De Data Act verandert de manier waarop bedrijven met data (mogen) omgaan. Van IoT en SaaS tot cloudproviders: vrijwel alle bedrijven die zich in de data-gedreven economie bewegen krijgen ermee te maken. Weet jij al wat dit voor jouw bedrijf betekent?
Op 12 september 2025 gaat de EU Data Act (officieel: Verordening 2023/2854) van kracht. Deze wet staat ook wel bekend als de Dataverordening. Hij raakt vrijwel ieder bedrijf dat met data werkt: van SaaS-dienstverleners tot IoT-aanbieders.
Het voelt wellicht, na de AI Act, de Digital Services Act (DSA), NIS2 en de European Accessibility Act (EAA), als alweer de zoveelste Europese regeling die de techsector op zijn bord krijgt. Misschien is het precies die regulering-fatigue die we bij veel ondernemers terugzien: ondanks de snel naderende ingangsdatum merken wij op kantoor dat nog maar weinig bedrijven de werkelijke impact begrijpen.
Contracten zijn vaak nog niet aangepast, technische exportmogelijkheden ontbreken en er is zelden een plan voor wat er straks, concreet, moet gebeuren wanneer een klant zijn data wil meenemen.
Wij raden daarom met klem aan om op korte termijn te inventariseren welke verplichtingen voor jouw organisatie gelden en of je bestaande contracten daar nog wel mee in overeenstemming zijn.
De Data Act is een Europese verordening die moet zorgen voor een eerlijkere en concurrerende data-economie. Waar eerdere wetten, zoals de AVG, vooral gericht waren op persoonsgegevens, gaat de Data Act over alle soorten data die slimme producten en digitale diensten genereren.
Het idee is simpel: data mogen niet langer opgesloten blijven bij de partij die een product of dienst levert. Gebruikers krijgen toegang tot de data die uit hun producten of diensten voortkomt. Zij mogen die data ook doorgeven aan derden – bijvoorbeeld een reparateur of een concurrent van de leverancier – mits ze daar zelf toestemming voor geven.
De Data Act verbiedt daarnaast contracten die oneerlijk of eenzijdig zijn opgelegd en dwingt cloud- en SaaS-providers om overstappen mogelijk te maken. Vendor lock-in lijkt dus verleden tijd. Overheden krijgen in noodgevallen toegang tot data, bijvoorbeeld bij rampen of crises. Tot slot bevat de wet regels over interoperabiliteit, zodat data en toepassingen makkelijker uitwisselbaar worden in Europese datasystemen.
De Data Act heeft een zeer breed toepassingsbereik. Hij geldt direct in alle EU-lidstaten (het betreft immers een verordening en geen richtlijn), dus ook in Nederland, zonder dat er eerst een nationale wet gemaakt hoeft te worden.
De wet raakt met name:
Ook bedrijven buiten de EU kunnen onder de Data Act vallen zodra zij producten of diensten aanbieden op de Europese markt, of data beschikbaar stellen aan partijen in de EU.
Let op: Kleine(re) ondernemingen hebben soms een uitzondering, bijvoorbeeld bij de verplichting om productdata te delen.
De Data Act vertaalt het idee van een eerlijke data-economie naar concrete verplichtingen. Dit zijn de belangrijkste:
Gebruikers van slimme producten krijgen het recht om de data die uit die producten voortkomen op te vragen. Zij mogen die data ook delen met derden, bijvoorbeeld een reparateur of concurrent van de leverancier. Die data moeten kosteloos, veilig, gestructureerd en machineleesbaar worden geleverd.
Derden die de data ontvangen hebben ook verplichtingen: ze mogen de data alleen gebruiken voor het afgesproken doel, ze moeten gegevens wissen zodra die niet meer nodig zijn en ze mogen de data niet doorspelen naar de grote “poortwachters” (zoals Google, Amazon, Microsoft).
Vanaf 12 september 2026 geldt: producten en diensten die nieuw op de markt komen moeten zo ontworpen zijn dat gebruikers standaard toegang tot de data hebben. Dit heet “data access by design”.
De Data Act bevat ook regels die specifiek ingrijpen in B2B-contracten. Het gaat daarbij om afspraken die één partij eenzijdig oplegt aan een andere, zonder dat er echt ruimte is om te onderhandelen. Zulke bepalingen kunnen ongeldig zijn wanneer ze te veel afwijken van wat in het handelsverkeer gebruikelijk en eerlijk wordt geacht.
Het uitgangspunt is dat contracten die gaan over toegang tot en gebruik van data, of over aansprakelijkheid en remedies bij dataverplichtingen, in balans moeten zijn. Als een clausule er bijvoorbeeld op neerkomt dat de ene partij alle aansprakelijkheid kan afschuiven, eenzijdig bepaalt hoe data gebruikt mogen worden, of de ander belemmert om zijn eigen data te kopiëren of mee te nemen, dan wordt dat al snel als onredelijk beschouwd.
De verordening maakt overigens onderscheid tussen bepalingen die altijd oneerlijk zijn en clausules die vermoedelijk oneerlijk zijn, tenzij bewezen wordt dat ze toch gerechtvaardigd zijn.
Naast de bepalingen over toegang tot en gebruik van data gaat de Data Act ook in op het wisselen van cloud- en SaaS-aanbieders. Deze regels zijn minder zichtbaar, maar kunnen veel impact hebben: voor zowel klanten die flexibeler willen zijn als voor providers die hun contracten moeten aanpassen.
De kern is dat overstappen niet langer mag worden bemoeilijkt door lange opzegtermijnen, technische barrières of hoge kosten. Aanbieders krijgen de plicht om migraties praktisch te ondersteunen en data in een geschikt formaat beschikbaar te stellen. Het idee is dat klanten niet vastzitten, maar keuzevrijheid houden en zonder grote belemmeringen kunnen verhuizen naar een andere dienst. Op termijn verdwijnen ook de overstapkosten helemaal, waarmee de verordening de markt opener en concurrerender wil maken.
Bij crises (zoals pandemieën of natuurrampen) kunnen overheden bedrijven verplichten data te delen als dat nodig is voor een taak van algemeen belang. Dit moet proportioneel zijn en mag niet structureel of onbeperkt.
Datastructuren, API’s, metadata en taxonomieën moeten op een manier worden ingericht dat data automatisch uitwisselbaar is. Voor smart contracts gelden extra eisen rond veiligheid en “fail-safe”-mechanismen.
De Data Act grijpt stevig in op B2B-contracten. Allereerst worden onredelijke, eenzijdig, opgelegde clausules in beginsel verboden. Denk aan bepalingen die klanten beletten hun eigen data mee te nemen, of die alle aansprakelijkheid bij de andere partij neerleggen. Zulke afspraken zijn straks ongeldig.
Daarnaast legt de verordening juist ook positieve verplichtingen op. Aanbieders van dataverwerkingsdiensten, zoals SaaS- en cloudproviders, moeten bepaalde afspraken expliciet in hun contracten opnemen. Bijvoorbeeld over hoe een klant kan overstappen naar een andere aanbieder, welke data daarbij worden overgedragen en hoe lang die toegankelijk blijven. Daarmee worden contracten transparanter en krijgen klanten meer zekerheid over hun rechten.
Ja, dat zou zeker kunnen. De Data Act geeft gebruikers van een verbonden product of dienst een wettelijk recht om de data die daaruit voortkomt op te vragen. Zij mogen die data ook rechtstreeks doorgeven aan derden, zoals een reparateur of zelfs een concurrent. Dat kan voor jou als datahouder betekenen dat waardevolle data buiten je eigen bedrijf terechtkomt. De gebruiker heeft overigens geen recht op verstrekking van de data als hij zelf al direct toegang heeft tot de gegevens via het product of de bijbehorende dienst, bijvoorbeeld als hij deze makkelijk zelf kan downloaden.
Nee. Het recht op toegang tot data in de Data Act heeft vooral betrekking op gegevens die voortkomen uit verbonden producten of bijbehorende diensten: de zogenoemde product- en servicedata. Maar de wet gaat verder dan dat.
Voor andere onderdelen, zoals de regels tegen oneerlijke contractvoorwaarden of de verplichtingen rond het beschikbaar stellen van data, is het bereik veel ruimer. Daar kan het gaan om vrijwel elk type bedrijfsdata dat contractueel wordt gebruikt, gedeeld of beschikbaar gesteld.
De Data Act hanteert ook een brede definitie van “data”: elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluids-, visuele of audiovisuele opnames.
Of het persoonsgegevens zijn of niet, maakt daarbij in principe dus geen verschil. Alleen in specifieke gevallen gelden er aanvullende regels voor persoonsgegevens, die dan naast de AVG van toepassing blijven.
De wet richt zich vooral op verbonden producten en de digitale diensten die daarbij horen. Dat zijn apparaten die voortdurend gegevens verzamelen over hun gebruik of omgeving en die informatie kunnen doorsturen. Ook de software of diensten die de werking van zulke apparaten ondersteunen of uitbreiden vallen hieronder. Het gaat dus om een brede categorie, van consumentengoederen tot industriële toepassingen.
De Data Act schrijft voor dat data toegankelijk, veilig en in een bruikbaar formaat moeten worden gedeeld, soms zelfs in real-time. Gebruikers mogen die gegevens zelf opvragen of doorgeven aan derden. Dit moet in principe kosteloos gebeuren, behalve wanneer het om een overdracht naar een ander bedrijf gaat, dan kan in beginsel een redelijke vergoeding in rekening worden gebracht.
Ja, in principe wel. De Data Act gaat zo ver dat zelfs gegevens die vertrouwelijk of concurrentiegevoelig zijn beschikbaar moeten worden gesteld. Je mag daarbij als bedrijf vaak wel vragen om passende waarborgen, zoals geheimhoudingsafspraken of strikte toegangsprotocollen.
Alleen in uitzonderlijke gevallen mag je weigeren. Bijvoorbeeld wanneer er geen overeenstemming komt over de noodzakelijke beschermingsmaatregelen, of wanneer je kunt aantonen dat het delen van de data ondanks die maatregelen tot ernstige economische schade zou leiden. Ook dan geldt dat de weigering goed onderbouwd en gemeld moet worden.
Nee, dat kan niet. De rechten die de Data Act aan gebruikers geeft, kun je niet contractueel uitsluiten of beperken. Zelfs als je in je Servicevoorwaarden zou opnemen dat klanten afstand doen van hun recht op toegang tot data, blijft dat juridisch ongeldig.
Ja. De Data Act gaat niet alleen over fysieke ‘verbonden producten’, maar raakt ook aanbieders van digitale diensten zoals SaaS, PaaS en cloud. Jij moet ervoor zorgen dat klanten makkelijker kunnen overstappen naar een andere aanbieder en dat contracten bepaalde waarborgen bevatten over data-overdracht en gebruiksrechten. Dit kan een grote impact hebben op hoe je je diensten aanbiedt en contracten opstelt.
De Data Act verplicht SaaS-aanbieders om in hun contracten vast te leggen hoe klanten kunnen overstappen naar een andere provider. Daarbij gaat het onder meer om afspraken over termijnen, ondersteuning bij migratie en het tijdelijk beschikbaar houden van data na beëindiging van de dienst. De Europese wetgever is opvallend concreet over welke clausules in een SaaS-overeenkomst moeten worden opgenomen. Het is daarom verstandig om dit zorgvuldig door een jurist te laten beoordelen of opstellen.
De Data Act gaat veel veranderen voor ICT-dienstverleners, SaaS-aanbieders en bedrijven die werken met IoT-data. Nieuwe contracten moeten vanaf 12 september 2025 meteen voldoen aan de eisen uit de verordening. Voor bestaande afspraken gelden overgangstermijnen, afhankelijk van de looptijd en einddatum.
Verzamel of verwerk je gegevens via een product of online dienst? Dan is het verstandig om je contracten en algemene voorwaarden tijdig te laten beoordelen. Bepaalde clausules kunnen straks ongeldig zijn, terwijl er ook nieuwe verplichtingen in moeten worden opgenomen.
Hulp nodig? Wij kijken graag met je mee. Of het nu gaat om een snelle contractcheck of advies over de praktische gevolgen van de Data Act: ons team van juristen zorgt voor oplossingen die aansluiten bij jouw organisatie.
Co-founder & Senior Legal Counsel
We zijn gevestigd op de Vijzelstraat 68 (1017 HL) in het mooie Amsterdam en sinds 2018 ingeschreven in het register van de Kamer van Koophandel onder nummer: 71533230.
Ons BTW-nummer: NL858752530B01.
Vijzelstraat 68
1017 HL, Amsterdam
KvK: 71533230
BTW-nummer: NL858752530B01
Privacy- en cookieverklaring
Hester is een van de oprichters van SenS juristen en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten.
Inmiddels werkt ze al zo’n 8 jaar bij SenS juristen en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.
Haar passie voor tech (en met name AI!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht.
Lucia is mede-oprichter van SenS juristen en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.
Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij SenS juristen de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.
Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).