Digitaal De Dataverordening (Data Act) Kernbepalingen van de Data Act

Kernbepalingen van de Data Act

Wat verandert er concreet?

De Data Act introduceert nieuwe rechten en plichten met betrekking tot de toegang tot en het gebruik van data. Deze bepalingen zijn ontworpen om de data-economie eerlijker, concurrerender en innovatiever te maken.

Hieronder lichten we de belangrijkste onderdelen toe.

IoT data delen (Hoofdstuk II)

  • Wat? De Data Act zorgt ervoor dat gebruikers van een verbonden product of gerelateerde dienst in de EU toegang hebben tot de gegevens die zijn gegenereerd door het gebruik van dat verbonden product of die gerelateerde dienst en dat deze gebruikers de gegevens kunnen gebruiken, inclusief het delen ervan met derden (ontvangers van gegevens) van hun keuze. Hoofdstuk II is van toepassing op persoonsgegevens en niet-persoonsgebonden gegevens, met uitzondering van inhoud, betreffende de prestaties, het gebruik en de omgeving van verbonden producten en gerelateerde diensten (IoT - van slimme thermostaten en auto's tot industriële robots en landbouwmachines, enz.).
     
  • Hoe? In principe moeten verbonden producten en gerelateerde diensten zodanig worden ontworpen, vervaardigd en geleverd (‘data access by design and by default’) dat de gegevens betreffende dergelijke producten en diensten, met inbegrip van de relevante metagegevens die nodig zijn voor de interpretatie en het gebruik van dergelijke gegevens, standaard toegankelijk zijn voor de gebruiker. De gebruiker moet gemakkelijk toegang hebben tot deze gegevens (of, indien relevant en technisch mogelijk, rechtstreeks toegang hebben), op een gemakkelijke en veilige, kosteloze wijze en in een omvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat.  wanneer de gebruiker geen directe toegang heeft tot gegevens van het aangesloten product of de bijbehorende dienst, maken eigenaren van gegevens (meestal fabrikanten) de gegevens gemakkelijk toegankelijk. De houder van de gegevens is ook verplicht de gegevens op verzoek van de gebruiker aan een derde (ontvanger van de gegevens) te verstrekken en kan in dat geval de derde partij om een redelijke vergoeding verzoeken.
     
  • Wat zijn de belangrijkste beperkingen voor toegangsrechten tot gegevens?
     
    • Het is niet toegestaan dat gebruikers en/of derden een verbonden product ontwikkelen dat concurreert met het verbonden product waarvan de gegevens afkomstig zijn.
    • Het is verboden de gegevens te gebruiken om informatie te verkrijgen over de economische situatie, de activa of de productiemethoden tussen de gebruiker en de houder, alsmede tussen de derde en de houder.
    • Er gelden specifieke regels, zelfs vrijstellingen voor kmo's (zie hieronder).
    • Ondernemingen die overeenkomstig artikel 3 van Verordening (EU) 2022/1925 (Digital Markets Act - DMA) als poortwachters (“gatekeepers”) zijn aangewezen, komen niet in aanmerking voor toegang tot gegevens door derden.
    • Indien de gebruiker niet de betrokkene is wiens persoonsgegevens het voorwerp van een verzoek zijn, worden de persoonsgegevens alleen door de houder van de gegevens aan de gebruiker en/of de derde ter beschikking gesteld, indien er een geldige rechtsgrondslag is voor de verwerking uit hoofde van artikel 6 van de AVG (Verordening (EU ) 2016/679) en, indien van toepassing, indien aan de voorwaarden van artikel 9 van de AVG en artikel 5, § 3, van de richtlijn betreffende privacy en elektronische communicatie (Richtlijn 2002/58/EG) is voldaan (bijvoorbeeld toestemming van de betrokkene).
    • De gebruiker en de derde onthouden zich van het gebruik van dwangmiddelen of het benutten van lacunes in de technische infrastructuur van de gegevenshouder die bedoeld is om de gegevens te beschermen teneinde toegang tot de gegevens te verkrijgen. 
    • Gebruikers en houders van gegevens kunnen de toegang, het gebruik of het delen van gegevens contractueel beperken of verbieden om redenen van veiligheid van het verbonden product (het "safety and security handbrake"-mechanisme). 
    • Maatregelen ter bescherming van de vertrouwelijkheid van bedrijfsgeheimen moeten worden nageleefd (het "trade secrets handbrake"-mechanisme).

Verplichtingen voor B2B-gegevensdeling (Hoofdstuk III)

  • Wat? In het geval van gegevensdeling tussen ondernemingen, d.w.z. wanneer een gegevenshouder (onderneming) een wettelijke verplichting heeft om gegevens beschikbaar te stellen aan een ontvanger van de gegevens (onderneming), vereist de Data Act de naleving van bepaalde regels. Hoofdstuk III is van toepassing op alle gegevens van de particuliere sector waarvoor wettelijke gegevensdelingsverplichtingen gelden. Dit opent de deur voor concurrerende diensten van derden (bijv. onafhankelijke reparateurs, aanbieders van vergelijkende diensten, verzekeraars, of ontwikkelaars van innovatieve applicaties).
     
  • Voorwaarden? In het geval van gegevensdeling tussen ondernemingen, d.w.z. wanneer een gegevenshouder (onderneming) wettelijk verplicht is gegevens ter beschikking te stellen van een ontvanger van de gegevens (onderneming), moeten de volgende regels in acht worden genomen:
    • De voorwaarden voor het delen van gegevens moeten billijk, redelijk, niet-discriminerend en transparant zijn.
    • Houders van gegevens die verplicht zijn deze gegevens te delen, kunnen met de ontvanger van gegevens een redelijke, niet-discriminerende vergoeding overeenkomen (waarbij met name rekening wordt gehouden met de kosten van het beschikbaar stellen van de gegevens en met investeringen in het verzamelen en produceren van gegevens), met een mogelijke marge. Voor ontvangers van de gegevens die kmo's of onderzoeksinstellingen zonder winstoogmerk zijn, is de vergoeding beperkt tot de kosten die zijn gemaakt voor het beschikbaar stellen van de gegevens.
    • Bescherming tegen ongeoorloofd gebruik of openbaarmaking van gegevens: Gegevenshouders kunnen technische beschermingsmaatregelen (slimme contracten en encryptie) toepassen om ongeoorloofd gebruik of openbaarmaking van gegevens te voorkomen. De Data Act vermeldt ook gevallen van ongeoorloofd gebruik of ongeoorloofde openbaarmaking (bijvoorbeeld wanneer de ontvanger van de gegevens onjuiste informatie aan een gegevenshouder heeft verstrekt om de gegevens te verkrijgen, de gegevens heeft gebruikt om een concurrerend product te ontwikkelen, de gegevens onrechtmatig aan een andere partij heeft verstrekt, de technische beschermingsmaatregelen heeft verwijderd die door de gegevenshouder zijn toegepast zonder toestemming van laatstgenoemde waarna de derde/ontvanger op verzoek van de gegevenshouder of de gebruiker moet handelen (bijvoorbeeld de gegevens verwijderen, informeren, de benadeelde partij schadeloos stellen). 

Oneerlijke contractuele bedingen betreffende de toegang tot en het gebruik van B2B-gegevens (Hoofdstuk IV)

  • Wat? Om te voorkomen dat contractuele onevenwichtigheden tussen ondernemingen tot gevolg hebben dat de eerlijke toegang tot en het gebruik van gegevens wordt belemmerd, bepaalt de Data Act dat contractuele bepalingen die door een onderneming eenzijdig aan een andere onderneming worden opgelegd (ongeacht de omvang), deze laatste niet binden indien zij oneerlijk zijn. Hoofdstuk IV is van toepassing op alle gegevens van de particuliere sector die worden geraadpleegd en gebruikt op basis van overeenkomsten tussen ondernemingen.
     
  • Voorwaarden?  Oneerlijke bedingen voldoen aan de volgende voorwaarden:
    • Zij worden eenzijdig door een onderneming aan een andere onderneming opgelegd ("take-it-or-leave-it");
    • Zij betreffen de toegang tot en het gebruik van gegevens of aansprakelijkheid en remedies in geval van schending of beëindiging van gegevensgerelateerde verplichtingen; en
    • Zij betreffen bedingen waarvan het gebruik sterk afwijkt van goede handelspraktijken bij de toegang tot en het gebruik van gegevens, in strijd met de goede trouw en eerlijke behandeling.
       
  • Voorbeelden: De Data Act stelt een "zwarte" lijst op van bedingen die in alle gevallen als oneerlijk worden beschouwd (bijv. een beding dat tot doel of gevolg heeft de aansprakelijkheid in geval van opzettelijke handelingen of grove nalatigheid uit te sluiten of te beperken…) en een "grijze" lijst van bedingen die als oneerlijk worden beschouwd (bijv. een beding dat tot doel of gevolg heeft te voorkomen dat de partij waaraan het beding eenzijdig is opgelegd, de gegevens die zij heeft verstrekt of gegenereerd gedurende de looptijd van de overeenkomst en/of binnen een redelijke termijn opzegt...).
     
  • Gevolgen? Oneerlijke bedingen zijn nietig en worden uit het contract geschrapt. De andere bedingen van de overeenkomst blijven bindend indien het oneerlijke beding van deze andere bedingen kan worden losgekoppeld. 

Toegang tot data door overheidsinstanties op grond van uitzonderlijke noodzaak (B2G - Hoofdstuk V)

In specifieke, uitzonderlijke situaties kunnen overheidsinstanties van lidstaten en EU-instellingen bedrijven verzoeken om data beschikbaar te stellen. Dit hoofdstuk is van toepassing op alle gegevens van de particuliere sector, met de nadruk op niet-persoonsgebonden gegevens voor gevallen buiten noodsituaties (uitvoering van een specifieke taak van algemeen belang).

 

  • Wanneer?
    • Algemene noodsituaties: zoals natuurrampen, pandemieën, of andere grootschalige calamiteiten waar de gegevens dringend nodig zijn om adequaat te reageren (bijv.: plaatsbepalingsgegevens om een pandemie in te dammen).
    • Niet-dringende situaties: als een overheidsinstantie data nodig heeft om een specifieke taak van algemeen belang uit te voeren die expliciet in de wet is vastgelegd, en deze data niet op een andere, tijdige en efficiënte manier kan verkrijgen (bijv.: de transportgegevens voor de planning van stedelijk verkeer).
       
  • Voorwaarden: Deze verzoeken zijn aan strikte voorwaarden en waarborgen gebonden. Het verzoek moet proportioneel zijn, de gegevens moeten noodzakelijk zijn, en er moet rekening worden gehouden met de legitieme belangen van het bedrijf, inclusief de bescherming van bedrijfsgeheimen.
     
  • Compensatie: In principe hebben ondernemingen recht op een billijke vergoeding ter dekking van de technische en organisatorische kosten die zijn gemaakt om aan het verzoek te voldoen, met inbegrip van, in voorkomend geval, de kosten van anonimisering, pseudonimisering, aggregatie en technische aanpassing, vermeerderd met een redelijke marge, behalve in het geval van een verzoek om te reageren op een noodsituatie. In het laatste geval is de verstrekking van de gegevens gratis, met uitzondering van de houders van gegevens die micro- of kleine ondernemingen zijn, die een billijke vergoeding ontvangen, zelfs in het geval van een verzoek om te reageren op een noodsituatie.
     
  • Uitzondering: Deze verplichting geldt niet voor micro- en kleine ondernemingen, tenzij in geval van een algemene noodsituatie.

Eenvoudiger wisselen tussen clouddiensten en andere gegevensverwerkingsdiensten (Hoofdstuk VI)

De Data Act wil 'vendor lock-in' bij clouddiensten en andere gegevensverwerkingsdiensten tegengaan en de concurrentie bevorderen.

  • Vergemakkelijken van de overstap ('switching'):
    • Wat? Aanbieders van gegevensverwerkingsdiensten (zoals IaaS, PaaS, SaaS) moeten het voor klanten (zowel bedrijven als consumenten) technisch en contractueel eenvoudiger maken om hun data en applicaties over te zetten naar een andere aanbieder of terug naar hun eigen systemen (on-premise).
    • Afschaffing van switchingkosten: Eventuele kosten die klanten moeten betalen om over te stappen, moeten binnen een vastgestelde termijn (maximaal drie jaar na inwerkingtreding Data Act) volledig worden afgeschaft. Alleen direct gemaakte kosten tijdens de overstapperiode mogen nog in rekening worden gebracht.
    • Contractuele duidelijkheid: Contracten moeten duidelijke informatie bevatten over het overstapproces en de beschikbare ondersteuning.
       
  • Interoperabiliteit:
    • Aanbieders moeten voldoen aan bepaalde open interoperabiliteitsspecificaties en Europese normen om de overdraagbaarheid van data en applicaties tussen verschillende diensten te verbeteren.

Internationale overheidstoegang en overdracht van niet-persoonsgebonden data (Hoofdstuk VII)

De Data Act introduceert waarborgen om te voorkomen dat niet-persoonsgebonden data die in de EU worden bewaard, onrechtmatig worden overgedragen aan of toegankelijk zijn vanuit derde landen, vergelijkbaar met de bescherming die de AVG biedt voor persoonsgegevens.

 

  • Wat? Aanbieders van gegevensverwerkingsdiensten moeten alle redelijke technische, juridische en organisatorische maatregelen nemen om dergelijke ongeoorloofde toegang of overdracht te voorkomen.
     
  • Transparantie: Er moet transparantie zijn over waar data worden verwerkt.
     
  • Uitzonderingen: Overdracht is mogelijk als er een internationale overeenkomst is (zoals een adequaatheidsbesluit) of als er passende waarborgen worden geboden.

Bevordering van interoperabiliteit (Hoofdstuk VIII)

Om de datastroom binnen de EU te optimaliseren en de ontwikkeling van sectorale dataruimten ('data spaces') te ondersteunen, bevat de Data Act bepalingen over interoperabiliteit.

 

  • Essentiële eisen: De Europese Commissie kan essentiële eisen vaststellen voor de interoperabiliteit van data, voor mechanismen en diensten voor gegevensdeling, en voor instrumenten voor het automatiseren van de uitvoering van gegevensdelingsovereenkomsten, zoals slimme contracten.
     
  • Standaardisering: Er wordt aangemoedigd om Europese normen te ontwikkelen die deze interoperabiliteit ondersteunen.

 

Naar boven