Close
Close
Linkedin
Close
Close

De impact van de EU DataAct op het uitwisselen van data

Wij spraken we met Huub de Jong, partner en juridisch expert in Europese datawetgeving. In dit gesprek deelt hij zijn visie op de juridische impact van de Data Act, de uitdagingen voor organisaties én de rol van technologie in het aantoonbaar veilig delen van data.
EU Data Act uitgelegd- van beschermen naar benutten

De EU DataAct is een van de meest ingrijpende wetten van de afgelopen jaren op het gebied van datagebruik, toegang en controle. De wet moet de weg vrijmaken voor een Europese data-economie waarin informatie vrij kan stromen, zonder dat privacy, eigendom of veiligheid in het gedrang komen.

Toch roept die ambitie ook veel vragen op.

  • Wat betekent de Data Act in de praktijk voor organisaties die data genereren, delen of beheren?
  • Wie is juridisch verantwoordelijk bij misbruik of datalekken binnen complexe ketens?
  • En hoe kunnen bedrijven voldoen aan de eisen van aantoonbaarheid en transparantie zonder vast te lopen in nieuwe lagen van bureaucratie?

Om die vragen te beantwoorden, spraken we met Huub de Jong, partner en juridisch expert in Europese datawetgeving.
In dit gesprek deelt hij zijn visie op de juridische impact van de Data Act, de uitdagingen voor organisaties én de rol van technologie in het aantoonbaar veilig delen van data.

“Dit gaat echt om marktwerking stimuleren.” aldus Huub de Jong – Turing advocaten 

Over Turing advocaten 

Turing advocaten (turing law) is een onafhankelijk boutiquekantoor dat zich volledig richt op de juridische aspecten van data en digitalisering, van ITcontracten en cloud tot privacy (AVG), AI en intellectueel eigendom, voor (inter)nationale bedrijven en (semi)publieke organisaties.  

Het team publiceert regelmatig over nieuwe EUregels zoals de Data Act en de implicaties voor cloudcontracten en datadeling.

In één oogopslag 

De Data Act is sinds 12 september 2025 van toepassing en zet de stap van “op data zitten” naar toegang en delen onder voorwaarden.  

Fabrikanten en serviceproviders van connected products (IoT) moeten accessbydesign bieden; die ontwerpplicht geldt voor nieuwe producten en diensten die na 12 september 2026 op de EUmarkt komen.  

Cloud lockin wordt doorbroken: klanten krijgen switchingrechten en per 12 januari 2027 verdwijnen egress/switching fees (na een overgangsperiode met kostengebaseerde charges).  

Bij exceptional need kunnen publieke instanties data opvragen, snel en gratis bij acute nood, in andere gevallen met compensatie en strikte waarborgen.  

Onfaire B2Bbedingen worden aangepakt (zwarte/grijze lijst); datadeling moet onder FRANDvoorwaarden en met redelijke (soms kostendekkende) vergoeding.  

“Organiseren, niet over de schutting gooien” 

Huub de Jong is duidelijk over de bedoeling van de wet: “We moeten die markt open gooien. We zullen minder krampachtig op die data moeten zitten,” zegt hij. “Je hoeft niet alles vrij te geven: je moet het verstrekken, maar wel onder voorwaarden. Je moet het organiseren.” In zijn woorden verschuift het debat van eigendom naar toegang: het klassieke ‘dit is van mij’ maakt plaats voor gereguleerd delen. 

Die lijn sluit naadloos aan op het beleidskader van de Europese Commissie, waarin de Data Act een horizontale set spelregels biedt voor wie welke data mag gebruiken en onder welke condities, van IoTdata via cloudmigraties tot overheidsverzoeken. 

Wat regelt de EU DataAct concreet? 

1. IoT/connected products: toegang als standaard 

Gebruikers (bedrijven of consumenten) van connected products en related services krijgen regie op de data die tijdens gebruik ontstaat. Fabrikanten/ dienstverleners moeten “access by design” voorzien: data eenvoudig, veilig, kosteloos en waar relevant (near) realtime beschikbaar. Die ontwerp-plicht geldt voor nieuw op de EUmarkt gebrachte producten/diensten na 12 september 2026; transparantie over welke data het product genereert is verplicht vóór de koop. 

“Je mag er geen competitief product mee ontwikkelen,” zegt Huub de Jong over de grenzen voor derden die data krijgen. Dat verbod staat ook in de regelgeving: gebruik is doelgebonden en productklonen is uitgesloten.“ 

Bedrijfsgeheimen (trade secrets). Datadeling kan ondanks geheimhouding, mits er proportionele maatregelen zijn (NDA’s, toegangsbeperkingen, logging). Alleen als de datahouder aantoont dat openbaarmaking met grote waarschijnlijkheid tot ernstige economische schade leidt, mag hij weigeren.  

Geen ‘gatekeeperroute’. In de praktijk betekent de huidige lezing van de CommissieFAQ’s dat DMAgatekeepers niet als ‘voordeelhebbende derde’ onder deze IoTrechten kunnen optreden; bovendien moeten ontvangers in de EU gevestigd zijn.

2. Eerlijke B2Bvoorwaarden, FRAND en vergoeding 

Waar wet of Data Act een B2Bdelingsplicht oplegt, moeten voorwaarden fair, reasonable and nondiscriminatory (FRAND) zijn. Redelijke vergoeding mag (soms kostendekkend voor MKB/onderzoek). Daarnaast polijst de Data Act onfaire bedingen met een zwarte/grijze lijst van verboden of vermoedelijk oneerlijke clausules in datacontracten. 

3. B2G: data delen bij exceptional need 

Publieke instanties kunnen in uitzonderingssituaties data opvragen (bv. pandemie, natuurramp of om van een noodgeval te herstellen). Bij acute nood: kosteloos en zonder onnodige vertraging (richttermijn: dagen). In niet acute gevallen gelden compensatieregels, strakke proportionaliteit en papieren sporen (schriftelijke motivering, termijnen). 

4. Cloudswitching en interoperabiliteit: einde aan lockin 

De Data Act pakt vendor lockin aan: 

  • Switchrecht: klanten mogen naar een andere provider of onprem migreren. Meer dan twee maanden aanzegtermijn eisen mag niet.  
  • Transitievenster: een 30dagen migratiefase (verlengbaar tot max. 7 maanden bij objectieve complexiteit) met continuïteitsborging.  
  • Kosten: tot 12 januari 2027 zijn alleen kostengebaseerde switching/egresscharges toegestaan; daarna volledig verboden.  
  • Interoperabiliteit: PaaS/SaaS moeten open interfaces & gangbare formaten bieden; IaaS moet functionele equivalentie nastreven na overstap.  

5. Illegale requests van buiten de EU (nonpersonal data) 

De Data Act verbiedt grensoverschrijdende datastromen niet, maar introduceert waarborgen als derde landen toegang vragen tot nietpersoonsgegevens in de EU (m.n. bij cloud). Providers moeten toetsen op conflict met EUrecht en kunnen zich verzetten.  

Hoe past dit in het bredere compliancelandschap? 

  • AVG (GDPR) blijft leidend voor persoonsgegevens; bij gemengde datasets is vaak een rechtsgrond nodig (bv. toestemming) en geldt “GDPRfirst”.  
  • NIS2 verplicht essentiële/ belangrijke entiteiten tot cyberrisicobeheer & incidentmelding — cruciaal, omdat DataActtoegang veilig moet plaatsvinden binnen de keten.  
  • DORA is sinds 17 jan 2025 van toepassing in de financiële sector en vult DataActexits aan met exit/continuïteitseisen richting kritieke ICTleveranciers. 
  • AI Act heeft een gefaseerde tijdlijn (verboden praktijken en AIgeletterdheid sinds 2 feb 2025; GPAImodelregels sinds 2 aug 2025; highrisk kernverplichtingen vanaf 2 aug 2026). De Data Act is daarmee een aanvoerroute voor beter toegankelijke trainingsdata; de AI Act regelt verantwoording & veiligheid.  
  • Common European Data Spaces (zoals de European Health Data Space, in werking sinds maart 2025) geven sectorale infrastructuur voor vertrouwd datadelen.  

Toezicht & sancties. Lidstaten wijzen competente autoriteiten en – indien meerdere – een datacoördinator aan; boetes worden nationaal bepaald (effectief, proportioneel, afschrikwekkend). De Commissie publiceert een register. 

Praktijkcase uit het interview: “monteur vs. leverancier” 

Huub de Jong schetst het scenario van een lokale monteur die toegang krijgt tot PLCsoftware of sensordata: “Je kunt niet meer zeggen: alles is van mij; niemand mag repareren. Maar je hoeft óók niet te zeggen: hier is alles, succes ermee.” 

Wat je juridisch en technisch regelt: 

  1. Doelbinding & scope in het contract (welke data, welk doel, hoelang, via welk kanaal). 
  1. Tradesecretbescherming (NDA, needtoknow, APIfilters, throttling). Alleen bij waarschijnlijke ernstige schade mag je weigeren.  
  1. Aansprakelijkheid & bewijslast: maak onweerlegbare audittrails (WORMlogs, hashes, tijdstempels) onderdeel van de afspraken. 
  1. AVGconform (minimisatie, pseudonimisering waar mogelijk). 
  1. Exitparagraaf die aansluit op DataActswitchingregels (aanzegtermijn ≤ 2 maanden; transitie 30 dagen, verlengbaar bij objectieve complexiteit; geen egressfees na 1212027). 

Voorbeeld uit de praktijk: veilig documenten delen met Msafe Secure File Transfer 

De EU DataAct gaat vaak over telemetrie en machinedata, maar in de praktijk wissel je óók documenten uit die toegang of interpretatie mogelijk maken (config-backups, firmware-releasenotes, onderhoudsrapporten, veiligheidsinstructies, datadictionaries/metadata). Een secure document transferoplossing zoals Msafe is dan het werkpaard in je toegangs en verantwoordingsketen: 

Hoe dit helpt om DataActproof te werken 

  • Sterke authenticatie & timeboxed toegang 
  • Verstrek documenten via tijdgebonden en eenmalige links, met multifactorauthenticatie of identiteitsverificatie. 
  • Rol en doelgebaseerde policies 
  • Koppel elk bestand aan doelbinding en retentie; voorkom hergebruik buiten het beoogde onderhoudsdoel (verbod op concurrerende productontwikkeling sluit hier naadloos op aan).  
  • Onweerlegbare logging 
  • Elke download, preview of doorstuuractie wordt cryptografisch gelogd ten behoeve van audit & forensics — precies wat je nodig hebt in het “monteur vs. leverancier”scenario. 
  • Dataminimalisatie & classificatie 
  • Deel alleen wat nodig is (bijv. een specifieke configuratie, niet de volledige fabriekstopologie), en label bestanden (persoonsgegevens / nietpersoonsgegevens / trade secrets) zodat de juiste juridische route geldt (AVG vs. Data Act).  
  • Uitlevering van metadata 
  • De Data Act verplicht dat ontvangers relevante metadata krijgen om data te kunnen interpreteren; koppel handboeken, datadictionaries en changelogs aan de datasettransfer.  
  • Exit en portabiliteit 
  • Msafeachtige tooling kan exportpakketten (formaten, mappingtabellen) leveren die je cloudexit ondersteunen, passend bij de switchingtijdsvensters en het aanstaande egressverbod. 

Kortom: met secure document transfer haal je juridische afspraken naar de operatievloer: wie mocht welk bestand wanneer zien en waarom en kun je dat morgen bewijzen.”

Checklist: zo maak je je organisatie DataAct gereed 

Juridisch 

  • Modelclausules: FRANDvoorwaarden, redelijke/kostendekkende vergoeding (voor MKB/onderzoek), anticloneverbod, tradesecretmaatregelen, opschortingsrecht bij schending.  
  • Unfairebedingenscan: check je standaardvoorwaarden op de zwarte en grijze lijst (liabilityuitsluitingen, eenzijdige interpretatierechten, onevenwichtige exit).  
  • B2Gplaybook: proces voor exceptional needverzoeken (wie beoordeelt, deadlines: spoed vs. 30 dagen, compensatie, documentatie).  

Techniek & security 

  • Accessbydesign voor IoT (voor producten/diensten na 1292026).  
  • API’s/portals voor gebruikers en derdetoegang + metadata.  
  • Cloudexitkit (exportformaten, mappings, testdata, draaiboek) i.c.m. aanzegtermijn ≤ 2 maanden, transitie 30 dagen (max. 7 mnd), geen egressfees na 1212027.  

Governance 

  • Rollen & RACI voor IoTtoegang, B2Grequests, geschillen; route naar datacoördinator en bevoegde autoriteiten.  
  • Training: onderscheid AVG vs. Data Act; koppel aan NIS2 en (indien relevant) DORA en AI Act. 

Tijdlijn (wat wanneer?) 

  • 12 sep 2025 — Toepassing Data Act (meeste bepalingen).  
  • 12 sep 2026 — Accessbydesign verplicht voor nieuwe connected products/related services op de EUmarkt.  
  • 12 jan 2027 — Verbod op switching/egressfees; tot die datum alleen kostengebaseerde charges toegestaan.  

Waarom dit kansdenken vereist 

Waar de AVG de ondergrens van bescherming borgt, creëert de Data Act bovenruimte voor nieuwe diensten (aftermarket, voorspellend onderhoud, datagebaseerde optimalisatie).

Huub de Jong: “Zonder goede compliance ben je kwetsbaar. Maar de echte waarde zit aan de andere kant: wat levert verantwoord delen op?” 

Msafe positioneert zich in die praktijk: secure document transfer als enabler voor gecontroleerde toegang, aantoonbaarheid en switchready cloudcontracten. Zo maak je van compliance een concurrentievoordeel. 

Bronnen 

Dit artikel is gebaseerd op een interview met Huub de Jong van turning advocaten in combinatie met onderstaande bronnen. 

  • Data Act explained (Europese Commissie): toepassingsdatum 1292025; hoofdstukken, FRAND, tradesecretwaarborgen, B2G, cloudswitching (overgang 2024–2027), internationale toegang, toezicht/datacoördinator. Digital Strategy 
  • Alston & Bird: accessbydesign voor nieuwe connected producten/diensten vanaf 1292026; transparantieplichten; voorbeelden. Alston & Bird 
  • Taylor Wessing (ECFAQ’s samengevat): ontvangers in de EU; gatekeepers geen ontvanger; FRAND/compensatie; B2Gdeadlines (spoed vs. 30 dagen); switching: 30 dagen (max. 7 mnd) en notice ≤ 2 mnd. Taylor Wessing 
  • DLA Piper: cloudswitching, notice ≤ 2 mnd, verbod switchingcharges/egress per 1212027. DLA Piper 
  • Loyens & Loeff: zwarte/grijze lijst van onfaire B2Bbedingen. Loyens & Loeff 
  • Common European Data Spaces & EHDS (Commissie): sectorale dataspaces; EHDS in werking sinds maart 2025. Digital Strategy+1 
  • NIS2 (Commissie) & DORA (EIOPA): cyberverplichtingen (NIS2) en digitale weerbaarheid financiële sector (DORA, toepassing 1712025). Digital Strategy+1 

Share:

More Posts

Alternatief voor Zivver?
Blog

Alternatief voor Zivver?

Msafe Secure File Transfer is vooral een logisch alternatief voor Zivver
wanneer je bestandsuitwisseling met externen wil standaardiseren met sterke governance en EU-hosting als expliciet uitgangspunt.

Read More »
05/02/2026
Msafe - Secure file sharing is simple when designed correctly
Blog

Secure file sharing is simple when designed correctly

“Secure file sharing is simple when designed correctly” klinkt als een slogan, maar het is vooral een ontwerpprincipe. In de praktijk wordt veilig bestanden delen pas “ingewikkeld” wanneer organisaties een onveilig proces proberen te repareren met extra stappen, uitzonderingen en losse tools.

Read More »
17/12/2025
Trends in secure file sharing voor 2026
Blog

Trends in secure file sharing voor 2026

Secure file sharing in 2026 gaat niet alleen over veilige overdracht, maar over aantoonbare beheersing van risico’s. In dit artikel zetten we zeven trends op een rij en laten we zien hoe Msafe Secure File Transfer organisaties helpt om voorop te lopen.

Read More »
27/11/2025