Niet bij je eigen data uit een apparaat of toepassing kunnen omdat ze vast zitten bij een bedrijf: de Data Act van de Europese Unie wil dat probleem aanpakken en gebruikers die de data gegenereerd hebben meer rechten geven.
Stel je voor: je bent eigenaar van een hypermodern landbouwbedrijf. Al je machines zijn smart en genereren bergen data over allerlei zaken, van de bodemvochtigheid tot de prestaties van je tractoren. Je wilt die data graag delen met een bedrijf dat gespecialiseerd is in data-analyse, zodat zij je kunnen helpen je opbrengsten te optimaliseren. Maar je data zitten vast in de systemen van de fabrikant van die machines.
Vóór de Data Act was het opvragen en delen van deze data misschien onmogelijk, of in ieder geval erg lastig. De Europese Data Act (datawet)verandert dit. In ieder geval op papier.
Waarom de Data Act?
Voordat we op de inhoud ingaan eerst de vraag: waarom de Data Act? Hiermee wil de Europese Unie zorgen voor een eerlijke digitale economie en gelijktijdig concurrentie en innovatie binnen de digitale economie stimuleren. De Data Act richt zich dan ook met name op het wegnemen van drempels die dit bemoeilijken. Zoals de naam van de verordening al verraadt is het kernbegrip van deze wetgeving ‘data’.
Data bestaan uiteraard in vele soorten en maten. Een belangrijke categorie zijn de persoonlijke data (oftewel persoonsgegevens) die centraal staan in de Algemene verordening gegevensbescherming. In de Data Act staan data gegenereerd door slimme apparaten (Internet of Things) centraal. Denk aan je hardloophorloge, Google Home, de robotstofzuiger of die slimme landbouwmachine van eerder.
Het overgrote deel van de door slimme apparaten gegenereerde data blijft op dit moment onbenut, terwijl juist deze data enorm veel economische en maatschappelijke potentie hebben. Zonde dus om dit potentieel links te laten liggen, vindt de Europese wetgever.
Wat gaat de Data Act veranderen?
Maar hoe zorgt de Data Act ervoor dat we deze data wel daadwerkelijk kunnen gaan gebruiken? De wet introduceert verschillende verplichtingen voor organisaties om te zorgen voor:
- eerlijke toegang tot data;
- het vergemakkelijken van het gebruik van data en;
- het eenvoudiger kunnen overstappen tussen aanbieders van data gerelateerde diensten.
Hieronder gaan we in op de belangrijkste verplichtingen uit de Data Act.
Toegang tot en delen van data
In de Data Act wordt onder een “gebruiker” verstaan: het bedrijf of de persoon die een slim apparaat bezit, leaset of huurt en daar gebruik van maakt. De gebruiker van een slim apparaat heeft het recht om toegang te krijgen tot de data die dit apparaat genereert.
De gebruiker mag deze data ook delen met wie hij maar wil. Deze partij met wie de data worden gedeeld wordt in de Data Act de “dataontvanger” genoemd. Om dit bereiken zal de gebruiker – in de meeste gevallen – de hulp nodig hebben van de fabrikant van een slim product. Deze heeft immers de beschikking over al de data. In de Data Act wordt deze rol dan ook de “datahouder” genoemd. De fabrikant van het slimme apparaat is verplicht om de data gratis en op een eenvoudige manier ter beschikking te stellen, bijvoorbeeld via API’s (een set van regels en protocollen die bepaalt hoe softwaretoepassingen met elkaar kunnen communiceren en gegevens kunnen uitwisselen). Het mag in ieder geval geen onevenredige inspanning van de gebruiker vergen om toegang te krijgen tot de data. De dataontvanger mag de data vervolgens echter niet gebruiken om een concurrerend product te ontwikkelen. De data mag alleen gebruikt worden voor het doel waarvoor de gebruiker het heeft verstrekt.
Een concreet voorbeeld: denk aan de situatie waarin een consument zijn elektrische auto wil laten repareren en de reparateur hiervoor de data nodig heeft. In dat geval moet de datahouder (de fabrikant van de auto) de data die de elektrische auto heeft verzameld op een effectieve en veilige manier delen met de dataontvanger (de reparateur). Zo wordt de potentie van de data optimaal benut. Deze reparateur mag de data dan dus wel alleen gebruiken voor het repareren van de auto.
Om ervoor te zorgen dat de gebruiker ook kennis heeft van deze mogelijkheden moet de fabrikant de gebruiker van een slim apparaat informeren over:
- welke data worden verzameld of gegenereerd;
- of deze in real time worden gegenereerd;
- wie de data gaat gebruiken;
- hoe de gebruiker toegang kan krijgen tot de data.
Zo krijgt de gebruiker dus de controle over de data die door zijn of haar gebruik worden verzameld.
Randvoorwaarden bij het delen van data
Maar wat als de datahouder bang is dat degene aan wie de data worden verstrekt zijn bedrijfsgeheimen zal ontdekken? Data kunnen immers de nodige gevoelige of vertrouwelijke informatie bevatten. Ook daar is in Data Act aan gedacht. De datahouder mag maatregelen afspreken met de dataontvanger om zijn bedrijfsgeheimen te beschermen. Verder mag het delen van data worden beperkt als er een risico bestaat voor de gezondheid, veiligheid of beveiliging van personen. In het geval dat het delen van data wordt opgeschort of geweigerd, ter bescherming van bedrijfsgeheimen of het veiligheidseisen, dan moet de bevoegde nationale toezichthouder daarover worden geïnformeerd.
Datahouders mogen een redelijke vergoeding vragen voor het delen van data, waarbij als uitzondering geldt dat bij micro-ondernemingen, MKB-ondernemingen en onderzoeksorganisaties zonder winstoogmerk, niet méér in rekening mag worden gebracht dan de kosten voor het delen van de data.
Datahouders zullen bij het beschikbaar stellen van de data voorwaarden kunnen hanteren, zowel richting de gebruiker als richting de dataontvanger. Als dit voorwaarden zijn die door alleen de datahouder zijn vastgesteld, kunnen die getoetst worden op hun “eerlijkheid”. Als bepalingen in deze voorwaarden oneerlijk zijn, dan zijn ze ongeldig. Dat betekent dat je daar als gebruiker of dataontvanger dus niet aan gebonden bent.
De bovenstaande regels vergemakkelijken het toegang krijgen tot en het delen van data voor gebruikers.
Overstappen tussen clouddiensten
De Data Act heeft ook gevolgen voor clouddiensten. Zo stelt de Data Act minimumeisen aan de inhoud van cloudcontracten om de transparantie voor klanten te vergroten. Wat echter met name impact zal hebben is de verplichting voor aanbieders van clouddiensten om ervoor te zorgen dat klanten gemakkelijk kunnen overstappen naar een andere aanbieder.
In dit kader moeten aanbieders van clouddiensten open interfaces beschikbaar stellen en data-export in een algemeen gebruikt, en machineleesbaar formaat mogelijk maken. Hierbij moeten de cloudaanbieders maatregelen nemen om functionele gelijkwaardigheid te garanderen bij het overstappen van klanten. Hier zullen ze vanaf 12 januari 2027 geen kosten meer voor in rekening mogen brengen.
Dataruimten
Verder heeft de Data Act gevolgen voor deelnemers aan “dataruimten” (data rooms). In de Data Act is dit begrip niet gedefinieerd. Uit de Europese Datastrategie is echter af te leiden dat dit digitale omgevingen betreft die bedoeld zijn om de beschikbaarheid, het gebruik en de uitwisseling van data te bevorderen. In totaal zullen negen van deze dataruimtes, binnen verschillende sectoren en gebieden van algemeen belang, worden ontwikkeld.
Deelnemers aan dataruimtes moeten ervoor zorgen dat data-uitwisseling binnen en tussen andere dataruimten mogelijk is. Dit betekent dat onder meer de volgende aspecten beschreven moeten worden door deze deelnemer:
- de dataset zelf;
- eventuele gebruiksbeperkingen;
- licenties;
- dataverzamelingsmethoden;
- datakwaliteit en onzekerheid.
Verder moeten deelnemers het hoe en wat van de data (datastructuren, dataformaten, en zo verder) op een toegankelijke en vaste manier presenteren, zodat de informatie over hun data begrijpelijk en bruikbaar is voor het beoogde publiek.
Tot slot moet de technische toegang tot de data duidelijk worden beschreven, inclusief de interfaces en gebruiksvoorwaarden. Dit moet ervoor zorgen dat geautomatiseerde toegang tot en overdracht van data tussen partijen mogelijk wordt gemaakt.
Informatieverzoeken van overheden
Maar niet alleen de private sector wordt gereguleerd in de Data Act. Ook aan overheden worden verplichtingen opgelegd. De Data Act staat de overheid toe om in uitzonderlijke gevallen data op te vragen. Maar let op: de overheid moet aantonen dat er echt een uitzonderlijke behoefte is, bijvoorbeeld een noodsituatie. De uitzonderlijke behoefte moet betrekking hebben op het uitvoeren door de overheid hun haar wettelijke verplichtingen in het publieke belang.
Bovendien moet het dataverzoek specifiek, transparant en evenredig zijn en moeten bedrijfsgeheimen beschermd worden. Zodra de overheid de data niet meer nodig heeft moet ze deze direct verwijderen. Dezelfde data mogen niet meer dan één keer mag worden opgevraagd door verschillende overheidsinstanties. Dit is om te voorkomen dat tal van verschillende overheidsinstanties dit soort verzoeken gaan doen.
Vanaf wanneer geldt de Dataverordening?
Met de bovenstaande maatregelen wil de Europese wetgever op kop blijven lopen in de transitie naar een digitale economie en concreet bijdragen aan het tot stand komen van een Europese interne markt voor data. Vanaf 11 september 2025 moeten organisaties voldoen aan de regels uit de Data Act. Heb je vragen over dit onderwerp? Neem gerust contact met ons op.
