De EU is druk bezig met het uitvoeren van haar Digitale Agenda. In dat kader zijn er al veel verordeningen en richtlijnen vastgesteld, zoals de AVG, de AI Act en de NIS 2-richtlijn. De Data Act is de volgende stap in deze strategie. Met deze Dataverordening worden onder andere regels gesteld over:
- Transparantie over en toegang tot de data die een product verzamelt
- Overstappen tussen clouddiensten
- Opeisen van data door de overheid
- Verboden en verplichte bepalingen in contracten
- Interoperabiliteit
Deze regels gelden voor ieder bedrijf dat data verzamelt of slimme apparaten verkoopt, van telefoonverkopers tot techreuzen.
Transparantie en toegang
Centraal in de Data Act staat de plicht voor producenten en verkopers om transparant zijn. Een product zoals een telefoon of een cloud-abonnement moet zo zijn ontworpen dat de gegenereerde data standaard gemakkelijk en veilig toegankelijk is. De verkoper of aanbieder moet hier duidelijk over zijn naar de klant. Vóór de koop of het aangaan van het abonnement moet er bijvoorbeeld informatie worden gegeven over welke data wordt verzameld, of deze in real time wordt gegenereerd, wie de data gaat gebruiken en hoe de gebruiker toegang kan krijgen tot de data.
Daarnaast krijgt de gebruiker van diensten en producten onder de Data Act het recht om de data gratis ter beschikking gesteld te krijgen. Als een gebruiker dat wil, is de datahouder ook verplicht om de data te delen met een derde partij. Deze ontvanger mag de data vervolgens niet voor eigen gewin misbruiken; het recht bestaat specifiek om de gebruiker tegemoet te komen.
Overstappen tussen clouddiensten
In dit kader van toegang tot en overdracht van data, ligt er ook een belangrijke focus op het recht om over te kunnen stappen tussen clouddiensten. De Act stelt bijvoorbeeld een verbod in op commerciële, technische, contractuele of organisatorische zaken die gebruikers erin belemmeren om op te zeggen of een overeenkomst met een andere provider aan te gaan. Daarmee wordt het verplicht voor een partij als Google of Apple om overstappen tussen Google Drive en iCloud mogelijk te maken. Het doel daarbij is om “functionele gelijkwaardigheid” te bereiken.
De eerste 3 jaar dat de Act geldt mogen aanbieders hiervoor een vergoeding vragen, maar daarna moet de cloudoverstap gratis worden verzorgd.
Opeisen van data
In uitzonderlijke situaties krijgt de overheid het recht om data op te eisen. Dat kan in drie gevallen:
- Er is een algemene noodsituatie;
- Er dreigt een algemene noodsituatie die de overheid probeert te voorkomen;
- Doordat de overheid de data niet heeft, kan zij een specifieke taak van algemeen belang niet uitvoeren. Er is geen mogelijkheid om de data aan te kopen, en de data zou administratieve lasten aanzienlijk verminderen.
Als de overheid in één van deze drie gevallen een onderbouwd verzoek indient, mag zij de data opvorderen en gebruiken, waarbij ze zich beperkt tot het noodzakelijke gebruik.
Contracten
De Data Act verplicht en verbiedt een aantal contractuele bepalingen.
In een contract waarbij dataverwerkingsdiensten zijn betrokken, moeten verplicht bepalingen worden opgenomen over het overstappen naar een andere dienst of naar een on-premise-omgeving. Deze overstap moet binnen 30 dagen worden verzorgd. Ook moet een volledige specificatie worden aangeboden van alle categorieën data die tijdens het overstappen geëxporteerd kunnen worden, waaronder alle data die de klant oorspronkelijk invoerde, en alle data en metadata die zijn gecreëerd.
In alle contracten voor producten en diensten die data verzamelen, is het verboden om bepalingen op te nemen die afwijkingen “van de goede handelspraktijken bij de toegang tot en het gebruik van data, en [indruisen] tegen de beginselen van goede trouw en billijke handel.” Dat betekent bijvoorbeeld dat de aansprakelijkheid voor grove nalatigheid niet mag worden uitgesloten. Ook wordt een bepaling die het verkrijgen en gebruiken van data bemoeilijkt geacht oneerlijk (en dus verboden) te zijn.
Interoperabiliteit
Ten slotte moeten de exploitanten van dataruimtes ervoor zorgen dat zij compatibel zijn met andere dataruimtes. Dat betekent dat zij een heel aantal zaken moeten beschrijven, en dat ze het gebruik van smart contracts mogelijk moeten maken. Zo moeten de dataset, gebruiksbeperkingen, licenties, dataverzamelingsmethoden, datakwaliteit en onzekerheid beschreven worden, zodat de ontvanger de data kan vinden, raadplegen en gebruiken. Daarnaast moeten de datastructuren, dataformaten, vocabularia, classificatieschema’s, taxonomieën en codelijsten op een voor het publiek toegankelijke en consistente wijze worden beschreven. Als laatste moet de technische toegang tot de data, zoals interfaces en gebruiksvoorwaarden worden beschreven zodat het mogelijk is om de automatische toegang tot en overdracht van data tussen partijen mogelijk te maken.
Toekomst
De verplichtingen uit de Data Act zijn op punten zeer vérgaand, en vergen veel van bedrijven. De openheid die de Data Act probeert te bereiken is op dit moment nog zeker niet altijd de norm. Daarnaast zijn er veel bedrijven die hun verdienmodel misschien wel (deels) moeten herzien.
Er is nog tijd voor bedrijven om zich goed voor te bereiden op de Data Act. De Data Act is in werking getreden op 11 januari 2024, en nu is een aanloopperiode gestart van 20 maanden. Op 11 september 2025 moeten bedrijven dus klaar zijn voor de nieuwe regels.
De Data Act brengt grote veranderingen met zich. Bent u actief in de ICT-branche en heeft u juridische vragen over de Data Act? Of bent u een verkoper van technische producten en wilt u meer weten over uw rechten en plichten? Neem dan gerust contact op met mij of een van mijn collega’s IT-recht . We denken graag met u mee.
Thijmen van Hoorn, advocaat IT-recht