De EU Data Act betekent een fundamentele herijking van de manier waarop bedrijven verbonden producten en digitale diensten ontwerpen, uitrollen en vermarkten. Waar de AVG zich richt op de bescherming van persoonsgegevens, draait de Data Act om zeggenschap over álle product- en dienstdata: wie er toegang toe heeft, hoe deze gedeeld mogen worden en onder welke voorwaarden. Data die voorheen als bedrijfsgevoelige operationele informatie werd beschouwd, wordt daarmee een gereguleerd actief waartoe gebruikers en door hen aangewezen derde partijen rechtstreeks toegang moeten kunnen krijgen.

Deze verschuiving heeft verstrekkende gevolgen. Voor producenten betekent dit dat verbonden producten, van auto’s en medische apparatuur tot industriële machines en huishoudelijke apparaten, zo moeten worden ontworpen dat gebruikers ruwe productdata in bruikbare formats kunnen opvragen, vaak in realtime. Voor dienstverleners houdt het in dat bijbehorende apps en platforms naadloze dataportabiliteit moeten ondersteunen en lock-in moeten voorkomen. Voor cloudproviders worden overstapverplichtingen juridisch afdwingbaar: klanten moeten diensten voorspelbaar kunnen verlaten, tegen kostprijs tot 2027 en kosteloos daarna.

Dit artikel licht de reikwijdte van de Data Act toe, beschrijft welke data beschikbaar moeten worden gesteld, legt uit hoe cloud switching werkt en bespreekt de implicaties voor zowel Europese als Amerikaanse ondernemingen. Het sluit af met een praktische compliance-roadmap voor product-, legal- en engineeringteams in aanloop naar de ingangsdatum in september 2025.

Dit artikel is geschreven door Mourad Seghir en Lorena Velo. Mourad en Lorena zijn consultants bij RSM Netherlands Business Consulting en richten zich op technologie- en businessstrategie.

Wie wordt geraakt?

Op het eerste gezicht lijkt de Data Act een logische vervolgstap in de Europese regelgeving rondom data. De focus is echter aanzienlijk breder dan de nadruk van de AVG op persoonsgegevens.

  1. Verbonden producten: Fysieke producten die data verzamelen of genereren over hun gebruik of omgeving en deze kunnen communiceren, zoals wearables, voertuigen, huishoudelijke apparaten, industriële apparatuur en smartphones. Worden deze producten op de EU-markt gebracht, dan verkrijgen gebruikers rechten op de data die zij genereren, zelfs wanneer het product buiten de EU wordt gebruikt.
  2. Gerelateerde diensten: Digitale diensten (anders dan louter connectiviteit of stroomvoorziening) die verbonden zijn aan het product en zonder welke het product één of meerdere functies niet kan uitvoeren. Deze diensten kennen tweerichtingsdataverkeer, zoals de app die een machine aanstuurt.
  3. Dataverwerkingsdiensten: IaaS-, PaaS- en SaaS-diensten vallen onder het hoofdstuk over overstapverplichtingen en interoperabiliteit. Voor IaaS geldt bij uitstap een verplichting tot ‘functionele gelijkwaardigheid’. PaaS- en SaaS-aanbieders moeten open interfaces bieden, exporteerbare formats ondersteunen en compatibiliteit waarborgen met standaarden die in erkende repositories zijn opgenomen.

Welke data moet beschikbaar worden gesteld?

De Data Act richt zich op “gemakkelijk beschikbare” product- en gerelateerde dienstdata waarover de datahouder beschikt of die zonder onevenredige inspanning kan worden verkregen, inclusief de metadata die nodig zijn om deze te interpreteren. Het gaat om ruwe of voorbewerkte signalen zoals temperatuur, snelheid, batterijniveau, statusindicatoren en tijdstempels, en niet om verrijkte analyses of afgeleide inzichten.

De gegevens moeten worden verstrekt in een volledig, gestructureerd, gangbaar en machineleesbaar formaat, zoals XML, JSON of CSV. De kwaliteit moet gelijkwaardig zijn aan wat de datahouder intern gebruikt. Beschikbaarheid moet plaatsvinden zonder onnodige vertraging, en waar relevant en technisch haalbaar in realtime. Toegang dient eenvoudig en veilig te zijn ingericht, bij voorkeur met geautomatiseerde en selfservice-oplossingen.

Wanneer persoonsgegevens in het spel zijn, blijft de AVG onverkort van toepassing. Als een verzoek van een gebruiker betrekking heeft op persoonsgegevens, moet daarvoor een geldige verwerkingsgrondslag bestaan onder de AVG. Toezichthouders voor gegevensbescherming blijven bevoegd voor vraagstukken rond persoonsgegevens.

De technische architectuur is hierbij bepalend. Als een ontwerp externe opslag of overdracht van dergelijke data onmogelijk maakt, kunnen deze niet als “gemakkelijk beschikbaar” worden beschouwd. Zodra ruwe of voorbewerkte data op enig moment worden of kunnen worden opgeslagen of verzonden, al is het slechts kortstondig, moeten proportionele toegangsmechanismen worden ingericht.

Onderwerp 

Wat u moet doen 

Voorwaarden en beperkingen 

Praktische handvatten

Toegang van gebruikers tot apparaatgegevens

De gebruiker zonder onnodige vertraging voorzien van product- en/of gerelateerde servicedata in een gestructureerd, gangbaar en machineleesbaar formaat, inclusief de metadata die nodig is om deze data te kunnen interpreteren.

De levering moet tijdig plaatsvinden en, waar relevant en technisch haalbaar, in real time. Zorg ervoor dat het toegangspad eenvoudig en veilig is.

Bepaal per product of de toegang direct is (zonder betrokkenheid van de datahouder) of indirect (via de datahouder) en leg deze keuze vast.

Door de gebruiker verplichte overdracht aan een derde partij 

Op instructie van de gebruiker dezelfde data doorgeven aan een derde partij, onder eerlijke, redelijke en niet-discriminerende voorwaarden en met passende beveiliging.

De verplichte doorgifteplicht ziet op ontvangers die in de EU zijn gevestigd; doorgifte aan ontvangers buiten de EU is toegestaan, maar niet wettelijk verplicht.

Houd de verificatie van ontvangers proportioneel aan het risico en vermijd het verzamelen van meer informatie dan noodzakelijk is om de overdracht veilig uit te voeren.

Beperking voor poortwachters

DMA-‘poortwachters’ uitsluiten als ontvangers binnen het verplichte kanaal van artikel 4/5.

Het verbod staat er niet aan in de weg om buiten het verplichte kanaal vrijwillige, afzonderlijke commerciële afspraken te maken.

Als een klant een poortwachter aanwijst, bied dan een alternatief traject aan (bijvoorbeeld export voor verder gebruik of een afzonderlijke commerciële overeenkomst).

Bescherming van bedrijfsgeheimen (‘handrem’)

Bedrijfsgeheimen beschermen door vertrouwelijkheidsmaatregelen toe te passen voordat openbaarmaking wordt geweigerd of beperkt.

Weigering of opschorting moet per geval worden beoordeeld en gerechtvaardigd zijn door een grote waarschijnlijkheid van ernstige economische schade, ondanks getroffen waarborgen.

Leg de analyse vast, evenals de overwogen waarborgen, de reden voor weigering of beperking en eventuele kennisgevingen aan de gebruiker.

Bestaande vloten en niet-geïdentificeerde gebruikers

Het gebruik van data uit bestaande (legacy) producten voortzetten wanneer, na redelijke inspanningen, de daadwerkelijke gebruiker niet kan worden geïdentificeerd.

Zodra de gebruiker bekend wordt (bijvoorbeeld na een toegangsverzoek), moet het verdere gebruik contractueel met die gebruiker worden vastgelegd.

Ontwikkel een pragmatisch proces om gebruikers in de tijd te identificeren en een contractupdate te activeren zodra de identiteit is bevestigd.

Cloud switching en interoperabiliteit – geen lock-in by design

  • Overstappen kent een voorspelbare structuur. De opzegtermijn start op het moment dat de klant de provider informeert over de wens om over te stappen en kan maximaal twee maanden bedragen.
  • Daarna start de transitieperiode, die standaard 30 kalenderdagen duurt. In deze periode werkt de provider actief mee om de overstap te voltooien. De klant kan ervoor kiezen deze periode te verlengen.
  • Verlenging tot maximaal zeven maanden is alleen toegestaan als de provider binnen 14 dagen tijdens de opzegtermijn kan aantonen dat een periode van 30 dagen technisch niet haalbaar is.
  • Na 12 januari 2027 mogen er geen overstap- of uitstapvergoedingen meer worden gerekend; tot die datum mogen uitsluitend kostengebaseerde tarieven in rekening worden gebracht. De enige beperkte uitzondering betreft continu en parallel gebruik van meerdere cloudomgevingen. In dat geval mogen doorlopende egresskosten nog wel worden doorbelast.

Toegang door overheden uit derde landen

Artikel 32 ziet op een specifieke categorie internationale datastromen en is bedoeld om onrechtmatige toegang tot of doorgifte van in de EU opgeslagen niet-persoonsgebonden data door niet-EU-overheidsinstanties te voorkomen. Het artikel reguleert geen private grensoverschrijdende B2B-datatransfers.

Providers dienen de rechtmatigheid te verifiëren (bijvoorbeeld via een MLAT), proportionaliteit te waarborgen en, waar van toepassing, te zorgen voor rechterlijke toetsing. Daarnaast moeten passende maatregelen worden getroffen, zoals encryptie, audits, naleving van beveiligingscertificeringsschema’s en geactualiseerd intern beleid. In complexe gevallen kan overleg plaatsvinden met nationale MLAT-instanties of de nationale datacoördinator van de lidstaat.

De verplichtingen zijn gekoppeld aan aanwezigheid op de EU-markt, niet aan de nationaliteit van het bedrijf. Wie een verbonden product op de EU-markt brengt of dataverwerkingsdiensten aanbiedt die in de EU worden gebruikt, valt onder de Data Act.

Wat iedereen moet doen:

  • Zorg voor toegang voor gebruikers en doorgifte op verzoek van data uit onder de reikwijdte vallende apparaten, met bescherming van bedrijfsgeheimen en veiligheid.
  • Faciliteer cloud switching: publiceer formats en interfaces, ondersteun opzeg- en transitieprocessen en stem vergoedingen af op de wettelijke afbouwregeling.
  • Hanteer een ‘GDPR first’-benadering wanneer persoonsgegevens in het spel zijn.

Amerikaanse ondernemingen ervaren doorgaans meer frictie bij sterk op de VS gerichte cloudarchitecturen. De belangrijkste knelpunten liggen bij mogelijke conflicten met artikel 32, de economische impact van uitstapverplichtingen, sleutelbeheer, MLAT-procedures, meldingsverplichtingen en de verschuiving van egress-gedreven prijsmodellen naar een kostengebaseerde benadering nu en volledig kosteloze uitstap uiterlijk begin 2027.

Voor Europese fabrikanten met complexe distributieketens ligt de uitdaging vooral bij het identificeren van gebruikers en het inrichten van toegangsmechanismen voor eigenaren, leasemaatschappijen, huurders en partijen op de tweedehandsmarkt. Daarnaast vraagt het afstemming tussen sectorspecifieke veiligheids- en typegoedkeuringsregimes en de verplichtingen uit de Data Act.

Implementatie richtlijnen

 

Vooruitdenken

Product- en engineeringteams doen er goed aan compliance by design toe te passen door duidelijke datagrenzen vast te stellen. Deel uitsluitend ruwe of voorbewerkte datasignalen en relevante metadata, en vermijd het delen van bedrijfseigen conclusies of outputs van machine-learningmodellen. Met andere woorden: denk in termen van het aanbieden van “sensorwaarheid plus context” in plaats van toegevoegde analytische inzichten.

Bij edge-device-architecturen geldt dat, wanneer data nooit extern wordt opgeslagen of verzonden, de regels voor datadeling niet worden geactiveerd. Zodra er wel externe datastromen zijn, moeten proportionele toegangsopties worden ingebouwd, zoals gescheiden datastromen, beveiligde buffers en korte bewaartermijnen.

Wat betreft cloud exit moeten aanbieders voorbereid zijn op het ondersteunen van klant-offboarding met opzegtermijnen tot twee maanden en een standaard transitieperiode van 30 dagen, die op verzoek van de klant kan worden verlengd. Aanbieders mogen de transitie alleen tot maximaal zeven maanden verlengen wanneer zij technische onhaalbaarheid kunnen aantonen. Dit maakt het essentieel om nu al te beginnen met het in kaart brengen van dataformaten en het automatiseren van exportprocessen.

Tot slot is interoperabiliteit geen statisch gegeven, maar voortdurend in ontwikkeling. De EU zal een centrale databank met standaarden en specificaties bijhouden. Zodra een relevante standaard daarin wordt opgenomen, hebben organisaties één jaar de tijd om compatibiliteit te waarborgen. Doorlopende monitoring en tijdige afstemming zijn daarom essentieel om blijvend aan de regelgeving te voldoen.

RSM is een thought leader op het gebied van strategie- en Digital Law-consulting. Wij delen regelmatig inzichten via trainingen en thought leadership, gebaseerd op diepgaande kennis van marktontwikkelingen en praktische toepassingen die wij opdoen in samenwerking met onze klanten. Voor het bespreken van een veilige AI-roadmap, afgestemd op uw specifieke omgeving, kunt u contact opnemen met een van onze consultants.

Heeft u een vraag? Wij nemen zo snel mogelijk contact met u op.