EU Data Act: wat het betekent voor jouw software en SaaS.

Waarom de Data Act er is

In de Europese Unie wordt een enorme hoeveelheid data gegenereerd door slimme apparaten, machines en clouddiensten. Maar het overgrote deel van die data wordt niet hergebruikt — of is opgesloten bij één partij. De EU Data Act (Verordening (EU) 2023/2854) is bedoeld om dat te veranderen.

De verordening geeft gebruikers meer controle over de data die zij genereren, verplicht fabrikanten en dienstverleners om die data beschikbaar te stellen, en pakt vendor lock-in bij clouddiensten aan. Het doel is een eerlijkere data-economie waarin innovatie niet wordt belemmerd doordat data opgesloten zit in silo's.

De Data Act is op 11 januari 2024 in werking getreden en de meeste bepalingen zijn van toepassing sinds 12 september 2025. Daarmee is het nu al relevant voor elke organisatie die connected products maakt of clouddiensten aanbiedt in de EU.

Wie valt onder de Data Act?

De scope is breed en raakt meerdere typen organisaties:

• Fabrikanten van connected products — denk aan IoT-apparaten, slimme machines, connected voertuigen, maar ook industriële sensoren en smart home-apparaten
• Aanbieders van gerelateerde diensten — software die data verwerkt van connected products, zoals een app die sensordata visualiseert
• Cloud- en SaaS-aanbieders — elke partij die data processing services aanbiedt (SaaS, PaaS, IaaS) op de Europese markt
• Datahouders — bedrijven die data bezitten of controleren die door gebruikers is gegenereerd

Kleine en micro-ondernemingen zijn van bepaalde verplichtingen uitgezonderd, maar als je een SaaS-product bouwt of industriële IoT-oplossingen levert, is de kans groot dat de Data Act op jou van toepassing is.

De Data Act gaat niet alleen over persoonsgegevens. Het regelt toegang tot alle data die gegenereerd wordt door connected products en clouddiensten — inclusief machine-data en bedrijfsdata.

De vijf pijlers van de Data Act

1. Gebruikerstoegang tot IoT-data

Dit is de kern van de verordening. Gebruikers van connected products krijgen het recht om de data die hun apparaten genereren te benaderen en te delen — gratis en in een machineleesbaar formaat. Fabrikanten moeten hun producten zo ontwerpen dat data standaard toegankelijk is.

Concreet betekent dit: als je een slim apparaat of een connected machine maakt, moet de gebruiker de ruwe data die dat apparaat genereert kunnen opvragen. De gebruiker mag die data ook delen met derden — bijvoorbeeld een onafhankelijke servicepartij of een concurrerende softwareleverancier.

Er zijn uitzonderingen: de fabrikant mag data tegenhouden als het delen ernstige economische schade zou veroorzaken door blootstelling van bedrijfsgeheimen. Maar die drempel ligt hoog.

2. Eerlijke data-deelovereenkomsten

De Data Act pakt oneerlijke contractvoorwaarden aan. Bepalingen in contracten die data-toegang onredelijk beperken, zijn nietig. Denk aan:

• Clausules die aansprakelijkheid bij grove nalatigheid uitsluiten
• Voorwaarden die eenzijdig gewijzigd kunnen worden zonder instemming
• Beperkingen die data-toegang onredelijk beperken terwijl de gebruiker die data mede heeft gegenereerd

Dit geldt ook voor bestaande contracten. MKB-bedrijven en non-profitorganisaties krijgen extra bescherming: zij mogen alleen de directe kosten van dataverstrekking worden doorberekend, niet meer.

3. Einde aan vendor lock-in bij clouddiensten

Voor SaaS- en cloudaanbieders is dit het meest ingrijpende onderdeel. De Data Act verplicht:

• Opzegtermijn van maximaal 2 maanden — klanten moeten elk contract kunnen opzeggen met hooguit twee maanden opzegtermijn, ongeacht de oorspronkelijke contractduur
• Afschaffing van switchingkosten — per 12 januari 2027 mogen cloudaanbieders geen kosten meer in rekening brengen voor het switchproces
• Data-export in open formaten — klanten moeten hun data kunnen exporteren in gangbare, machineleesbare formaten
• Functionele equivalentie — de aanbiedende partij moet waar mogelijk garanderen dat de dienst bij een andere aanbieder vergelijkbaar kan draaien

Dit raakt direct het businessmodel van veel SaaS-aanbieders. Wie tot nu toe profiteerde van lock-in door propriëtaire dataformaten of hoge migratiekosten, zal dat model moeten herzien.

4. Data delen met overheden bij noodgevallen

Overheden kunnen in uitzonderlijke situaties — natuurrampen, pandemieën, andere noodsituaties — data opvragen bij bedrijven. Buiten noodgevallen geldt dit alleen voor niet-persoonsgebonden data en moet de overheid aantonen dat de data niet op een andere manier verkregen kan worden.

Kleine bedrijven zijn uitgezonderd van niet-noodgerelateerde verzoeken. Grotere bedrijven mogen een redelijke vergoeding vragen.

5. Bescherming tegen buitenlandse toegang

De Data Act beschermt niet-persoonsgebonden data in de EU tegen onrechtmatige toegangsverzoeken van overheden buiten de EU. Cloudaanbieders moeten maatregelen nemen — zoals encryptie en klantnotificatie — om data te beschermen tegen buitenlandse jurisdicties die in strijd zijn met EU-recht.

Tijdlijn: wat geldt wanneer?

• 11 januari 2024 — De Data Act is in werking getreden
• 12 september 2025 — Kernbepalingen van toepassing: gebruikersrechten op IoT-data, eerlijke contractvoorwaarden, B2G-datadeling
• 12 januari 2027 — Switchingkosten bij clouddiensten moeten volledig zijn afgeschaft
• 12 september 2027 — Volledige interoperabiliteitseisen en dataportabiliteitstandaarden van kracht

Wat dit betekent voor jouw software of SaaS

Als je een SaaS-product bouwt of aanbiedt

De impact is direct en substantieel. Je moet:

• Data-exportfunctionaliteit inbouwen — klanten moeten hun data in open, machineleesbare formaten kunnen exporteren. CSV en JSON als minimum, maar denk ook aan API's voor geautomatiseerde export.
• Contracten herzien — opzegtermijnen, lock-in clausules en switchingkosten moeten in lijn worden gebracht met de Data Act. Laat een jurist meekijken.
• Migratieondersteuning bieden — je bent verplicht om mee te werken als een klant wil overstappen. Dat betekent technische ondersteuning en een redelijke overgangsperiode.
• Open interfaces bouwen — API's en exportfunctionaliteit moeten publiek gedocumenteerd zijn zodat concurrenten de data kunnen importeren.

Als je connected products of IoT-oplossingen maakt

Producten moeten by design data-toegang faciliteren:

• Gebruikers moeten direct toegang krijgen tot de data die hun apparaat genereert
• Data moet beschikbaar zijn in machineleesbare formaten, bij voorkeur via een API
• Je moet vooraf duidelijk communiceren welke data je verzamelt, hoe vaak, en in welke volumes
• Derden die de gebruiker aanwijst, moeten ook toegang kunnen krijgen

Als je bedrijfssoftware laat bouwen

Ook als opdrachtgever is de Data Act relevant. Stel je laat een maatwerkapplicatie bouwen die data verzamelt van connected apparaten of die als clouddienst wordt aangeboden aan derden. Dan moet je al in de ontwerpfase rekening houden met dataportabiliteit, open standaarden en exportfunctionaliteit.

Vendor lock-in als businessmodel is niet langer houdbaar. De Data Act dwingt SaaS-aanbieders om te concurreren op waarde, niet op overstapdrempels.

De relatie met andere EU-wetgeving

De Data Act staat niet op zichzelf. Het vormt samen met de AVG, de AI Act, de Cyber Resilience Act en NIS2 een samenhangend Europees regelgevingskader voor de digitale economie.

De Data Act vult de AVG aan: waar de AVG persoonsgegevens reguleert, gaat de Data Act ook over niet-persoonsgebonden data. Beide gelden gelijktijdig — als je IoT-data verwerkt die ook persoonsgegevens bevat, moet je aan beide kaders voldoen.

Voor de praktijk betekent dit: als je al AVG-compliant bent, heb je een voorsprong. Principes als dataminimalisatie, transparantie en doelbinding zijn ook onder de Data Act relevant. Maar de Data Act voegt daar specifieke eisen aan toe rondom dataportabiliteit, eerlijke contracten en het actief beschikbaar stellen van data.

Wat je nu moet doen

De kernbepalingen gelden al. Dit zijn de stappen die je nu moet zetten:

• Data-inventarisatie maken — breng in kaart welke data je verzamelt, genereert en opslaat. Maak onderscheid tussen persoonsgegevens en niet-persoonsgebonden data. Wie heeft toegang en in welke formaten?
• Contracten doorlichten — controleer of je SaaS-contracten, serviceovereenkomsten en dataovereenkomsten in lijn zijn met de Data Act. Let specifiek op lock-in clausules, opzegtermijnen en switchingkosten.
• Exportfunctionaliteit bouwen — zorg dat klanten hun data in open formaten kunnen exporteren. Bouw hier een API voor, niet alleen een handmatige CSV-download.
• Productontwerp aanpassen — als je connected products maakt, zorg dan dat data-toegang by design is ingebouwd. Niet als afterthought, maar als kernfunctionaliteit.
• Switchingplan opstellen — bereid je voor op de afschaffing van switchingkosten per januari 2027. Zorg dat je klanten kunt helpen bij migratie naar een andere aanbieder.

Hoe Coding Agency hiermee omgaat

Bij de software en SaaS-platformen die wij bouwen houden we rekening met de Data Act. Dat betekent concreet:

• We bouwen standaard data-exportfunctionaliteit in onze applicaties
• We ontwerpen API's die voldoen aan open standaarden en dataportabiliteitseisen
• We adviseren over contractuele implicaties bij SaaS-producten
• Bij IoT-projecten zorgen we dat data-toegang by design is ingebouwd
• We helpen bij het in kaart brengen van je data-architectuur in het licht van de Data Act

De Data Act is geen bedreiging voor goede software. Het is een reden om het goed te doen: open, portabel en eerlijk. En dat is precies hoe wij software bouwen.