Op 11 januari 2024 is de Data Act (oftewel Dataverordening (2023/2854)) in werking getreden. Deze nieuwe Europese verordening geeft onder meer regels over toegang tot en het gebruik van gegevens gegenereerd door slimme apparaten, zoals slimme meters, industriële machines, medische apparatuur en connected cars.

Dergelijke apparaten genereren op grote schaal data, terwijl die data niet wordt gebruikt of in handen blijft van de fabrikanten van die slimme apparaten. De Europese Unie vindt dit problematisch en beoogt daarom met de Dataverordening te bewerkstelligen dat particulieren en bedrijven meer controle krijgen over data gegenereerd door slimme apparaten.

Nieuwe begrippen

De Dataverordening is van toepassing op data gegenereerd door verbonden producten en daaraan gerelateerde diensten die op de markt zijn gebracht in de Europese Unie. Verbonden producten zijn producten die zijn verbonden met het internet en gegevens over het gebruik of de omgeving ervan genereren of verzamelen. Deze producten worden ook wel slimme apparaten genoemd of internet-of-things (IoT). 

De verordening introduceert daarnaast het begrip gegevenshouders. Dat zijn de partijen die slimme apparaten aanbieden en toegang hebben tot de gegevens verzameld door dat soort apparaten. 

Op gegevenshouders rust de plicht dergelijke gegevens ter beschikking te stellen aan onder meer de gebruikers. Gebruikers zijn de natuurlijke of rechtspersonen die een slim apparaat in eigendom hebben, of dat apparaat huren of leasen. De gegevens die beschikbaar moeten worden gesteld omvatten niet enkel de gegevens gegenereerd door het slimme apparaat, maar ook de metadata die noodzakelijk zijn om die gegevens begrijpelijk te maken. Dat kunnen persoonsgegevens zijn in de zin van de AVG, maar ook niet-persoonsgebonden gegevens.

Toegang tot en delen van gegevens

De Dataverordening introduceert de plicht om slimme apparaten op zodanige wijze te ontwerpen dat gegevens die worden gegenereerd door het gebruik van het slimme apparaat standaard, gemakkelijk, veilig en kosteloos toegankelijk zijn voor de gebruiker. Als die gegevens niet rechtstreeks toegankelijk zijn voor de gebruiker, zal de fabrikant de gebruiker op verzoek kosteloos de eenvoudig beschikbare gegevens ter beschikking moeten stellen. De praktijk zal moeten uitwijzen wat eenvoudig beschikbare gegevens zijn.

De gebruiker kan de producent van het slimme apparaat ook vragen om door dat apparaat gegenereerde gegevens te delen met een derde partij. Zo kan de bestuurder van een connected car de fabrikant verzoeken om de data die wordt gegenereerd door zijn gebruik van die auto te delen met een door de gebruiker te kiezen reparatiedienst. De derde partij die deze gegevens ontvangt mag deze gegevens vervolgens alleen gebruiken voor de doeleinden en onder de voorwaarden die met de gebruiker zijn overeengekomen. De gegevenshouder mag een redelijke vergoeding vragen van de derde partij voor het delen van de gegevens.

Transparantie 

De Dataverordening roept ook nieuwe transparantieverplichtingen in het leven, waardoor gebruikers van slimme apparaten vooraf duidelijk geïnformeerd worden over wat er met hun data gebeurt. Zo moeten fabrikanten van slimme apparaten onder meer informatie gaan verstrekken over het volume gegevens dat het product zal genereren, of het product in staat is continu en in realtime gegevens te genereren en hoe lang die gegevens bewaard worden. 

Gegevens delen B2B

De Dataverordening bevat ook regels voor het delen van data tussen bedrijven onderling, waaronder op verzoek van de gebruiker. De verordening bevat regels die ervoor moeten zorgen dat het delen van gegevens tussen bedrijven zal plaatsvinden onder eerlijke, redelijke en niet-discriminerende voorwaarden en op transparante wijze. Daarom bevat de verordening ook een lijst met contractuele bedingen die, indien eenzijdig opgelegd, worden geacht oneerlijk te zijn in een B2B-context. Dergelijke bedingen zijn niet bindend. Het doel is om zo het MKB in staat te stellen actiever deel te nemen aan de datamarkt. 

Bescherming gegevenshouders

Ondanks dat de Dataverordening vergaande verplichtingen oplegt aan gegevenshouders, zijn de belangen van deze gegevenshouders niet geheel vergeten. Zo verbiedt de verordening gebruikers en derde partijen om met de gegevens die zij ontvangen concurrerende producten te ontwikkelen. Ook worden gegevenshouders in staat gesteld afspraken te maken over vertrouwelijkheid van gegevens en bedrijfsgeheimen, en kunnen zij technische en organisatorische maatregelen afspreken om die vertrouwelijkheid te waarborgen. Gebruikers en gegevenshouders kunnen de toegang tot gegevens beperken indien daardoor de beveiligingsvereisten van het product zou kunnen worden ondermijnd.

Tot slot

De verplichtingen uit de Dataverordening worden van toepassing op 12 september 2025. De verplichting om slimme apparaten op zodanige wijze te ontwerpen dat gegevens die worden gegenereerd door het gebruik van dat apparaat standaard, gemakkelijk en in een gestructureerd format toegankelijk zijn voor de gebruiker, is pas van toepassing vanaf 12 september 2026. Voor voertuigdata worden op korte termijn nog aanvullende sectorspecifieke regels verwacht (zie onder meer de brief die de Minister van IenW daarover heeft gestuurd op 21 november 2023).

Behalve het reguleren van productdata bevat de Dataverordening ook nieuwe verplichtingen voor cloud-providers ten aanzien van interoperabiliteit en het vergemakkelijken van overstappen. Daarover zullen we een separate update sturen.

Meer weten over de gevolgen van deze nieuwe verordening voor uw organisatie? Neem contact met ons op.