Op 11 januari 2024 is de Verordening betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (‘Dataverordening’) in werking getreden. De Dataverordening, ook wel Data Act genoemd, markeert een belangrijke volgende stap in de digitale economie. De Dataverordening moet het makkelijker maken om data over te dragen binnen en tussen alle sectoren van de economie. De verordening legt onder andere verplichtingen op aan aanbieders van dataverwerkingsdiensten, zoals Cloud- en edgediensten. Deze verplichtingen moeten het overstappen tussen Cloud- en edgediensten vergemakkelijken en concurrentie en interoperabiliteit tussen de diensten verbeteren.

Cloud- en edgediensten: wat zijn het ook alweer?

Oplossingen in de Cloud zijn voor bijna geen enkele onderneming meer weg te denken. Clouddiensten maken het mogelijk om via het internet toegang te krijgen tot verschillende soorten computermiddelen, zoals opslagruimte, rekenkracht of softwaretoepassingen, zonder dat u die zelf fysiek hoeft te bezitten of te onderhouden. Denk hierbij aan Software-as-a-Service (SaaS) oplossingen, zoals Google Docs of Microsoft Office 365, die toegang verlenen tot software zonder deze te installeren op uw eigen computer. Deze Clouddiensten maken gebruik van centrale datacenters om gegevens op te slaan en te verwerken.

Edgediensten, daarentegen, brengen de verwerking en opslag van gegevens dichter bij de locatie waar het nodig is, oftewel aan de ‘rand’ van het netwerk. Dit kan bijvoorbeeld dicht bij sensoren zijn die gegevens verzamelen in een fabriek, op een slim apparaat thuis, of in een auto. Het voordeel van deze steeds vaker gebruikte manier van computing, is dat er minder vertraging optreedt omdat de data niet over lange afstanden naar een centrale server hoeft te worden gestuurd. Dit maakt snelle verwerking en reactie in real-time mogelijk, wat essentieel is voor toepassingen zoals autonoom rijden of slimme stadsinfrastructuur.

Verplichtingen voor aanbieders van dataverwerkingsdiensten

Hoofdstuk VI van de Dataverordening introduceert een reeks verplichtingen voor aanbieders van dataverwerkingsdiensten. Eerder schreven wij al over de problemen die kunnen optreden bij het overstappen van ICT-leverancier, zoals een vendor lock-in. De Dataverordening erkent deze problemen die kunnen optreden en benadrukt het belang van concurrerende en interoperabele dataverwerkingsdiensten.

In aanvulling op EU-richtlijn levering digitale inhoud (richtlijn (EU) 2019/770), legt de Dataverordening contractvoorwaarden op aan dataverwerkingsdiensten, om het overstapproces voor klanten te versoepelen. Deze verplichtingen moeten commerciële, technische, contractuele en organisatorische belemmeringen wegnemen, en een transparante en efficiënte exit-procedure garanderen. Het gaat onder andere om:

• Exit-regeling: bepalingen op grond waarvan afnemers kunnen overstappen naar een andere aanbieder, of op grond waarvan de afnemer alle gegenereerde data, toepassingen en digitale activa kan overdragen naar een on-premise systeem.
• Overstapondersteuning: een maximale overstapperiode van 30 dagen waarbinnen de dataverwerkingsdienst het overstapproces actief ondersteunt en zorgt voor volledige continuïteit bij de verlening van de respectieve functies of diensten.
• Voorlichting dataportabiliteit: een verplichting om bij aanvang van de overeenkomst te specificeren welke data- en toepassingscategorieën tijdens een overstapproces exporteerbaar zijn. Dit moet minimaal alle data omvatten die door de afnemer bij het aangaan van de dienstenovereenkomst zijn ingevoerd en alle data en metadata die in de periode waarin de dienst werd verleend door de afnemer zijn gecreëerd.
• Overstapkosten: vanaf 11 januari 2024 moeten de overstapkosten die dataverwerkingsdiensten in rekening brengen rechtstreeks verband houden met het overstapproces en vanaf 11 januari 2027 mogen geen kosten meer in rekening worden gebracht.
• Gelijkwaardige nieuwe omgeving: de verplichting voor aanbieders van Infrastructure-as-a-Service (IaaS) diensten om ervoor te zorgen dat klanten, bij het overstappen naar een vergelijkbare dienst van een andere aanbieder, toegang krijgen tot functioneel gelijkwaardige infrastructuurdiensten.
• Gratis open interfaces: de verplichting voor dataverwerkingsdiensten die niet onder voornoemde IaaS-diensten vallen, zoals Platform-as-a-Service (PaaS) en Software-as-a-Service (SaaS), om open interfaces gratis beschikbaar te stellen.

Toezicht en handhaving

De Autoriteit Consument & Markt (ACM) is aangewezen als toezichthoudende autoriteit in Nederland. De ACM is daardoor onder andere verantwoordelijk voor de naleving van de verordening, het afhandelen van klachten over vermeende inbreuken en het opleggen van financiële sancties waaronder dwangsommen en geldboetes.

Voor (afnemers van) Cloud- en edgediensten wellicht belangrijker, is dat contractbepalingen tussen dataverwerkingsdiensten en afnemers die in strijd zijn met de verordening, op grond van het algemeen Nederlands contractenrecht (3:40 BW) als nietig worden beschouwd.

Tot slot

De verplichtingen die de Dataverordening stelt aan aanbieders van dataverwerkingsdiensten zijn een nieuwe stap in het creëren van een bloeiende Europese data-economie. Voor aanbieders van Cloud- en edgediensten is het cruciaal om al in een vroeg stadium rekening te houden met de vereisten van de Dataverordening. Aanbieders moeten actie ondernemen om te zorgen dat hun diensten in overeenstemming zijn met de nieuwe regelgeving. Vanaf september 2025, het moment waarop de meeste verplichtingen uit de Dataverordening van kracht worden, ligt er een duidelijke verplichting op aanbieders om continu de interoperabiliteit, veiligheid, en kwaliteit van hun dienstverlening te waarborgen.

Meer weten?

Wilt u meer weten over het contracteren met Cloud- en edgediensten, of advies over wat de Dataverordening nu concreet voor u of uw organisatie betekent? Neem dan vrijblijvend contact op met Sven van Dooren of Frank Rutgers.