Data Act in praktijk: modelcontractbepalingen en standaard contractuele clausules gepresenteerd

Controle over data, ook in de cloud, wordt steeds belangrijker. Tijdens Beltug's VIP Evening 2025 sprak Claude met Ioana Mazilescu, plaatsvervangend hoofd van de eenheid digitale transitie en justitiële opleiding van de EC. Zij bespraken de Data Act, de impact ervan op cloudcontracten, enkele praktische voorbeelden van kansen en het werk van de expertgroep B2B Data Sharing and Cloud Computing. Hieronder de tekst van Claude's toespraak.

"Hier zijn vier belangrijke zaken die zullen veranderen wanneer de Data Act op 12 september 2025 realiteit wordt:

1. Het gemakkelijker overstappen van cloudserviceproviders

Vandaag de dag bevat minder dan 5% van de cloudservicecontracten een goede clausule voor overstap en exit. De meeste bedrijven stappen over naar de cloud zonder een duidelijk idee te hebben hoe ze hun data terug kunnen krijgen, hoe lang dat kan duren of hoeveel het kan kosten. Ze zitten dus feitelijk vast.

De Data Act wil deze problemen aanpakken. Artikel 23 stelt dat aanbieders van dataprocessingsdiensten geen pre-commerciële, commerciële, technische, contractuele en organisatorische belemmeringen voor een effectieve overstap mogen opleggen en deze moeten verwijderen.

Dit betekent dat zelfs als uw contract niet specifiek een goede clausule voor overstap en exit bevat, de Data Act vanaf 12 september 2025 van toepassing is en de aanbieders de volgende verplichtingen hebben:

• Zij moeten de klant binnen een overgangsperiode van maximaal 30 dagen laten overstappen, of indien technisch niet haalbaar, maximaal 7 maanden.
• Zij moeten redelijke assistentie verlenen bij de overstap tegen een kostprijs die de reële kosten niet mag overschrijden.
• Na 12 januari 2027 moeten zij dit kosteloos doen.

Wat betekent dit in de praktijk?

Over het algemeen zullen bedrijven niet direct worden getroffen omdat ze tevreden zijn met hun bestaande provider en ook weten hoe moeilijk, riskant en tijdrovend overstappen kan zijn. Er zijn dus prikkels om bij uw bestaande provider te blijven.

Maar als u echt ontevreden bent over uw bestaande provider, heeft u een uitweg: u stuurt een kennisgeving naar uw provider waarin u eist dat deze de Data Act toepast. Overstappen zal nog steeds moeilijk, riskant en tijdrovend zijn, maar vanaf 12 september 2025 heeft u een goed gereguleerde uitweg - wat vandaag niet het geval is!

2. Datadeling in de Business-to-Consumer markt

Dit is een markt in ontwikkeling, een nieuwe markt, en de Data Act wil deze een impuls geven.

Laten we een praktisch voorbeeld nemen:

U koopt een auto. De auto is een object dat data produceert en naar de fabrikant stuurt. Dit omvat data over de auto zelf en data over uw rijgedrag. Natuurlijk bent u een goede chauffeur en wilt u dat uw verzekeringsmaatschappij dit weet. Hoe kunt u dit vandaag doen? Bent u de eigenaar van de data die door uw rijgedrag wordt gegenereerd? Is de fabrikant de eigenaar van de data die door de auto wordt gegenereerd?

De Data Act is niet geïnteresseerd in wie de eigenaar is. Het kijkt naar:

• Wie de 'gebruiker' van het product is: u
• Wie de 'datahouder' is: de fabrikant

En het creëert nieuwe rechten voor de gebruiker (u) en nieuwe verplichtingen voor de datahouder (de fabrikant).

De datahouder moet de data zo snel en zo eenvoudig mogelijk beschikbaar stellen aan de gebruiker. De gebruiker kan de datahouder ook vragen om data door te sturen naar een derde partij (de 'datarecipiënt').

Dus, in ons voorbeeld, moet de autofabrikant u in staat stellen om bepaalde data naar uw verzekeringsmaatschappij te laten doorsturen.

3. Datadeling in de Business-to-Business markt

Laten we naar een ander voorbeeld kijken: apparatuur voor materiaalbehandeling in magazijnen. Dus vorkheftrucks, enz. Stel dat er een Belgisch bedrijf is dat wereldwijd gespecialiseerd is in het beheer van dit soort 'offroad industriële vloten' en meer dan 100.000 machines in 60 landen beheert.

Het opereert in een heterogene markt:

• Verschillende fabrikanten
• Verschillende motoren (diesel, benzine, elektrisch)
• Verschillende systemen (mechanisch, hydraulisch, elektrisch)

Hoe werkt datadeling vandaag?

• De fabrikant installeert een gateway en een simkaart op de machine en vraagt een onderhoudscontract aan de gebruiker.
• De producent van de motor (meestal) installeert een andere gateway met een andere simkaart en vraagt een ander onderhoudscontract aan de gebruiker.
• Een telematica-bedrijf komt langs dat aanvullende diensten wil leveren:
  • GPS-locatie voor track en trace
  • Toegangscontrole
  • Gebruiksrapporten
  • Botsingsrapporten
  • Preventief onderhoud

Om dit te doen, moet het telematica-bedrijf een derde gateway met een derde simkaart op de machine installeren.

Het is duidelijk dat er vandaag zeer weinig datadeling is. Maar de Data Act is van plan dit te veranderen, met artikel 5: Recht van de gebruiker om data te delen met derden.

In ons voorbeeld kan de gebruiker de fabrikant vragen om de noodzakelijke data naar het telematica-bedrijf te sturen, waardoor de derde gateway en simkaart niet meer nodig zijn.

Maar hoe zit het met de betekenis van de data? De Data Act gaat verder en stelt dat de datahouder ook de relevante metadata moet delen die nodig is om de data te interpreteren.

Hoewel de principes er nu zijn, blijft de vraag hoe snel en in welke mate ze zullen worden geïmplementeerd.

4. Onderhandelen over cloudcontracten

Hier hebben we nog een totaal ander onderwerp, waarvoor artikel 13 van de Data Act oneerlijke contractuele bedingen behandelt.

We gebruiken nog een eenvoudig voorbeeld.

In de meeste contracten van cloudproviders mag de klant de vertrouwelijkheid van het contract niet schenden, bijvoorbeeld de voorwaarden of de prijsstelling. De provider mag de vertrouwelijkheid van de data van de klant niet schenden. Er is een soort evenwicht.

Maar de aansprakelijkheid in geval van schending is totaal anders:

• Als de klant de vertrouwelijkheid van het contract schendt, is de aansprakelijkheid onbeperkt.
• Als de provider de vertrouwelijkheid van de klantdata schendt, is de aansprakelijkheid beperkt tot de vergoeding van één jaar.

Waarom is dit het geval? De providers beweren dat niemand 100% beveiliging kan bieden. Ondanks alle beveiligingsmaatregelen is hacking van vertrouwelijke data mogelijk en willen zij in deze gevallen geen onbeperkte aansprakelijkheid.

Hoewel dit juist kan zijn, is er een andere situatie waarin de providers wel onbeperkte aansprakelijkheid zouden moeten dragen: het opzettelijk gebruik van vertrouwelijke klantdata door de provider, bijvoorbeeld om hun AI-systemen te voeden.

Dit kan van cruciaal belang worden in een wereld waar het succes van bedrijven afhangt van de ontwikkeling van Artificiële Intelligentie (AI) en klantdata een 'goudmijn' kan zijn.

Dit is geen probleem als de klant hiermee instemt. Maar opzettelijk ongeoorloofd gebruik van vertrouwelijke klantdata moet leiden tot onbeperkte aansprakelijkheid.

Dit is een van de Standaard Contractuele Clausules die zijn ontwikkeld door de expertgroep B2B Data Sharing and Cloud Computing van de EC. Bij het onderhandelen over cloudservicecontracten raden wij u aan om te vragen deze clausule op te nemen. Als de provider weigert, houd dan uw verzoek en de reactie van de provider bij. Op deze manier kunt u bewijzen dat de aansprakelijkheidsclausule eenzijdig door de provider is opgelegd.

Volgens artikel 13 van de Data Act is een contractueel beding inzake de toegang tot en het gebruik van data of inzake aansprakelijkheid dat eenzijdig door een onderneming aan een andere onderneming is opgelegd, niet bindend voor laatstgenoemde onderneming indien het oneerlijk is."