Met de Europese datastrategie streeft de EU ernaar een leidende rol te vervullen in onze data-gedreven wereld. Waar de EU zich met de komst van de AVG met name focuste op de bescherming van persoonsgegevens, wordt met deze datastrategie beoogd om een betere balans te vinden met waardecreatie van data. De nieuwe Data Act, die op 11 januari 2024 in werking is getreden, is één van de onderdelen van deze nieuwe koers. Deze verordening schept regels voor aanbieders van ‘slimme’ apparaten zoals je smartwatch, slimme meter of videodeurbel. Ook wel het Internet of Things (IoT) genoemd. Deze apparaten genereren ontzettend veel data en de EU ziet daar veel economische potentie in. Maar wat houden de nieuwe regels dan precies in? Je kunt er in dit eerste deel van een tweeluik over de Data Act meer over lezen!
Wat regelt de Data Act?
De Data Act is erop gericht om de data-economie van de EU te versterken en een concurrerende datamarkt te stimuleren. Dit moet worden bereikt door data toegankelijker en bruikbaarder te maken, innovatie gebaseerd op data te bevorderen en de beschikbaarheid van data te vergroten. De wet moet zorgen voor een eerlijke verdeling van de waarde van data door te bepalen wie welke data mag gebruiken en onder welke voorwaarden precies.
Toegang
Een belangrijk nieuw aspect van de wet is dat gebruikers van IoT-apparaten toegang krijgen tot de data die zij genereren door gebruik van het apparaat of de bijbehorende dienst. IoT-apparaten moeten namelijk voortaan zo worden ingericht dat de data, inclusief relevante metadata, standaard, gemakkelijk, veilig en kosteloos toegankelijk zijn voor de gebruiker. Stel je bijvoorbeeld een slim koffiezetapparaat voor. Wanneer een gebruiker ’s ochtends koffie wil zetten, kan hij via een app op zijn telefoon verbinding maken met het koffiezetapparaat. In deze app moet hij gemakkelijk toegang krijgen tot alle data van het apparaat, zoals de hoeveelheid water in de tank, de temperatuurinstellingen en het aantal gezette kopjes koffie.
Overdraagbaarheid
Is het koffiezetapparaat kapot? Dan biedt de Data Act de gebruiker de mogelijkheid om de aanbieder te verzoeken om de door het apparaat gegenereerde data te delen met een reparateur. Als gebruiker kun je er namelijk voor kiezen om de data met derden te laten delen. Hierdoor kunnen aanbieders van aftermarket-diensten, zoals reparatiebedrijven, hun diensten verbeteren en innoveren, wat eerlijke concurrentie met vergelijkbare diensten van fabrikanten bevordert. De derde partij die de data ontvangt, mag deze alleen gebruiken zoals is overeengekomen met de gebruiker. Voor het delen van de data kan de aanbieder daarnaast een redelijke vergoeding vragen aan de derde partij.
De Data Act bevat ook maatregelen om te waarborgen dat klanten probleemloos en snel van de ene cloudprovider naar de andere kunnen overstappen, zonder verlies van gegevens of functionaliteit van applicaties. Zo wil de EU het verstoorde machtsevenwicht tussen providers en klanten op de cloudmarkt aanpakken. Klanten ondervinden momenteel namelijk verschillende obstakels. Denk aan hoge kosten voor gegevensoverdracht, langdurige procedures en een gebrek aan interoperabiliteit tussen providers. Cloudproviders worden daarom bijvoorbeeld verplicht om open interfaces beschikbaar te stellen en gegevens te exporteren in een gangbaar en machinaal leesbaar formaat.
Transparantie
Ook op het gebied van transparantie bevat de Data Act nieuwe verplichtingen voor aanbieders van IoT-apparaten. Zo moeten ze gebruikers vóór de aankoop het product en aanschaf van de dienst informeren over zaken als het type data dat kan worden gegenereerd, of deze continu en in real-time gegenereerd kan worden en hoe de data door de gebruiker kan worden ingezien. En dat is nog maar een kleine greep uit de lijst met informatie die een aanbieder dient te verschaffen.
B2G-gegevens delen
Een andere opvallende nieuwe bepaling is dat overheden de data die in handen is van aanbieders van IoT-apparaten of diensten kunnen opvragen in het geval van een uitzonderlijke behoefte. Het gaat dan om openbare noodsituaties zoals bijvoorbeeld een pandemie. Deze bepaling lijkt dan ook voort te vloeien uit de ervaringen die zijn opgedaan in de COVID-19-pandemie. Daarnaast valt bijvoorbeeld ook te denken aan grote cyberaanvallen op het stroom- en gasnetwerk. De overheid zou in zo’n situatie de data van slimme meters van huishoudens op kunnen vragen bij energieleveranciers om te bepalen welke delen van het netwerk zijn getroffen.
Verder zou ook een niet-noodsituatie kunnen leiden tot een uitzonderlijke behoefte. Dit is het geval wanneer een overheidsinstantie specifieke data heeft geïdentificeerd waarvan het ontbreken haar ervan weerhoudt een taak van algemeen belang te vervullen.
Oneerlijke contractuele voorwaarden B2B
De verordening tracht ook kleine, middelgrote en micro-ondernemingen (kmo’s) te beschermen tegen partijen met een sterke onderhandelingspositie vanwege hun marktaandeel. De Data Act bevat daarom een niet-uitputtende lijst van voorwaarden die altijd als oneerlijk worden beschouwd en van voorwaarden die als vermoedelijk oneerlijk worden beschouwd. Dit moet kmo’s met name beschermen tegen eenzijdig opgelegde take-it-or-leave-it-voorwaarden zoals bijvoorbeeld het eenzijdig uitsluiten van aansprakelijkheid voor opzettelijke handelingen of grove nalatigheid.
Vooruitzicht
Zoals uit het voorgaande blijkt, zal de nieuwe Data Act veel nieuwe verplichtingen voor bedrijven in het leven roepen. De Data Act wordt officieel van toepassing op 12 september 2025. Tot die tijd hebben bedrijven dus nog de tijd om zich voor te bereiden op deze nieuwe regels. Op dit moment wordt nog aan de uitvoeringswet van de Data Act gewerkt door de Nederlandse wetgever. In het concept worden de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens aangewezen als toezichthouders van de Data Act. Dit voorstel moet nog wel voor advies naar de Raad van State en daarna vindt behandeling in de Tweede en Eerste Kamer plaats.
Ben je benieuwd of jouw bedrijf te maken krijgt met de Data Act of wil je weten wat de Data Act voor jou zal betekenen? Neem dan gerust contact met ons op. Privacy1 helpt je graag verder!
Geschreven door: Abe Kramer – Juridisch Adviseur