Data Act: onterecht onderbelicht!
De Data Act (Verordening (EU) 2023/2854) is onderdeel van de bredere Europese datastrategie. De verordening is met ingang van 12 september 2025 rechtstreeks van toepassing in de hele Europese Unie (EU). De Data Act is specifiek gericht op het reguleren van de toegang tot en het delen van data binnen de EU, met als doel innovatie te stimuleren en eerlijke concurrentie te waarborgen.
De wetgeving komt op een moment waarop data, gegenereerd door slimme apparaten, machines en softwaretoepassingen, steeds belangrijker worden in onze digitale economie. Deze data, gegenereerd door onder andere Internet of Things (IoT)-apparaten, hebben een enorm potentieel voor innovatie, concurrentievermogen en economische groei. Tot nu toe was er echter geen duidelijk regelgevend kader voor het delen en beheren van deze gegevens. De Data Act tracht deze leemte te vullen door een geharmoniseerd kader te creëren dat de belangen van verschillende stakeholders – zoals bedrijven, overheden en consumenten – in evenwicht brengt.
Belangrijke doelstellingen van de Data Act
De Data Act is ontworpen met verschillende doelstellingen voor ogen:
- Versterking van de rechten van gebruikers. Gebruikers van slimme apparaten (zoals consumenten en bedrijven) krijgen meer controle over de gegevens die zij genereren. Dit maakt het voor hen mogelijk om meer waarde uit deze gegevens te halen.
- Harmonisatie van de regels voor data-uitwisseling. De verordening beoogt een geharmoniseerde set regels te creëren binnen de EU, wat bedrijven meer rechtszekerheid biedt en administratieve lasten vermindert.
- Bevordering van eerlijke concurrentie en innovatie. Door monopolies op data te voorkomen kunnen kleinere bedrijven concurreren met grotere spelers die aanzienlijke hoeveelheden data bezitten. Dit stimuleert een dynamischere en inclusievere markt.
- Bescherming van intellectuele eigendom en bedrijfsgeheimen. Tegelijkertijd wordt gezorgd voor waarborgen die ervoor moeten zorgen dat bedrijfsgevoelige informatie en intellectuele eigendommen goed beschermd blijven.
Kernprincipes van de Data Act
Toegang en gebruiksrechten
Eigendom van data bestaat in juridische zin eigenlijk niet. Data zijn wel van grote waarde en worden in principe beheerst door de feitelijke bezitter of degene die daartoe toegang heeft. Denk bijvoorbeeld aan een auto: de auto genereert veel data die veelal alleen door de fabrikant kunnen worden uitgelezen.
De Data Act biedt geen nieuwe regeling over het eigendom van data. In plaats van eigendomsrechten introduceert de verordening een regeling voor toegang en gebruiksrechten. Gebruikers van slimme apparaten, zoals auto’s, huishoudelijke apparaten of industriële machines, krijgen rechten op de gegevens die deze apparaten genereren. Denk bijvoorbeeld aan een melkrobot waarin data worden gegenereerd die niet alleen van belang zijn voor de fabrikant van de robot (die toegang heeft tot de data in de machine), maar ook voor de boer en de coöperatie. Consumenten en bedrijven kunnen toegang eisen tot deze data en deze gebruiken voor hun eigen doel of ter beschikking stellen aan anderen voor verschillende doeleinden, zoals onderhoudsdiensten, analyses of zelfs het ontwikkelen van nieuwe diensten.
Data delen tussen bedrijven (B2B)
De Data Act legt de nadruk op eerlijke en niet-discriminerende toegang tot data tussen bedrijven onderling (B2B). In sectoren waar grote platforms en bedrijven grote hoeveelheden data verzamelen, wordt het mogelijk voor kleinere bedrijven om toegang te krijgen tot deze data om zo te kunnen concurreren. Dit is vooral van belang in markten waar een asymmetrische toegang tot data de concurrentie beperkt. Door deze data beschikbaar te stellen, kunnen kleinere bedrijven innoveren, nieuwe producten ontwikkelen en hun marktaandeel vergroten.
Data delen tussen bedrijven en overheden (B2G)
Naast B2B-datadeling legt de Data Act ook regels vast voor het delen van data tussen bedrijven en overheden (B2G). Dit is vooral relevant in situaties van algemeen belang, zoals noodsituaties of rampen, waarin overheden toegang nodig hebben tot bedrijfsdata om doeltreffend te kunnen reageren. De Data Act stelt echter strikte voorwaarden voor wanneer en hoe deze data gedeeld moeten worden, om misbruik te voorkomen en om ervoor te zorgen dat vertrouwelijke bedrijfsinformatie beschermd blijft.
Redelijke vergoeding voor data-delen
De Data Act introduceert het concept van “redelijke vergoeding” voor bedrijven die verplicht zijn om data te delen met derden. Dit zorgt ervoor dat bedrijven die waardevolle data hebben gegenereerd of verzameld, hiervoor gecompenseerd worden. Dit is van groot belang voor bedrijven die aanzienlijke investeringen doen in technologieën die data genereren, omdat zij er zeker van kunnen zijn dat hun inspanningen beloond worden wanneer ze verplicht worden om data met andere bedrijven te delen.
Verplicht datadelen
Een van de meest ingrijpende veranderingen die de Data Act met zich brengt, is de verplichting voor bedrijven om data te delen met andere bedrijven of overheden. Dit kan voor sommige bedrijven aanzienlijke nalevingskosten met zich brengen, omdat zij hun infrastructuur moeten aanpassen om toegang tot deze data te bieden. Tegelijkertijd kan het verplicht delen van data ook nieuwe kansen creëren voor samenwerking tussen bedrijven, wat kan leiden tot nieuwe diensten en verdienmodellen.
Bescherming van intellectuele eigendom en bedrijfsgeheimen
Bedrijven maken zich zorgen over de bescherming van hun intellectuele eigendom en bedrijfsgeheimen wanneer zij verplicht worden om data te delen. De Data Act bevat echter waarborgen om ervoor te zorgen dat bedrijfsgevoelige informatie beschermd blijft. Zo mogen bedrijven bijvoorbeeld bepaalde maatregelen nemen om de vertrouwelijkheid van hun data te waarborgen, zoals het gebruik van versleuteling. Indien een bedrijf kan aantonen dat het delen van data ernstige economische schade kan veroorzaken, kan het zelfs weigeren om de data te delen.
Dit zou weleens de Achilleshiel van de Data Act kunnen worden. Denkbaar is immers dat veel bedrijven zich op deze waarborgen zullen beroepen om te voorkomen dat ze (teveel) beschermde en/of bedrijfsgeheime informatie moeten delen.
Gevolgen van de Data Act voor bedrijven
De impact van de Data Act op bedrijven kan aanzienlijk zijn, zowel voor grote als kleine ondernemingen. Het verplicht delen van data en de nieuwe regels rondom het gebruik van data dwingt veel bedrijven hun datamanagementstrategieën te herzien. Bedrijven die grote hoeveelheden data verzamelen en gebruiken, zoals technologiebedrijven, fabrikanten van slimme apparaten en industriële bedrijven, moeten zich aanpassen aan deze nieuwe regels.
De regeling biedt stellig ook kansen. Zo kan een bedrijf gebruik maken van de verplichting tot het delen van data voor het ontwikkelen en leveren van diensten of producten. Het kan bedrijven zo in staat stellen om met de producent van een bepaald product in concurrentie te treden.
Contractuele verplichtingen
De Data Act leidt ook tot nieuwe contractuele verplichtingen tussen bedrijven. Zo moeten bedrijven duidelijke afspraken maken over aansprakelijkheid, compensatie voor datadeling en voorwaarden voor toegang tot data. Dit dwingt bedrijven om hun contracten met klanten en partners te herzien om ervoor te zorgen dat zij voldoen aan de nieuwe regelgeving.
Gegevensbeveiliging
Naast de AVG speelt gegevensbeveiliging een belangrijke rol in de Data Act. Bedrijven moeten ervoor zorgen dat de data die zij delen goed beveiligd is, om te voorkomen dat gevoelige informatie in verkeerde handen valt. Dit betekent dat bedrijven moeten investeren in robuuste cybersecurity-oplossingen, zoals versleuteling en toegangscontroles, om de veiligheid van hun data te waarborgen.
Relatie met andere wetgeving
Privacybescherming en AVG-compliance
Hoewel de Data Act zich voornamelijk richt op industriële en niet-persoonlijke data, is er een belangrijke overlap met de Algemene Verordening Gegevensbescherming (AVG). Wanneer het delen van data gevolgen heeft voor de privacy van individuen, bijvoorbeeld wanneer persoonlijke gegevens onderdeel zijn van de gedeelde dataset, moeten bedrijven ervoor zorgen dat zij voldoen aan de regels van de AVG. Dit betekent onder andere dat bedrijven de toestemming van de betrokkenen moeten verkrijgen of een andere geldige rechtsgrond moeten hebben voor het verwerken van persoonsgegevens.
Verdere EU-regelgeving in verband met de digitale economie
De Data Act staat niet op zichzelf, maar maakt deel uit van een breder regelgevend kader dat gericht is op het reguleren van de digitale economie in Europa. Samen met de Data Governance Act en de regelgeving voortvloeiend uit de Digital Services Act (DSA) en de Digital Markets Act (DMA) vormt de Data Act een wettelijk raamwerk dat gericht is op het waarborgen van eerlijke concurrentie, het beschermen van consumenten en het bevorderen van innovatie in de digitale economie.
De Digital Services Act legt bijvoorbeeld regels vast voor online platforms en digitale diensten, terwijl de Digital Markets Act gericht is op het reguleren van grote online platforms die als poortwachters fungeren. De Data Governance Act, die in september 2023 van kracht werd, vult de Data Act aan door processen en structuren vast te stellen die vrijwillige data-uitwisseling vergemakkelijken.
Toekomstige ontwikkelingen en uitdagingen
Hoewel de Data Act een belangrijk stap is in de regulering van data-uitwisseling in Europa, blijft de implementatie en handhaving van de verordening een uitdaging. Nationale toezichthouders en de Europese Commissie zullen een cruciale rol spelen in het waarborgen dat bedrijven voldoen aan de nieuwe regels. Er zullen ongetwijfeld juridische geschillen ontstaan over de interpretatie van bepaalde bepalingen, met name rond het verplicht delen van data en de bescherming van bedrijfsgeheimen.
Daarnaast roept de technologische vooruitgang, zoals de ontwikkeling van nieuwe AI-toepassingen en IoT-apparaten, nieuwe vragen op over hoe de Data Act in de praktijk moet worden toegepast. Het is waarschijnlijk dat de wetgeving in de toekomst wordt aangepast om te blijven aansluiten bij de snel veranderende digitale economie.
Handhaving en modelcontracten
De handhaving van de Data Act hangt grotendeels af van nationale toezichthouders en de Europese Commissie, die verantwoordelijk zijn voor het opleggen van sancties aan bedrijven die de regels overtreden. Boetes voor niet-naleving kunnen aanzienlijk zijn, vooral voor bedrijven die grote hoeveelheden data bezitten en verplicht zijn deze te delen met derden.
Om bedrijven te helpen bij de naleving van de verordening zal de Europese Commissie modelcontractbepalingen opstellen die bedrijven kunnen gebruiken bij het opstellen van overeenkomsten voor datadeling. Deze modelcontracten zijn bedoeld om bedrijven te helpen om eerlijke, transparante en juridisch geldige afspraken te maken over datadeling, en bijdragen aan het verminderen van juridische onzekerheid. Zoals altijd moeten dergelijke modelcontracten niet klakkeloos worden gebruikt. In veel gevallen is het belangrijk om die toe te snijden naar de specifieke situatie en verhouding tussen de betrokken partijen.
Slot
De Data Act markeert een belangrijke mijlpaal in de regulering van de data-economie in Europa. De verordening biedt een kader voor de toegang tot en het delen van data, met als doel innovatie te stimuleren, eerlijke concurrentie te bevorderen en de rechten van gebruikers te versterken. Voor bedrijven betekent de Data Act zowel kansen als uitdagingen. Hoewel de verordening nieuwe zakelijke mogelijkheden kan creëren, bijvoorbeeld door samenwerking en innovatie te stimuleren, brengt het ook nieuwe nalevingskosten en zorgen over de bescherming van bedrijfsgevoelige informatie met zich.
Bedrijven moeten proactief aan de slag om hun datamanagementstrategieën aan te passen aan de nieuwe realiteit die de Data Act introduceert. Dit omvat ook het herzien van contracten, het implementeren van technologische oplossingen voor veilig datadelen, en het waarborgen van naleving van de AVG en andere relevante wetgeving.
Meer dan ooit tevoren is het van belang om te inventariseren welke intellectuele eigendom en cruciale bedrijfsgeheimen het bedrijf heeft. En te zorgen dat die kroonjuwelen optimaal beschermd en gemanaged worden. Dat is overigens ook zonder de Data Act al sterk aan te bevelen, bijvoorbeeld om te kunnen profiteren van de bescherming op grond van de Wet bescherming bedrijfsgeheimen, octrooibescherming, kwekersrechten, modellenrecht, merkenrecht, auteursrecht of bescherming op grond van de Databankenwet.
In de komende jaren gaan we zien hoe de Data Act in de praktijk zal worden toegepast en welke impact deze zal hebben op de digitale economie. De verordening zal zonder meer een blijvende verandering teweegbrengen in de manier waarop data in Europa toegankelijk zijn.
Dit artikel is geschreven door Ernst-Jan Louwers en eerder verschenen in het vaktijdschrift Juridisch up to Date | Fiscaal up to Date (futd.nl)