Nieuwe Dataverordening treedt in werking: grote gevolgen voor bedrijven en aanbieders van digitale diensten

Sinds 12 september 2025 is de Europese Dataverordening (Data Act) van kracht. Deze nieuwe wetgeving moet het delen en gebruik van data stimuleren, de positie van gebruikers van verbonden apparaten en clouddiensten versterken en oneerlijke contractvoorwaarden tegengaan. Tijdens onze kennissessie lichtte Jan Baas, advocaat/partner bij La Gro, de belangrijkste veranderingen toe.

Redactie PONT | Data & Privacy

12 september 2025

Data

Digitalisering

De verordening heeft een breed karakter en geldt voor alle sectoren en soorten data (niet alleen persoonsgegevens). Het gaat onder meer om gegevens die voortkomen uit verbonden apparaten (zoals slimme horloges, auto’s of machines), maar ook om clouddiensten en contracten tussen bedrijven waarin data een rol speelt. De verordening sluit aan op bestaande privacywetgeving zoals de AVG, maar gaat op bepaalde punten veel verder.

Toegang tot data en gebruiksbeperkingen

Een van de kernpunten is het principe van “data access by design”. Nieuwe apparaten moeten zo worden ontworpen dat gebruikers automatisch toegang krijgen tot de data die zij genereren. Daarnaast kunnen gebruikers hun gegevens makkelijker delen met derden, bijvoorbeeld een reparateur, een verzekeraar of een concurrent van de oorspronkelijke leverancier. Dat moet innovatie en concurrentie bevorderen.

Tegelijkertijd zijn er gebruiksbeperkingen: bedrijven die toegang hebben tot data mogen die alleen gebruiken als ze dat contractueel zijn overeengekomen. De gegevens mogen niet worden ingezet om de positie van de gebruiker te ondermijnen of doorverkopen aan derden buiten de afspraken om.

Nieuwe regels voor cloudaanbieders

Voor cloudaanbieders gelden exit-regelingen om overstappen te faciliteren. Contractvoorwaarden moeten voorzien in redelijke bijstand en transparantie over risico’s voor bedrijfscontinuïteit. Overstapkosten worden per 12 januari 2027 volledig afgeschaft. Daarnaast gelden eisen rond interoperabiliteit en maatregelen ter voorkoming van internationale overheidstoegang, met een informatieplicht richting klanten.

Grijze en zwarte lijsten

De Dataverordening introduceert een grijze en zwarte lijst voor B2B-overeenkomsten over toegang tot en gebruik van gegevens. Bepalingen die bijvoorbeeld eenzijdig zijn opgelegd of die aansprakelijkheid beperken in strijd met goede trouw en eerlijke behandeling, zijn ongeldig.

Zwarte lijst: o.a. uitsluiting van remedies bij niet-nakoming, of eenzijdig bepalen of gegevens conform de overeenkomst zijn.
Grijze lijst: o.a. het op ongepaste wijze beperken van remedies, het vergaand beperken van gebruik door de wederpartij of eenzijdige wijzigingsbedingen zonder geldige reden.

Deze regels zijn van toepassing op overeenkomsten die na 12 september 2025 worden gesloten. Vanaf 12 september 2027 gelden ze ook voor contracten voor onbepaalde tijd en na 11 januari 2034 voor alle lopende contracten.

Voorbereiding noodzakelijk

De Dataverordening wordt gezien als een fundamentele stap in de ontwikkeling van een eerlijke data-economie. Ondernemingen doen er verstandig aan hun producten, contracten en processen tijdig in lijn te brengen met de nieuwe verplichtingen die de verordening voorschrijft.

Gerelateerd nieuws

Persoonsgegevens of anonieme gegevens?

10 september 2025

In een recente uitspraak van het Hof van Justitie van de Europese Unie (EDPS v GAR) is een belangrijke stap gezet in de discussie over pseudonieme, anonieme en persoonsgegevens. Het Hof bevestigt wat velen in het veld al langer betoogden: gepseudonimiseerde gegevens kunnen onder bepaalde omstandigheden wél persoonsgegevens zijn voor de verstrekker, maar géén persoonsgegevens zijn voor de ontvanger. De kwalificatie van gegevens hangt af van de concrete omstandigheden en de positie van de ontvanger. Deze benadering wordt ook wel aangeduid als de contextuele benadering en speelt een belangrijke rol bij de vraag: is de AVG van toepassing?

Data & Privacy

Ontslaat het pseudonimiseren van gegevens mijn onderneming van de verplichtingen op grond van de AVG?

1 september 2025

Het blijft een uitdaging: welke gegevens worden aangemerkt als persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG)? Onlangs boog de Rechtbank Midden-Nederland zich over dit vraagstuk, specifiek met betrekking tot de zogenoemde HoNOS+-gegevens. Deze gegevens zeggen iets over de geestelijke en sociale toestand van cliënten. Het oordeel van de rechtbank? Deze gegevens zijn géén persoonsgegevens, waarom niet? Lees hieronder de blog van advocaat bij Elferink & Kortier Advocaten, Tom Boitelle.

Data & Privacy

NIS2: risicoanalyse van eigen organisatie helpt om grip te krijgen op leveranciersmanagement

27 augustus 2025

De Europese NIS2-richtlijn heeft als doel de digitale weerbaarheid van organisaties én hun toeleveranciers te versterken. Dat betekent dat bedrijven niet alleen hun eigen cyberrisico’s moeten begrijpen, maar ook die van hun toeleveranciers. Dit roept bij veel organisaties een belangrijke vraag op: wat betekent dit nu voor ons leveranciersmanagement?

Data & Privacy

Wetsvoorstel: meer bevoegdheden voor burgemeester bij online ordeverstoring

26 augustus 2025

Op 4 juli is een wetsvoorstel in consultatie gebracht dat twee nieuwe bevoegdheden aan de burgemeesters toekent. Hiermee kan de politie onder zijn gezag persoonsgegevens uit publiek toegankelijke bronnen vergaren over de dreiging van een ernstige verstoring van de openbare orde. Het doel van het wetsvoorstel is dat de burgemeester en de politie meer zicht krijgen op ernstige verstoringen van de openbare orde en zij op basis daarvan adequater maatregelen kunnen treffen om deze te voorkomen, beletten of te beëindigen.

Data & Privacy

Meer nieuws