Vanaf 12 september 2025 is de Europese Dataverordening van toepassing. Deze verordening creëert nieuwe rechten en verplichtingen die niet alleen zien op persoonsgegevens, maar op data in het algemeen. De praktische implicaties zijn groot.
De Dataverordening raakt in het bijzonder partijen die verbonden (‘connected’ of Internet of Things (‘IoT’)) producten en clouddiensten aanbieden. Onderbelicht is gebleven dat de verordening ook regels bevat over contracteren over de uitwisseling van data. Deze regels zijn van toepassing op alle bedrijven.
Het eerste hoofdonderwerp in de Dataverordening betreft de regels over het delen en gebruiken van gebruiksgegevens van verbonden producten en daaraan gerelateerde diensten. Dit zijn producten en diensten zoals smartwatches en slimme speakers met een virtuele assistent als Alexa, maar ook met het internet verbonden landbouwmachines. Bedrijven moeten naar aanleiding van de Dataverordening aan nieuwe verplichtingen voldoen met betrekking tot verbonden producten en gerelateerde diensten. Ten eerste moeten bedrijven die verbonden producten produceren en gerelateerde diensten verlenen, de producten en diensten zodanig ontwerpen dat gebruikers hun gegevens gemakkelijk kunnen inzien (“data access by design”). Bovendien geeft de Dataverordening gebruikers een expliciet toegangsrecht tot gebruiksgegevens. Dit toegangsrecht houdt in dat gebruikers van verbonden producten en gerelateerde diensten eenvoudig inzage krijgen in hun gebruiksgegevens wanneer de data access by design niet geregeld is. Daarnaast moeten ondernemingen het ook mogelijk maken dat gebruikers hun gebruiksgegevens eenvoudig met een andere partij kunnen delen. Tot slot moeten kopers van verbonden producten en ontvangers van een gerelateerde dienst van de verkoper en respectievelijk de leverancier ook bepaalde informatie krijgen over hoe het verbonden product data verzamelt.
De gegevenshouder (veelal de aanbieder van het verbonden product of een gerelateerde dienst) mag niet-persoonsgegevens voortaan alleen gebruiken als de overeenkomst met de gebruiker van het verbonden product of de gerelateerde dienst dit toestaat. De gegevenshouder mag de gegevens niet gebruiken om inzicht te krijgen in de economische situatie, de activa of de productiemethoden van de gebruiker of het gebruik van het product of de dienst door de gebruiker, op een manier die de commerciële positie van de gebruiker op de markten waarop deze actief is, kan ondermijnen. Gegevens mogen alleen met derden worden gedeeld als dat nodig is om de overeenkomst met de gebruiker uit te voeren.
Vanaf 12 september 2026 moeten de verbonden producten die worden verkocht en gerelateerde diensten die worden verleend voldoen aan de ontwerpplicht (data access by design). De andere regels over verbonden producten en gerelateerde diensten, inclusief het expliciete toegangsrecht, zijn al vanaf 12 september 2025 van toepassing.
Het tweede hoofdonderwerp betreft de regels die worden opgelegd aan “dataverwerkingsdiensten”. Met “dataverwerkingsdiensten” wordt gedoeld op een breed scala aan clouddiensten. De considerans verwijst naar “infrastructure-as-a-service” (IaaS), “platform-as-a-service” (PaaS), “software-as-a-service” (SaaS), “storage-as-a-service” en “database-as-a-service”. Daarnaast vallen ook zogenaamde edgediensten onder het begrip. De verplichtingen die aan aanbieders van dataverwerkingsdiensten worden opgelegd zien op 1) het faciliteren van de overstap naar een andere aanbieder, 2) het faciliteren van interoperabiliteit tussen verschillende dataverwerkingsdiensten en 3) het voorkomen van internationale overheidstoegang. Vanaf 12 september 2025 moeten aanbieders van dataverwerkingsdiensten aan deze regels voldoen.
Het derde hoofdonderwerp betreft regels over het verplicht delen van gegevens met overheidsinstanties, de Europese Centrale Bank, de Europese Commissie of een ander orgaan van de Europese Unie. Deze instanties kunnen op grond van een uitzonderlijke noodzaak gegevens opvragen. Dit kan alleen als de instanties in een noodsituatie niet goed en tijdig op een andere manier aan de gegevens kunnen komen. Ook kunnen de instanties niet-persoonsgegevens opvragen wanneer deze gegevens nodig zijn voor het uitoefenen van een specifieke taak in het algemeen belang, zoals voor het opstellen van officiële statistieken. Ook deze regels zijn vanaf 12 september 2025 van toepassing.
Het meest verrassende onderdeel van de Dataverordening is wellicht de bepaling over oneerlijke contractvoorwaarden. Deze is van toepassing op afspraken die ondernemingen onderling (‘B2B’) maken over het delen van data. Kortgezegd regelt het artikel dat contractvoorwaarden over data niet bindend zijn voor de andere partij wanneer de bedingen eenzijdig door de aanbieder zijn opgelegd én als “oneerlijk” worden bestempeld. Het artikel bevat een lijst met bepalingen die altijd oneerlijk zijn (een ‘zwarte lijst’) en een lijst met bepalingen die worden vermoed oneerlijk te zijn (een ‘grijze lijst’). Als een onderneming een beding uit de grijze lijst gebruikt, moet deze onderneming bewijzen dat het beding niet oneerlijk is.
Opvallend aan het artikel is dat het is opgesteld als een zwarte en grijze lijst tussen ondernemingen onderling. Er bestaan al veel langer zwarte en grijze lijsten voor algemene voorwaarden die ondernemingen aan consumenten opleggen (zie bijvoorbeeld artikel 6:236 en 6:237 Burgerlijk Wetboek), waarbij de consument wordt beschermd tegen oneerlijke algemene voorwaarden. Nu is er dus een vergelijkbare lijst voor overeenkomsten tussen ondernemingen onderling. Deze bepaling geldt ongeacht de grootte van de betreffende ondernemingen.
De verplichtingen uit dit artikel zien op alle contracten en bedingen over de toegang tot en het gebruik van data die worden gesloten tussen ondernemingen. Bij elke overeenkomst of bepaling over het delen van gegevens en het gebruik van gegevens zal rekening moeten worden gehouden met dit artikel. Het artikel zal veelal ook van toepassing zijn wanneer ondernemingen onderling contracten over persoonsgegevens sluiten, zoals een overeenkomst voor gezamenlijke verwerkingsverantwoordelijken onder artikel 26 van de Algemene Verordening Gegevensbescherming (‘AVG’). De toepassing van het artikel is van dwingend recht. Dit betekent dat ondernemingen niet kunnen afspreken dat het artikel niet op hun relatie van toepassing is en er niet van kunnen afwijken.
Het is van belang dat ondernemingen zich van dit artikel bewust zijn wanneer zij overeenkomsten sluiten over (persoons)gegevens. Voor afnemers is het overigens belangrijk om altijd te proberen te onderhandelen over de aan hen opgelegde oneerlijke contractvoorwaarden. Als er niet is geprobeerd om over de oneerlijke voorwaarden te onderhandelen, kan een onderneming geen beroep doen op de bescherming van het artikel.
De bepaling is van toepassing op alle overeenkomsten die worden gesloten na 12 september 2025. Op een aantal overeenkomsten die voor 13 september 2025 zijn gesloten is de bepaling van toepassing vanaf 12 september 2027. Dit geldt voor overeenkomsten die voor onbepaalde tijd zijn gesloten en voor overeenkomsten die aflopen na 11 januari 2034.
De Dataverordening heeft directe werking in de Nederlandse rechtsorde, waardoor er geen of beperkte ruimte is voor afwijkende of aanvullende nationale regels. Voor de onderwerpen die nationaal moeten worden geregeld is een nationale Uitvoeringswet in behandeling. De verordening geeft lidstaten de vrijheid om zelf te bepalen welke toezichthouder bevoegd is om de bepalingen uit de verordening te handhaven. In Nederland moet de Tweede Kamer nog stemmen over het ontwerp van een Nederlandse Uitvoeringswet. In het huidige wetsontwerp van de Uitvoeringswet dataverordening worden de Autoriteit Persoonsgegevens (‘AP’) en de Autoriteit Consument en Markt (‘ACM’) als toezichthouders aangewezen.
De Dataverordening is vanaf 12 september 2025 van toepassing in Nederland. De Dataverordening schept nieuwe rechten en verplichtingen voor met name ondernemingen. In het bijzonder zullen alle ondernemingen bij het sluiten van overeenkomsten over (persoons)gegevens waakzaam moeten zijn voor de regels over oneerlijke contractuele bedingen. De AP en de ACM zullen waarschijnlijk worden aangewezen als toezichthouder voor de naleving van de verordening.
De Dataverordening is nu nog niet van toepassing. Toch is het aan ondernemingen aan te raden om alvast maatregelen te nemen. Zo kan de bedrijfsvoering tijdig worden aangepast aan de verplichtingen die de verordening met zich meebrengt.
La Gro organiseert dit najaar op 14 november een kennisevenement over de Dataverordening. Er zullen daarnaast meer blogs over dit onderwerp volgen. Houd onze website in de gaten voor meer informatie.
Heeft u vragen over de Dataverordening of wilt u zich (voor)aanmelden voor ons event op 14 november? Neem dan contact op met Jan Baas , Jolijn Gijsen of Jiahui Plomp of een van onze andere specialisten Data & Privacy .
