Op 12 september 2025 is de
EU Data Act (Verordening (EU) 2023/2854) (de Data Act) in werking getreden. Deze nieuwe wet heeft verstrekkende gevolgen, niet alleen voor aanbieders van verbonden ‘Internet of Things’ producten, maar ook voor aanbieders van clouddiensten, zoals Software as a Service, Platform as a Service en Infrastructure as a Service. Het doel van de wet is om een transparanter en concurrerender datalandschap te creëren in de Europese Unie (EU). Aanbieders van clouddiensten moeten het voor klanten mogelijk maken om over te kunnen stappen naar een andere aanbieder. Dit betekent dat clouddiensten hun contracten, technische infrastructuur en informatieplicht opnieuw tegen het licht moeten houden om te bezien of is voldaan aan de Data Act. Hieronder zetten wij de belangrijkste punten voor u uiteen.
Overstappen tussen clouddiensten
Een van de doelen van de Data Act is het tegengaan van zogeheten ‘vendor-lock-in’. Klanten moeten hun data en applicaties eenvoudig(er) kunnen verplaatsen naar een andere clouddienst of terug kunnen zetten naar hun eigen systemen. De Data Act schrijft voor dat migratie in principe binnen 30 dagen moet plaatsvinden na de maximale opzegtermijn (art. 25). Alleen als dit technisch onmogelijk is mag daarvan worden afgeweken, als dat goed onderbouwd wordt. Drie aspecten die relevant zijn voor aanbieders van clouddiensten:
- Contractvoorwaarden: aanbieders van clouddiensten krijgen de verplichting om duidelijke contractvoorwaarden op te nemen over opzegtermijnen van de klant (maximaal 2 maanden), specificaties van exporteerbare en niet exporteerbare data, en eventuele kosten (artt. 25 en 34). Aanvankelijk mogen nog “redelijke kosten” in rekening worden gebracht, maar stapsgewijs worden clouddiensten verplicht hun overstapkosten op te heffen (art. 29). Uiterlijk in 2027 moeten exit fees volledig zijn afgeschaft.
- Interoperabiliteit: om migratie te faciliteren, moeten clouddiensten hun diensten zodanig ontwikkelen dat data van klanten overdraagbaar is en te gebruiken bij andere aanbieders van clouddiensten (artt. 26 en 27). De Europese Commissie heeft bovendien de bevoegdheid om in de toekomst bindende gemeenschappelijke standaarden vast te stellen (art. 35), waar providers zich verplicht aan zullen moeten houden.
- Transparantie en informatieplicht: voorafgaand aan de migratie moet de klant volledig geïnformeerd worden over de overstapprocedures (art. 26). Dit omvat onder meer: welke data overdraagbaar is, welke functionaliteiten mogelijk verloren gaan, hoe de migratieprocedure verloopt, en welke kosten eventueel nog in rekening worden gebracht. De klant moet ook worden geïnformeerd over de maatregelen ter voorkoming van onrechtmatige doorgifte van data buiten de EU (art. 29).
Overheidsverzoeken om data
Verder krijgen overheidsinstanties in de Data Act nieuwe bevoegdheden. In uitzonderlijke situaties mag de overheid data opvragen bij aanbieders van clouddiensten, bijvoorbeeld in geval van een noodsituatie of wanneer dit strikt noodzakelijk is voor het uitvoeren van een publieke taak. Zulke verzoeken moeten specifiek, transparant en evenredig zijn, en mogen niet leiden tot het delen van meer data dan nodig is. Bovendien moeten bedrijfsgeheimen worden beschermd, en de data die niet meer nodig is moet worden verwijderd. Verder mag dezelfde data niet meerdere keren door verschillende overheidsinstanties kan worden opgevraagd, om overbelasting te voorkomen.
Next steps
Om te voldoen aan de minimumeisen die de Data Act stelt zullen contracten herzien worden. De Europese Commissie heeft daartoe op 2 april 2025 een
rapport gepubliceerd met Standard Contractual Clauses (SCCs) voor cloudcontracten. Deze modelcontractbepalingen zijn niet bindend, maar bieden handvatten om bepaling in overeenstemming met de Data Act in te richten.
De Data Act is per 12 september 2025 in werking getreden. Heeft u vragen of advies nodig? Schroom niet om contact met ons op te nemen.
