Vanaf 12 september gaat de Europese Data Act in voege. De regelgeving heeft onder meer tot doel om het delen van data tussen bedrijven makkelijker te maken. Maar wat betekent dat in de praktijk voor jou en je bedrijf?
‘De Data Act is een onderdeel van de Europese datastrategie, die een eengemaakte markt wil maken voor data,’ zegt Heidi Waem, partner bij DLA Piper, een advocatenkantoor dat onder meer gespecialiseerd is in technologiewetten. De Data Act is op die manier een van meerdere Europese wetgevingen rond data en digitale technologie. ‘Het nadeel van de Data Act is daarbij wel dat het een patchwork is van verschillende zaken, waarmee men nog enkele gaten wil opvullen die bijvoorbeeld door de Data Governance Act en de General Data Protection Regulation werden gelaten. De wetgeving is daardoor heel divers, en heeft ons en vooral onze klanten al wat hoofdbrekens gekost,’ lacht Waem.
Maar dat maakt de wet niet minder belangrijk dan bijvoorbeeld de bekendere GDPR. ‘Het moet een game changer worden’, zegt Claude Rapoport, president van Beltug en lid van het B2B Data Sharing and Cloud Computing expert team dat de voorbije paar jaar met de Europese Commissie aan de tekst heeft gewerkt. ‘Het belangrijkste doel van de wet is om een data-economie te bouwen met eerlijke toegang tot gegevens. We zien dat de data-economie groeit, en de Commissie wil verschillende aspecten van die economie regelen met de wet.’
Data delen
Een van die aspecten, is hoe de data-economie er nu uit ziet. ‘Je hebt bedrijven die vandaag je data hebben en ze gebruiken om geld te verdienen,’ zegt Claude Rapoport. Maar de Commissie wil meer dynamiek op die markt, en moet dus de datahouder (data holder) dwingen om die te delen. Op die manier kunnen anderen data gebruiken om creatieve dingen mee te doen. Zonder deze regels zouden grote bedrijven hun data niet makkelijk delen.’
‘Zonder deze regels zouden grote bedrijven hun data niet makkelijk delen’
‘Bij IoT-toestellen, bijvoorbeeld, maakte de Commissie zich zorgen dat de data die gegenereerd wordt alleen ten goede komt van degene die dat toestel op de markt zet,’ zegt Heidi Waem. ‘De gebruiker heeft daar weinig aan. Daarom is er nu een deelverplichting. Dat geldt zowel voor data die gegenereerd wordt door de slimme toestellen zelf als door bijvoorbeeld apps voor je slimme koelkast. Je kan bepaalde van die gegevens als gebruiker ook opvragen.’
Hoe werkt dat?
Er zijn drie spelers in de Data Act: de datahouder (data holder), de gebruiker (user) en degene die de data gaat krijgen (recipient). Wie wat tussen de regels leest, ziet dat de wet op deze manier het vraagstuk rond eigendom van die data wat omzeilt. De wet houdt zich daar niet mee bezig, maar spreekt alleen over wie de data heeft, waar die vandaan komt en waar je ze naartoe wil sturen.
‘Neem bijvoorbeeld een ‘smart’ wagen,’ zegt Claude Rapoport. ‘Dat is een genetwerkt product dat data stuurt naar de autobouwer. Als jij een goede chauffeur bent, wil jij misschien een deel van die data doorsturen naar je verzekeraar om dat te bewijzen en zo een goedkopere polis te krijgen. Wie is eigenaar van die data? Dat doet er voor de Data Act niet toe. De vraag is wie de data bijhoudt. In dit geval is dat de autobouwer, die de verplichting heeft om op jouw vraag die data door te sturen naar je verzekeraar.’ Voor diezelfde wagen heeft je autobouwer momenteel misschien ook sensordata over de staat van je banden. Op die manier kan het merk je een bericht sturen wanneer die vervangen moeten worden, en je aanmanen bij hen langs te komen. Onder de Data Act zou je echter ook kunnen vragen dat de autobouwer die sensordata naar jouw bandencentrale stuurt. Een en ander moet de markt wat opengooien en meer (kleinere) bedrijven een kans geven.
‘Het is nog even uitkijken welke richting dat uit gaat’, zegt Heidi Waem. ‘In de industriële sector heb je veel toepassingen met sensoren die zaken meten voor gebouwen en grote machines, bijvoorbeeld. Daar heb je ook veel spelers die hun business gemaakt hebben rond het bouwen van data dashboards. De vraag is dus welke data je gratis ter beschikking stelt. ‘Raw data’ en metadata moet je ter beschikking stellen, maar als je die allemaal hebt verzameld er algoritmes en intelligentie hebt opgezet, valt dat er al niet meer onder.’
Ken uw datawetgeving
De EU heeft een digitale strategie waarmee ze de data-economie wil ontwikkelen. Om die vorm te geven, bracht ze ondertussen meerdere wetten uit rond data en het delen van gegevens. We zetten ze nog even op een rijtje.
Data Act (DA) : Wil een eengemaakte economie creëren voor data binnen de EU. Deze regulering draait voor een groot deel rond ‘industriële’ data, gegevens van Internet of Things devices, bijvoorbeeld, maar heeft ook een belangrijk hoofdstuk over cloudopslag.
Data Governance Act (DGA): Een wat kleinere, oudere regelgeving. Deze wet wil het vertrouwen in de data-economie verbeteren door onder meer regels uit te schrijven voor ‘brokers’, bedrijven die je data verzamelen en delen. De DGA schrijft voor hoe en welke data mag worden hergebruikt, welke data beschermd is en op welke manier, ook als het om overheidsdata gaat.
De General Data Protection Regulation (GDPR): De bekendste regulering, die specifiek draait rond persoonlijke data. Ze geeft burgers onder meer de wettelijke optie om op te vragen welke data bedrijven over hen hebben, en laat hen kiezen welke data ze al dan niet willen delen.
Geen Googles
Belangrijke caveat bij dat alles: je mag die data schijnbaar niet naar Meta of Google sturen. ‘De gebruiker kan zijn data vragen, maar die mag niet naar een poortwachter of ‘gatekeeper’ worden gestuurd,’ legt Rapoport uit.
Die poortwachters kent u van een ander stukje Europese wetgeving, de Digital Markets Act of DMA. Die wetgeving moet digitale markten openstellen en schrijft onder meer voor dat poortwachters die een groot platform uitbaten, daar plaats moeten bieden aan kleinere concurrenten. De DMA is de reden waarom Apple bijvoorbeeld alternatieve app stores moet toelaten op iPhones. De poortwachters van de DMA zijn momenteel met zes: Alphabet, Amazon, Apple, ByteDance, Meta en Microsoft.
Google past Android en zoekfuncties aan in Europa
‘Als de Data Act die regulering niet bevat, kan je je inbeelden dat de grote hyperscalers de datamarkt in gevaar kunnen brengen,’ zegt Rapoport daarover. ‘Zeker omdat de bedoeling expliciet is om kleine en middelgrote bedrijven toegang te geven tot gegevens die ze voor nieuwe ideeën kunnen gebruiken. De Commissie wil vermijden dat poortwachters nog meer data gaan verzamelen om zo een alwetend stelsel binnen de EU te worden.’
In de cloud
Een van de opvallender, en voor veel bedrijven misschien ook ingrijpender nieuwigheden in de Data Act is wat ze voorschrijft voor cloudcontracten. In het kader van ‘vrij verkeer van data’ wil de wetgeving namelijk een einde maken aan ‘lock-in’ met cloudcontracten.
Vandaag hebben minder dan vijf procent van de cloudcontracten een goede ‘exit clause’, zo becijferde Beltug. ‘Toegang tot data in de cloud is al enkele jaren problematisch omdat veel klanten vast zitten,’ zegt Rapoport. ‘Ze weten niet hoe ze hun data terug kunnen krijgen, hoeveel dat gaat kosten en hoe ze die data gaan verhuizen.’
‘Toegang tot data in de cloud is al enkele jaren problematisch omdat veel klanten vast zitten’
Het is dus een oud zeer, en enkele jaren terug was er al een oproep van de EU aan cloudproviders om zelfregulering uit te schrijven. Die is uiteindelijk niet toereikend gebleken. Daarom komt er nu een verplichting in de Data Act zelf. Die verplichting wordt trapsgewijs ingevoerd. Zo mag de kost van zo’n verhuis niet langer overdreven zijn, toch niet vanuit puur contractueel standpunt. Vanaf 12 september mag de kost niet hoger zijn dan de ‘werkelijke’ kost. Vanaf 12 januari 2027 zou zo’n verhuis zelfs gratis moeten zijn.
Daarnaast moeten providers het ook mogelijk maken om effectief over te stappen. ‘Dat is een grote verandering’, zegt Rapoport. ‘Vanaf 12 september gaat bijvoorbeeld de regel in dat cloudproviders geen obstakels meer mogen opwerpen voor bedrijven die van provider willen veranderen.’ Wat betekent dat? ‘Je mag het niet technisch ingewikkeld maken om over te schakelen, bijvoorbeeld,’ legt Waem uit. ‘Data moet exporteerbaar zijn.’
Deadline
Nieuwe contracten moeten ook worden aangepast om in lijn te zijn met de Data Act. Vanaf deze week moet je bijvoorbeeld opnemen dat je als leverancier een klant zal bijstaan bij het overschakelen. Cloudproviders krijgen daarbij ook deadlines. Wanneer een klant meldt dat hij wil switchen, krijgt het bedrijf in de Data Act dertig dagen om dat mogelijk te maken, of een nieuwe deadline voor te stellen. Die mag maximaal zeven maanden in de toekomst liggen.
‘Vandaag is de regel ‘trek uw plan’ wanneer je van cloudprovider wil wisselen,’ zegt Rapoport. ‘Die bedrijven gaan geen middelen vrijmaken om klanten te helpen verhuizen. Maar in andere markten is dit soort regel al wel een succes gebleken. Als je van telecomprovider wil veranderen, of van energieprovider, dat was vroeger ook een hele stap, maar is nu niet zo moeilijk meer.’
‘Voor veel bedrijven is een cloudproject ook een moeilijk proces. Het is nog de vraag of ze dat helemaal willen overdoen met een andere vendor.’
‘In de praktijk gaan we moeten zien of dat werkt’, stipt Waem aan. ‘Er is bijvoorbeeld die maximumtermijn van zeven maanden, maar je ziet bij grote projecten al dat zo’n projecten soms meer dan een jaar duren. Dus we moeten zien hoe realistisch dat is.’ Een dienst voor reisonkosten van de ene cloud naar de andere wil zetten, is nog iets heel anders dan je hele IT-infrastructuur overschakelen, dat idee. ‘Voor die bedrijven is zoiets hoe dan ook een moeilijk proces,’ zegt Waem. ‘Het is nog de vraag of ze dat helemaal willen overdoen met een andere vendor.’
Clausules
Nog iets dat verandert in cloudcontracten is een verstrenging van de termen. ‘In artikel 13 gaat de Data Act een verbod uitschrijven op oneerlijke contractuele verplichtingen’, zegt Rapoport. Denk daarbij aan contracten waarbij de aansprakelijkheid van de provider voor bepaalde data-inbreuken beperkt is, maar die van klanten onbeperkt.
‘Je moet bij zo’n oneerlijke clausule wel kunnen bewijzen dat je ertegen geprotesteerd hebt,’ zegt Rapoport. ‘Als je bijvoorbeeld e-mails hebt waarin je dat aanstipt, zou je daar nu mee naar de rechter kunnen stappen en zo’n clausule laten schrappen.’ Een en ander betekent overigens ook dat als je bedrijf niet onderhandeld heeft, er ook geen bewijzen zijn en je dus geen nieuw contract kunt krijgen, tot er ergens een verlenging aan zit te komen.
In de praktijk
Hoe ziet dat er in de praktijk uit? Voor veel consumenten zal het vooral wat meer papierwerk zijn. Waar je nu voor diensten en producten vaak al GDPR-toestemmingen geeft, zal je bij het aankopen van ‘smart device’ misschien een extra blad met Data Act-opties moeten aanvinken.
‘Technologie wordt een gereguleerde sector’
Voor bedrijven komt er dan weer wat extra compliance bij. De Data Act komt bovenop eerdere wetgeving zoals de securityregels van NIS2 en de dataregels van de GDPR. ‘Technologie wordt een gereguleerde sector,’ zegt Waem daarover. ‘Dat is vrij nieuw. In bijvoorbeeld de bankensector is er al langer veel regulering, maar tech was tot voor kort nog wat vrijer. Je ziet daar een spanningsveld tussen de innovatie die Europa wil nastreven, en het geld dat bedrijven in compliance moeten steken. Het idee van de data act is om het te valoriseren, om nieuwe zakenmodellen te bouwen, maar we moeten zien hoeveel bedrijven dat positieve aspect er uit kunnen halen.’
Veel hangt hoe dan ook af van de handhaving. ‘Elk land moet hier nog zijn eigen autoriteit aanstellen om op de naleving van de wet toe te zien,’ zegt Rapoport. ‘Dus gaan alle genetwerkte producten en cloudcontracten al van 12 september zo’n extra clausule hebben? Misschien nog niet. Toch zal de Data Act al van toepassingen zijn.’