In IT-geschillen is er een vraag die regelmatig terugkeert: welke verplichtingen bestaan er na de beëindiging van een overeenkomst met betrekking tot de data die door de leverancier wordt beheerd? In een recent vonnis van de Rechtbank Overijssel (ECLI:NL:RBOVE:2025:7687) was aan de orde dat partijen niets hadden geregeld over de export van data na opzegging van de overeenkomst. De rechter oordeelt dat de aanvullende werking van de redelijkheid en billijkheid concrete verplichtingen rondom data-export en het verbod om data zonder voorafgaande aankondiging te vernietigen met zich mee kan brengen. Interessant is hoe dit vonnis gelezen kan worden in het licht van de EU Data Act (Verordening (EU) 2023/2854) (“Data Act”), die sinds 12 september 2025 in werking is getreden. Het doel van de verordening is om een transparanter en concurrerender datalandschap te creëren in de Europese Unie, waarbij aanbieders van clouddiensten het voor afnemers mogelijk moeten maken om over te stappen naar een andere aanbieder. In dit blog wordt ingegaan op de gevolgen van deze zaak en de impact die de Data Act daar mogelijk op heeft.
Kern van de zaak
Centrum voor Groepsaccommodaties B.V. (“Groepen”) verhuurt vakantiehuisjes en appartementen. In 2015 ontwikkelde Booking een online reserveringssysteem voor Groepen. Dit reserveringssysteem stelde Booking ter beschikking op grond van een licentieovereenkomst. Booking sloeg de data op een eigen server op en beheerde deze zelf.
Groepen stapte in februari 2024 over naar een oplossing van een andere leverancier. Rond 1 april 2024 beëindigde Booking de toegang van Groepen tot het reserveringssysteem. In de maanden daarna verzocht Groepen om de gegevens die van belang waren voor haar administratie, waaronder facturen, boekingen, afrekeningen en betalingscommissies. Booking stelde dat zij geen bewaarplicht had en dat de data inmiddels was verwijderd, maar bood wel aan om te kijken of er back-ups aanwezig waren en zo nodig de data te herstellen tegen een uurtarief, gekoppeld aan een her-activering van de opgezegde overeenkomst.
De overeenkomst bevatte geen regeling over het bewaren en verwijderen van data na opzegging, en evenmin een regeling over de wijze van export. Volgens de rechtbank is sprake van een leemte in de overeenkomst, die ingevuld moet worden door de aanvullende werking van de redelijkheid en billijkheid (artikel 6:248 lid 1 BW). De rechter oordeelt dat uit de aanvullende werking van de redelijkheid en billijkheid voortvloeit dat Booking slechts na een deugdelijke aankondiging tot definitieve vernietiging van data mocht overgaan. Op deze wijze wordt de klant voldoende in de gelegenheid gesteld om de data veilig te stellen. Daarbij onderkent de rechtbank dat, indien de klant niet tijdig zelf voor export heeft gezorgd, de leverancier voor export- of herstelwerkzaamheden een redelijke vergoeding mag verlangen.
Omdat de rechtbank op basis van hetgeen partijen naar voren hebben gebracht niet kan vaststellen of de relevante data definitief verloren is gegaan of nog (deels) uit back-ups kan worden teruggehaald, wordt Booking in de gelegenheid gesteld zich daarover bij akte uit te laten. Indien blijkt dat Booking de data van Groepen verwijderd heeft, is Booking volgens de rechtbank aansprakelijk voor de schade die Groepen mogelijk heeft geleden.
Impact Data Act?
Toen dit geschil speelde, was de Data Act nog niet van toepassing. Aangenomen dat de dienst die Booking aanbood onder de werking van de Data Act zou vallen, zou deze zaak dan anders zijn geweest? De Data Act beoogt om een zogeheten ‘vendor lock-in’ te beperken en het switchen tussen aanbieders van clouddiensten (o.a. IaaS, PaaS en SaaS) te vergemakkelijken.
Als een dienst onder de Data Act valt, moet een aanbieder van die dienst voorafgaand aan een overstap de klant volledig informeren over de beschikbare procedures om over te stappen en gegevens over te dragen aan de nieuwe aanbieder of de klant zelf, inclusief informatie over beschikbare overstap- en overdrachtsmethoden, formaten, restricties en technische beperkingen die bekend zijn bij de aanbieder van de betreffende dienst (Artikel 26 van de Data Act).
Daarnaast is de aanbieder ook verplicht om heldere contractuele afspraken te maken over exit- en overstaprechten van de afnemer. Artikel 25 van de Data Act bepaalt dat het proces van overstappen maximaal drie maanden mag duren en dat voordat de data wordt verwijderd de afnemer minimaal een periode van 30 dagen in de gelegenheid gesteld moet worden om de data op te halen, dan wel te exporteren. Wanneer hierover niets wordt geregeld, kan dit niet alleen leiden tot aansprakelijkheid, maar ook tot een boete van de aangewezen toezichthouder in Nederland (de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens).
Onder de Data Act had Booking de data niet mogen verwijderen, zonder Groepen in de gelegenheid te stellen de data op te halen en te exporteren. Voor de overstap had Booking redelijke kosten in rekening mogen brengen. Overigens mag dat maar tot 1 januari 2027, waarna geen kosten meer voor het overstappen in rekening gebracht mogen worden. Dat de rechter in dit geval de tijdelijke her-activering van de overeenkomst, inclusief het maandelijkse bedrag daarvoor redelijk achtte, is in het licht van de Data Act niet onredelijk. Volgens de Data Act loopt de overeenkomst immers door tot de overstap is voltooid. Pas na de afronding wordt de overeenkomst beëindigd.
Conclusie
Deze uitspraak blijft relevant voor diensten waarop de Data Act niet van toepassing. Als partijen in hun contract niets regelen over een exit en de export en bewaartermijnen van data, brengt de zorgplicht met zich mee dat de leverancier niet zomaar tot onaangekondigde datavernietiging over kan gaan. Voor aanbieders die wél onder de Data Act vallen, verplicht artikel 25 van de Data Act de aanbieder van clouddiensten tot contractuele afspraken over de exit en overstap, waaronder het opvragen en exporteren van data door afnemers. De Data Act geeft nadere invulling aan de zorgplicht van de IT-leverancier, die binnen het Nederlandse recht al geruime tijd geldt.
Heeft u vragen over exit- en overstapbepalingen in uw overeenkomst of de algehele impact van de Data Act op uw dienstverlening? Neem contact op met Kyong Soon Rijnders
k.s.rijnders@cordemeyerslager.nl of Sara van Mourik
s.vanmourik@cordemeyerslager.nl.
Lees de volledige uitspraak
hier.
