Woordenlijst · EU-dataregulering Data Act
De EU-verordening uit 2024 die rechten vaststelt op toegang tot en gebruik van data gegenereerd door IoT-apparaten en geconnecteerde producten, en niet-persoonlijke data adresseert naast de focus van de AVG op persoonsgegevens.
## Wat de Data Act eigenlijk doet
De Data Act (Verordening (EU) 2023/2854) is de EU-verordening die toegang tot en gebruik van data regelt die wordt gegenereerd door geconnecteerde producten en gerelateerde diensten. De verordening trad in januari 2024 in werking, met de meeste bepalingen van toepassing vanaf september 2025.
Waar de AVG persoonsgegevens adresseert, adresseert de Data Act **niet-persoonlijke gegevens** die door IoT-apparaten en geconnecteerde producten worden gegenereerd. De wet schept rechten voor gebruikers (consumenten en bedrijven) op toegang tot data die hun apparaten genereren en op het delen van die data met door hen gekozen derden.
## Waarom de Data Act bestaat
De wet kwam voort uit operationele zorgen over datacontrole in de IoT-economie:
**1. Data lock-in door fabrikanten.** Wanneer een geconnecteerde auto data genereert over rijgedrag, wordt die data doorgaans uitsluitend door de autofabrikant beheerd. Reparateurs, verzekeraars en aftermarket-dienstverleners konden er niet bij zonder medewerking van de fabrikant.
**2. Concurrentie in aftermarket-diensten.** Beperkte datatoegang heeft de concurrentie in IoT-gerelateerde diensten beperkt (reparatie, verzekering, fleet management, enz.). De Data Act adresseert dit door portabiliteitsrechten voor data van geconnecteerde producten te creëren.
**3. Mededingingszorgen.** Verticale integratie rondom data (fabrikant → apparaat → data → aftermarket-diensten) creëerde mededingingszorgen. De Data Act adresseert dit via ontvlechting.
**4. Data voor AI-training.** AI-systemen profiteren van toegang tot operationele data. De Data Act creëert juridische kaders voor het delen van deze data met passende waarborgen.
## Kernverplichtingen
De Data Act legt verschillende categorieën verplichtingen op:
### Recht op toegang tot gegenereerde data
Gebruikers (de mensen of bedrijven die geconnecteerde producten bedienen) hebben recht op toegang tot data die hun apparaten genereren. Fabrikanten moeten:
- Data standaard toegankelijk maken (of op verzoek)
- Data leveren in machineleesbaar formaat
- De gegenereerde data dekken, niet alleen geconfigureerde outputs
- Toegang gratis bieden of tegen redelijke en eerlijke kosten
### Recht om data te delen met derden
Gebruikers kunnen derden machtigen om data te ontvangen die hun apparaten genereren. Fabrikanten moeten:
- Dergelijk delen mogelijk maken zonder belemmering
- Directe toegangsmechanismen voor data bieden
- Gebruikers vrij laten in de keuze van data-ontvangers
### Beperkingen op concurreren met gebruikers
Fabrikanten mogen door apparaten gegenereerde data niet gebruiken om met gebruikers te concurreren in aftermarket-diensten. De Data Act voorkomt het gebruik van klantdata om door de klant gekozen dienstverleners te benadelen.
### Cloudoverstaprechten
De Data Act bevat bepalingen over portabiliteit van clouddiensten — gericht op zorgen over data lock-in op het niveau van de cloudaanbieder. Cloudaanbieders moeten:
- Dataportabiliteit voor klanten mogelijk maken
- Overstapkosten verlagen (geëlimineerd voor sommige klanttypes)
- Heldere contractvoorwaarden over datatoegang bieden
- Standaardformaten en -protocollen ondersteunen
### B2G-datatoegang
In specifieke uitzonderlijke omstandigheden (publieke noodgevallen, taken van algemeen belang van de publieke sector) kunnen overheden bedrijfsdatadeling vereisen. Dit is sterk beperkt — de wet stelt duidelijke grenzen om uitbreiding te voorkomen.
## Waarom dit telt voor Europese bedrijven
De Data Act creëert verschillende praktische implicaties:
### Voor IoT-productfabrikanten
Als je geconnecteerde producten verkoopt in de EU (consument of B2B), is naleving van de Data Act verplicht:
- Bouw mechanismen voor datatoegang in de productarchitectuur
- Documenteer datageneratiepatronen
- Maak gebruikergestuurd delen van data met derden mogelijk
- Vermijd het gebruik van productdata om met gebruikers te concurreren in aftermarket-diensten
Dit is substantieel productengineeringwerk. Nieuwe producten ontworpen sinds 2024-2025 bouwen Data Act-naleving doorgaans direct in; legacy-producten vereisen vaak aanzienlijke retrofitting.
### Voor aftermarket-dienstverleners
Als je diensten levert die afhangen van data van geconnecteerde producten (reparatie, verzekering, fleet management, agritech, enz.), creëert de Data Act nieuwe kansen:
- Datatoegang aanvragen namens klanten
- Diensten bouwen die voorheen vergrendelde data benutten
- Effectiever concurreren met fabrikanten-gelieerde diensten
### Voor cloudaanbieders en klanten
De cloudoverstapbepalingen creëren operationele implicaties:
- Cloudaanbieders moeten overstapwrijving verminderen
- Klantarchitectuur moet rekening houden met portabiliteitsvereisten
- Multi-cloudstrategieën worden operationeel makkelijker
### Voor data spaces
De Data Act maakt bredere data-uitwisselingsecosystemen mogelijk. Sectorspecifieke data spaces (Catena-X voor automotive, Manufacturing-X voor productie, enz.) krijgen sterkere juridische basis onder de wet.
## De verhouding tot de AVG
De Data Act en AVG zijn complementair maar onderscheiden:
**AVG**: adresseert persoonsgegevens (gegevens betreffende identificeerbare natuurlijke personen)
**Data Act**: adresseert niet-persoonlijke gegevens (machinegenereerde data, sensordata, operationele data)
Wanneer data persoonlijk is onder de AVG (bijv. rijpatronen gekoppeld aan specifieke individuen), prevaleert de AVG en zijn Data Act-bepalingen ondergeschikt. Wanneer data niet-persoonlijk is (geaggregeerde machinesensordata, technische parameters), prevaleren Data Act-bepalingen.
In de praktijk bevat IoT-data vaak zowel persoonlijke als niet-persoonlijke elementen. Naleving vereist dat beide verordeningen passend worden toegepast.
## Boetestructuur
De handhaving van de Data Act gebeurt door nationale toezichthouders aangewezen door lidstaten. Boetes worden op nationaal niveau bepaald, maar de wet maakt substantiële boetes voor non-compliance mogelijk.
Voor mkb bevat de wet diverse evenredigheidsbepalingen en uitzonderingen om disproportionele nalevingslast voor kleinere bedrijven te voorkomen.
## Wat is opgeleverd tot 2026
Status halverwege de implementatie:
**Operationeel:**
- De meeste fabrikanten van geconnecteerde producten hebben basisnaleving van de Data Act geïmplementeerd
- Verzoeken om datadeling worden gedaan en verwerkt
- Aftermarket-dienstverleners bouwen diensten die data benutten
- Cloudoverstapbepalingen creëren echte overstapactiviteit
**Nog in ontwikkeling:**
- Sectorspecifieke data spaces blijven volwassen worden
- Gestandaardiseerde dataformaten en API's worden gedefinieerd
- Grensoverschrijdende handhavingscoördinatie
- AI-trainingstoepassingen onder Data Act-kader
## Cloudbepalingen tellen het meest
Voor de meeste Europese tech-kopers zijn de cloudoverstapbepalingen van de Data Act operationeel het meest relevant. De wet heeft de beweging weg van cloud lock-in versneld door:
- Juridische onzekerheid over cloudovertstap te verminderen
- Aanbieders te verplichten portabiliteit mogelijk te maken
- Overstapkosten voor sommige klanttypes te elimineren
- Ondersteuning voor standaardformaten te creëren
Dit is complementair aan het bredere verhaal van Europese cloudsoevereiniteit — operationeel makkelijker workloads verplaatsen van Amerikaanse hyperscalers naar Europese cloudaanbieders.
## Wat 2026-2027 brengt
- **Voortgezette volwassenheid van handhaving** terwijl nationale toezichthouders patronen vestigen
- **Standaardisatiewerk** rond dataformaten en API's
- **Sectorspecifieke data spaces** in voortdurende ontwikkeling (Catena-X, Manufacturing-X breiden uit)
- **Kruising met AI Act** — AI-trainingstoepassingen onder Data Act-kader
- **Grensoverschrijdende handhavingscoördinatie** naarmate meer zaken ontstaan
De Data Act zal blijven evolueren. De interactie met de AI Act, AVG en sectorspecifieke regelgeving zal het doorlopende implementatieverhaal zijn.
## Praktische implicaties
Voor Europese bedrijven:
1. **Als je geconnecteerde producten verkoopt** — naleving van de Data Act is niet onderhandelbaar; bouw het in
2. **Als je aftermarket-diensten levert** — benut de toegangsrechten van de Data Act
3. **Als je clouddiensten gebruikt** — cloudoverstaprechten maken portabiliteit strategisch makkelijker
4. **Als je deelneemt aan sectorale data spaces** — de Data Act biedt sterkere juridische basis
5. **Als je B2B-SaaS levert** — je in de cloud gehoste aanbiedingen moeten Data Act-portabiliteitsvereisten ondersteunen
De Data Act is minder beroemd dan de AVG, maar wordt operationeel steeds relevanter. Voor de ontwikkeling van het Europese tech-ecosysteem kan haar langetermijnimpact substantieel zijn.
Was dit nuttig?
Bedankt voor je feedback!