hij onrechtmatig heeft verkregen, of hij kan schadevergoeding eisen.
Alle verplichtingen inzake gegevensuitwisseling die voorafgaan aan de Datawet blijven onaangetast. Verplichtingen in toekomstige (sectorale) wetgeving moeten worden afgestemd op de bepalingen van hoofdstuk III van de Datawet.
Hoofdstuk IV: Oneerlijke contractuele bedingen
Waarom?
Contractuele vrijheid staat centraal in business-to-business relaties. De Data Act heeft echter tot doel alle Europese bedrijven die gegevens willen verwerven, met name kmo’s, te beschermen tegen oneerlijke contractuele voorwaarden door middel van haar maatregelen om in te grijpen in situaties waarin bijvoorbeeld een van de bedrijven in een sterkere onderhandelingspositie verkeert (bijvoorbeeld vanwege de omvang van de markt) en een niet-onderhandelbare term („take-it-or-leave-it”) oplegt met betrekking tot toegang tot en gebruik van gegevens aan de andere kant.
Soorten gegevens in het toepassingsgebied
Deze regels hebben betrekking op alle gegevens, zowel persoonlijk als niet-persoonlijk, in het bezit van een particuliere entiteit die wordt geraadpleegd en gebruikt op basis van een contract tussen bedrijven.
In de praktijk
Eenzijdig opgelegde take-it-of-leave-it-voorwaarden kunnen, wanneer zij betrekking hebben op het beschikbaar stellen van gegevens, worden onderworpen aan een oneerlijkheidstoets.
De Data Act bevat een niet-uitputtende lijst van bedingen die altijd als oneerlijk worden beschouwd (bv. die de aansprakelijkheid van de partij die het beding eenzijdig voor opzettelijke handelingen of grove nalatigheid heeft opgelegd, zou uitsluiten of beperken) en van bedingen die geacht worden oneerlijk te zijn (bv. dat zou de rechtsmiddelen in geval van niet-nakoming van contractuele verplichtingen of aansprakelijkheid ongepast beperken in geval van niet-nakoming van contractuele verplichtingen of aansprakelijkheid in geval van niet-nakoming van die verplichtingen, of uitbreiding van de aansprakelijkheid van de onderneming aan wie het beding eenzijdig is opgelegd). Als een beding als oneerlijk wordt beschouwd, is deze niet langer geldig — waar mogelijk wordt deze gewoon van het contact gescheiden. Indien wordt aangenomen dat het oneerlijk is, kan de entiteit die het beding heeft opgelegd proberen aan te tonen dat het beding niet oneerlijk is.
Hoofdstuk V: Uitwisseling van gegevens tussen bedrijven en overheden
Waarom?
Gegevens die in het bezit zijn van particuliere entiteiten kunnen van essentieel belang zijn voor een overheidsinstantie om een taak van algemeen belang uit te voeren. Hoofdstuk V van de Datawet geeft openbare lichamen toegang tot dergelijke gegevens, onder bepaalde voorwaarden, wanneer er een uitzonderlijke behoefte is. Dit laatste verwijst naar een situatie die niet voorzienbaar en beperkt in de tijd is, waarin de gegevens waarover een particuliere entiteit beschikt, noodzakelijk zijn voor de uitvoering van de taak van algemeen belang, met name om de empirisch onderbouwde besluitvorming te verbeteren. Situaties van uitzonderlijke behoefte omvatten zowel openbare noodsituaties (zoals grote natuurrampen of door de mens veroorzaakte rampen, pandemieën en cyberincidenten) als niet-noodsituaties (bijvoorbeeld geaggregeerde en geanonimiseerde gegevens van GPS-systemen van bestuurders kunnen worden gebruikt om verkeersstromen te optimaliseren).
De gegevenswet zal ervoor zorgen dat overheidsinstanties tijdig en betrouwbaar toegang hebben tot dergelijke gegevens, zonder dat het bedrijfsleven een onnodige administratieve last oplegt.
Soorten gegevens die binnen het toepassingsgebied vallen
Onder hoofdstuk V zijn alle gegevens in scope, met een focus op niet-persoonsgebonden gegevens.
Hoofdstuk V van de Datawet inzake het delen van gegevens tussen bedrijven en overheden maakt onderscheid tussen twee scenario’s:
-
Om te reageren op een openbare noodsituatie moet een overheidsinstantie niet-persoonsgebonden gegevens opvragen. Als dit echter onvoldoende is om op de situatie te reageren, kunnen persoonsgegevens worden opgevraagd. Waar mogelijk moeten deze gegevens door de gegevenshouder worden geanonimiseerd.
-
In niet-noodsituaties mogen openbare lichamen alleen niet-persoonsgebonden gegevens opvragen.
Belangrijkste belanghebbenden
De entiteiten die gerechtigd zijn om gegevens op te vragen, zijn onder meer overheidsinstanties van de lidstaten en bepaalde EU-instellingen, -organen en -agentschappen. Deze entiteiten kunnen de gegevens ook onder bepaalde voorwaarden delen met onderzoeks- en financieringsorganisaties.
In het kader van verzoeken van ondernemingen tot overheid zijn gegevenshouders doorgaans particuliere entiteiten, maar kunnen zij ook overheidsbedrijven omvatten.
In de praktijk
Een overheidsorgaan kan een gegevenshouder onder bepaalde voorwaarden verplichten bepaalde gegevens onverwijld beschikbaar te stellen om op een openbare noodsituatie te reageren. De Data Act definieert een openbare noodsituatie; maar het bestaan ervan wordt bepaald volgens nationale of EU-procedures of wetten.
Voor uitzonderlijke behoeften die geen verband houden met een openbare noodsituatie, kan een overheidsorgaan niet-persoonsgebonden gegevens vragen om een specifieke taak van algemeen belang te vervullen die bij wet is vastgesteld, indien het overheidsorgaan kan aantonen dat het geen toegang tot de gegevens via andere middelen heeft gehad.
In beide gevallen (noodsituatie en niet-noodgeval) moeten verzoeken voldoen aan een aantal strikte beginselen en voorwaarden. Verzoeken moeten bijvoorbeeld specifiek, transparant en evenredig zijn, bedrijfsgeheimen moeten worden beschermd en de gegevens moeten worden gewist zodra ze niet langer nodig zijn.
In de onderstaande tabel wordt samengevat wat bedrijven in dit verband kunnen vragen om gegevens te verstrekken aan een overheidsinstantie.
Compensatie voor het beschikbaar stellen van gegevens op grond van hoofdstuk V van de Datawet
| Andere bedrijven dan micro- en kleine bedrijven kunnen vragen om: | Micro- en kleine bedrijven kunnen vragen om: | |
| Openbare noodsituatie | Bedrijven kunnen verzoeken dat hun gegevensbijdrage door de ontvangende overheidsinstantie wordt erkend en openbaar wordt erkend. | Redelijke vergoeding die niet hoger is dan de gemaakte technische en organisatorische kosten + publieke erkenning, op verzoek |
| Niet-noodsituatie | Redelijke vergoeding die niet hoger is dan de gemaakte technische en organisatorische kosten (behalve voor de productie van officiële statistieken) | N.v.t. (vrijgesteld van de verplichting om gegevens te verstrekken) |
Om de lasten voor bedrijven tot een minimum te beperken, kunnen dezelfde gegevens niet meer dan één keer worden opgevraagd („eenmalig beginsel”) door meer dan één overheidsinstantie. Daarom moeten alle verzoeken openbaar worden gemaakt door de gegevenscoördinator (tenzij er sprake is van een veiligheidsprobleem).
Hoofdstuk VI: Schakelen tussen gegevensverwerkingsdiensten
Waarom?
Om een concurrerende markt in de EU te waarborgen, moeten klanten van gegevensverwerkingsdiensten (met inbegrip van cloud- en edgediensten) naadloos van de ene aanbieder naar de andere kunnen overschakelen. Klanten worden momenteel echter geconfronteerd met een aantal belemmeringen, waaronder hoge kosten in verband met bijvoorbeeld gegevensoverdracht, langdurige procedures en een gebrek aan interoperabiliteit tussen aanbieders die kunnen leiden tot verlies van gegevens en toepassingen.
De Data Act maakt schakelen vrij, snel en vloeiend. Dit zal klanten ten goede komen, die vrijelijk de diensten kunnen kiezen die het beste aan hun behoeften voldoen, evenals aanbieders, die zullen profiteren van een grotere groep klanten.
Draagwijdte
Hoofdstuk VI van de Data Act is van toepassing op aanbieders van gegevensverwerkingsdiensten (d.w.z. digitale diensten die alomtegenwoordige en on-demand netwerktoegang mogelijk maken, zoals netwerken, servers of andere virtuele of fysieke infrastructuur en software). Gegevens die van cruciaal belang zijn voor het overstappen, omvatten input- en outputgegevens, met inbegrip van metagegevens, die worden gegenereerd door het gebruik van de dienst door de klant, met uitzondering van gegevens die worden beschermd door intellectuele-eigendomsrechten of die een bedrijfsgeheim van de dienstverlener vormen.
In de praktijk
Om het machtsevenwicht tussen aanbieders en klanten in de cloudmarkt te boven te komen, stelt de Data Act minimumeisen voor de inhoud van cloudcontracten. Met name klanten uit de particuliere en publieke sector zullen profiteren van een veel grotere contractuele transparantie.
De Datawet omvat maatregelen om ervoor te zorgen dat klanten snel en soepel van de ene aanbieder van gegevensverwerkingsdiensten („bronaanbieder”) naar een andere („bestemming”) kunnen overstappen, zonder dat er gegevens of functionaliteit van applicaties verloren gaan. Aanbieders van Platform en Software as a Service moeten bijvoorbeeld open interfaces beschikbaar stellen en ten minste gegevens exporteren in een veelgebruikt en machinaal leesbaar formaat. Aanbieders van Infrastructure as a Service moeten maatregelen nemen om ervoor te zorgen dat wanneer een klant overschakelt op een dienst van hetzelfde type, de klant materieel vergelijkbare resultaten krijgt als gevolg van dezelfde input voor functies die beide diensten delen („functionele gelijkwaardigheid”). Als voorbeeld van een dergelijke maatregel moet de bronprovider mogelijk tools gebruiken om computerworkloads van de ene virtualisatietechnologie naar de andere te verschuiven.
Alle aanbieders zijn verplicht om obstakels weg te nemen die hun klanten kunnen tegenkomen wanneer ze willen overstappen naar een andere provider of meerdere diensten tegelijkertijd willen gebruiken.
De Datawet zal vanaf 12 januari 2027 ook de overstapkosten, inclusief de kosten voor data-egressie (d.w.z. kosten voor datatransit), volledig afschaffen. Dit betekent dat aanbieders hun klanten niet in rekening kunnen brengen voor de operaties die nodig zijn om overstappen of gegevensoverdracht te vergemakkelijken. Als overgangsmaatregel gedurende de eerste drie jaar na de inwerkingtreding van de Data Act (van 11 januari 2024 tot 12 januari 2027) kunnen aanbieders hun klanten echter nog steeds in rekening brengen voor de kosten die zijn gemaakt in verband met het overstappen en het uitgaan van gegevens.
Hoofdstuk VII: Onrechtmatige toegang van de regering van derde landen
Waarom?
Soms is een besluit of vonnis van een land buiten de EU („derde land”) bedoeld om de overheid toegang te verlenen tot en doorgifte van niet-persoonsgebonden gegevens die binnen de EU worden verwerkt en opgeslagen. In bepaalde gevallen kan het verlenen van toegang tot of doorgifte van dergelijke gegevens echter daadwerkelijk onrechtmatig zijn, met name wanneer het verzoek in strijd is met de EU-wetgeving en garanties inzake de bescherming van de grondrechten van personen, nationale veiligheidsbelangen of commercieel gevoelige gegevens.
De Data Act volgt de Data Governance Act met betrekking tot de bepalingen die gericht zijn op het voorkomen van onrechtmatige overheidstoegang van derde landen en overdracht van niet-persoonsgebonden gegevens die in de EU worden bewaard. Dergelijke bepalingen hebben geen gevolgen voor de regelmatige uitwisseling van gegevens tussen bedrijven. Zij vergroten de transparantie en rechtszekerheid met betrekking tot het proces en de voorwaarden waaronder niet-persoonsgebonden gegevens kunnen worden geraadpleegd door of doorgegeven aan niet-EU-overheidsinstanties.
Soorten gegevens in het toepassingsgebied
Alle niet-persoonsgebonden gegevens die in de EU worden bewaard door een aanbieder van een gegevensverwerkingsdienst.
In de praktijk
De gegevenswet verbiedt geen grensoverschrijdende gegevensstromen, maar zorgt ervoor dat de bescherming van gegevens in de EU reist met gegevens die buiten de EU worden doorgegeven.
In dit verband worden in de gegevenswet regels en waarborgen vastgesteld voor verzoeken om toegang van een buitenlandse overheidsinstantie tot niet-persoonsgebonden gegevens die in de Unie worden bewaard. Deze bepalingen doen geen afbreuk aan legitieme internationale samenwerking op het gebied van rechtshandhaving.
Als er geen internationale overeenkomst bestaat die de toegang van een regering van een derde land tot niet-persoonsgebonden gegevens in de EU regelt, kunnen de gegevens alleen onder specifieke voorwaarden worden doorgegeven of geopend. Deze voorwaarden hebben betrekking op bepaalde waarborgen ter bescherming van de Europese rechten waaraan het rechtsstelsel van het derde land moet voldoen, met inbegrip van een verplichting om de redenen te vermelden en de evenredigheid in het besluit te beoordelen. De aanbieder van gegevensverwerkingsdiensten waarop een dergelijk besluit betrekking heeft, kan contact opnemen met de bevoegde nationale instantie om te helpen beoordelen of aan de voorwaarden van de gegevenswet is voldaan. Om te helpen beoordelen of aan deze voorwaarden is voldaan, zal de Europese Commissie samen met de Europese Raad voor gegevensinnovatie (een deskundigengroep die is opgericht op grond van de Data Governance Act) richtsnoeren ontwikkelen om de uitwisseling van beste praktijken te vergemakkelijken en prioriteit te geven aan sectoroverschrijdende interoperabiliteitsnormen.
Aanbieders van gegevensverwerkingsdiensten moeten alle redelijke maatregelen nemen (bv. versleuteling, audits, naleving van certificeringsregelingen) om de toegang tot de systemen waarin zij niet-persoonsgebonden gegevens opslaan, te voorkomen. Deze maatregelen moeten op hun websites worden gepubliceerd. Bovendien moeten zij, waar mogelijk, hun klanten informeren voordat zij toegang geven tot hun gegevens.
Hoofdstuk VIII: Interoperabiliteit
Waarom?
Normen en interoperabiliteit zijn van cruciaal belang om ervoor te zorgen dat gegevens uit verschillende bronnen binnen en tussen gemeenschappelijke Europese gegevensruimten kunnen worden gebruikt om onderzoek te bevorderen en nieuwe producten of diensten te ontwikkelen. Daartoe stelt de Data Act een aantal essentiële eisen vast waaraan deelnemers in dataruimten moeten voldoen en die door de Europese Commissie nader kunnen worden gespecificeerd door middel van gedelegeerde handelingen.
Het heeft ook tot doel de interoperabiliteit tussen gegevensverwerkingsdiensten te waarborgen; dit is essentieel als klanten kunnen profiteren van gemakkelijker overstappen.
Belangrijkste belanghebbenden
Dit hoofdstuk is gericht op deelnemers aan dataruimten die gegevens of datagebaseerde diensten aanbieden aan andere deelnemers en die het delen van gegevens binnen de dataruimten vergemakkelijken of daaraan deelnemen.
Het richt zich ook op leveranciers van slimme contracten en aanbieders van gegevensverwerkingsdiensten.
In de praktijk
Deelnemers aan dataruimten moeten voldoen aan verschillende essentiële vereisten om gegevens binnen en tussen dataruimten te laten stromen. Zo moet een beschrijving van de gegevensstructuren, gegevensformaten en woordenlijsten, indien beschikbaar, openbaar toegankelijk zijn. Daarnaast moet worden gezorgd voor middelen om de interoperabiliteit van overeenkomsten voor gegevensuitwisseling, zoals slimme contracten, te waarborgen.
De Data Act bereidt ook de basis voor het vergroten van de interoperabiliteit van gegevensverwerkingsdiensten door middel van geharmoniseerde normen en open interoperabiliteitsspecificaties.
Daarnaast worden eisen gesteld aan verkopers van slimme contracten voor de geautomatiseerde uitvoering van overeenkomsten voor het delen van gegevens, bijvoorbeeld om ervoor te zorgen dat zij de bepalingen van de overeenkomst inzake gegevensdeling correct uitvoeren en bestand zijn tegen manipulatie door derden.
De Commissie zal de belemmeringen voor interoperabiliteit beoordelen en prioriteit geven aan normalisatiebehoeften, op basis waarvan zij de Europese normalisatieorganisatie(s) kan verzoeken geharmoniseerde normen op te stellen die aan bovengenoemde eisen voldoen.
Indien het verzoek niet leidt tot een geharmoniseerde norm of indien de norm ontoereikend is om de conformiteit met de gegevenswet te waarborgen, kan de Commissie gemeenschappelijke specificaties als een terugvaloplossing vaststellen. Deze moeten op een open en inclusieve manier worden ontwikkeld, rekening houdend met de feedback van de Europese Raad voor gegevensinnovatie.
Hoofdstuk IX: Handhaving en overkoepelende bepalingen
De lidstaten wijzen een of meer (nieuwe of bestaande) bevoegde autoriteiten aan om de efficiënte uitvoering van de gegevenswet te waarborgen. Wanneer er meerdere bevoegde autoriteiten zijn, moeten de lidstaten een van hen aanwijzen als „gegevenscoördinator”. De gegevenscoördinator zal fungeren als „één loket” voor alle kwesties die verband houden met de tenuitvoerlegging van de gegevenswet op nationaal niveau, en faciliteert de toepassing zowel voor bedrijven als voor overheidsinstanties. Als een bedrijf bijvoorbeeld verhaal wil halen voor de inbreuk op hun rechten uit hoofde van de gegevenswet, moet de gegevenscoördinator (op verzoek) alle nodige informatie verstrekken om hen te helpen hun klacht in te dienen bij de bevoegde autoriteit. De gegevenscoördinator zal ook de samenwerking in grensoverschrijdende situaties vergemakkelijken, bijvoorbeeld wanneer een bevoegde autoriteit van een bepaalde lidstaat niet weet welke autoriteit zij moet benaderen in de lidstaat van de gegevenscoördinator.
De Commissie zal een openbaar register van bevoegde autoriteiten en gegevenscoördinatoren bijhouden.
De Europese Raad voor gegevensinnovatie zal de besprekingen tussen de bevoegde autoriteiten vergemakkelijken, bijvoorbeeld om aanbevelingen te coördineren en goed te keuren voor de vaststelling van sancties voor inbreuken op de gegevenswet. Sancties worden vastgesteld door de bevoegde autoriteiten en volgens de Data Act moeten er doeltreffende, evenredige en afschrikkende sancties zijn.
De lidstaten kunnen, indien zij dat wensen, gecertificeerde geschillenbeslechtingsinstanties oprichten om partijen bij te staan die geen overeenstemming kunnen bereiken over eerlijke, redelijke en niet-discriminerende voorwaarden voor het beschikbaar stellen van gegevens. Het staat partijen vrij zich tot elk orgaan voor geschillenbeslechting te wenden, hetzij in de lidstaat waar zij gevestigd zijn, hetzij in een andere lidstaat.
Gecertificeerde geschillenbeslechtingsmechanismen en gespecialiseerde bevoegde autoriteiten zullen het voor bedrijven, met name kleine bedrijven, gemakkelijker maken om hun rechten uit hoofde van de Data Act af te dwingen, aangezien zij een eenvoudige, snelle en goedkope oplossing bieden aan de betrokken partijen.
Wat is de volgende?
De Europese datastrategie zet de weg uit voor de EU om koploper te worden in de data-economie. Dit zal worden bereikt door de totstandbrenging van een Europese interne markt voor gegevens waarin gegevens op een veilige en betrouwbare manier tussen sectoren en lidstaten kunnen worden uitgewisseld ten behoeve van de economie en de samenleving. Door te zorgen voor billijkheid in de verdeling van de waarde van gegevens onder belanghebbenden, is de Datawet een sleutelelement voor het realiseren van deze visie.
De Datawet wordt van kracht op 12 september 2025.
Om bedrijven te helpen door deze nieuwe regels te navigeren, zal de Commissie een reeks modelcontractbepalingen aanbevelen om bedrijven te helpen overeenkomsten voor het delen van gegevens te sluiten die eerlijk, redelijk en niet-discriminerend zijn (hoofdstukken II en III van de Data Act). Deze voorwaarden bieden ook richtsnoeren voor een redelijke vergoeding en de bescherming van bedrijfsgeheimen. De Commissie zal ook een aantal niet-bindende standaardcontractbepalingen aanbevelen voor cloudcomputingcontracten tussen gebruikers van clouddiensten en aanbieders. Er is een deskundigengroep opgericht om de Commissie te helpen bij het opstellen van dergelijke voorwaarden en clausules en is van plan deze uiterlijk in het najaar van 2025 aan te bevelen.
Binnen drie jaar na de inwerkingtreding ervan zal de Commissie een evaluatie uitvoeren van het effect van de Data Act. Op basis hiervan kan de Commissie, indien nodig, een wijziging van de wet voorstellen.
Wettelijke kennisgeving
Dit document mag niet worden beschouwd als representatief voor het officiële standpunt van de Europese Commissie.