Contracteren over data? Let op de zwarte en grijze lijst!

De Data Act heeft een ruim toepassingsgebied en raakt veel verschillende spelers in de data-economie. Zo creëert de Data Act enerzijds nieuwe rechten voor consumenten en anderzijds beoogt de Data Act een gelijk speelveld te creëren tussen ondernemingen onderling door ook in die relatie bepaalde verplichtingen op te leggen. Zo stelt de Data Act onder meer: 

Er worden regels gesteld voor aanbieders en gebruikers van producten die zijn verbonden met het internet, ook wel ‘internet of things’-producten genoemd. Denk hierbij aan slimme horloges, slimme energiemeters of medische hulpmiddelen die zijn verbonden met het internet. Deze regels gelden ook voor aan die producten gerelateerde diensten, zoals de applicatie om de slimme energiemeter uit te lezen. Slimme producten en diensten genereren doorgaans ontzettend veel data. Onder de Data Act kunnen gebruikers van die slimme producten en diensten bepaalde rechten uitoefenen tegenover de gegevenshouder; dit is de partij die feitelijk controle heeft over de data van het slimme product of de gerelateerde dienst.

Gegevenshouders zijn kort gezegd verplicht gebruikers eenvoudig, veilig en kosteloos toegang te geven tot de data die hun slimme producten genereren. Gegevenshouders hoeven echter alleen ‘eenvoudig beschikbare data’ beschikbaar te stellen. Dit wil zeggen de data waar zij zelf toegang toe hebben of waar zij met een eenvoudige handeling toegang toe kunnen verkrijgen. Daarnaast gelden er regels ten aanzien van de kwaliteit van de data en gelden er informatieverplichtingen voor de aanbieders van slimme producten. Zo dienen zij te vermelden welke data een product of dienst kan genereren en hoe de gebruiker deze data kan raadplegen. Dit stemt overeen met de informatieplicht zoals wij die kennen uit de AVG voor persoonsgegevens, maar nu geldt dit voor een ruimere categorie. Met data wordt onder deze wet namelijk bedoeld: elke digitale weergave van handelingen, feiten of informatie, inclusief geanonimiseerde gegevens, ook in de vorm van geluids-, visuele of audiovisuele opnames.Tot slot moet de gegevenshouder – op verzoek van de gebruiker – de data ook deelbaar maken met derden. Ook nationale overheden en Europese-instellingen kunnen in uitzonderlijke gevallen toegang tot de data vragen als dit nodig is voor een taak van algemeen belang. Dit alles uiteraard in overeenstemming met de regels op het gebied van gegevensbescherming, bescherming van bedrijfsgeheimen en intellectuele eigendomsrechten.

Ook stelt de Data Act regels voor aanbieders van dataverwerkingsdiensten, zoals cloudproviders, edgecomputing-oplossingen en Software-as-a-Service (‘SaaS’)-diensten. Voor deze partijen gaan specifieke verplichtingen gelden om het overstappen naar een andere aanbieder te vergemakkelijken, om zo een ‘vendor lock-in’ te voorkomen. Dit betekent bijvoorbeeld dat een organisatie of een natuurlijk persoon zijn data eenvoudiger kan verplaatsen van de ene cloudprovider naar de andere. Lees hierover meer in onze vorige blog.

Daarnaast beoogt de Data Act kleine, middelgrote en micro-ondernemingen te beschermen tegen oneerlijke contractsbepalingen die eenzijdig worden opgelegd door een partij met een sterkere onderhandelingspositie. In veel markten accepteren afnemers standaardvoorwaarden over de toegang tot en het gebruik van data, soms zelfs zó dat zij de door henzelf verstrekte gegevens niet (verder) mogen gebruiken. Hoewel in beginsel contractsvrijheid geldt tussen ondernemingen onderling, stelt de Data Act daar nu beperkingen aan. Deze beperkingen gelden voor alle contractuele verhoudingen tussen ondernemingen die zien op datagebruik en datadeling en waarbij voorwaarden als oneerlijk (kunnen) worden beschouwd. In dit artikel gaan wij daar nader op in.

Eenzijdig opgelegde voorwaarden die zien op datatoegang, datagebruik, aansprakelijkheid of rechtsmiddelen bij datagerelateerde verplichtingen, worden onderworpen aan een oneerlijkheidstoets. Andere contractonderdelen vallen in beginsel buiten deze toets. De lat ligt bewust hoog: de toets is er voor buitensporige voorwaarden; het enkele feit dat een commercieel belang wordt behartigd, maakt een beding nog niet oneerlijk. Een contractueel beding wordt in algemene zin als oneerlijk beschouwd als het gebruik ervan sterk afwijkt van goede handelspraktijken bij de toegang tot en het gebruik van data, en daarmee in strijd is met de goede trouw en eerlijke behandeling.

De Data Act somt een lijst op met voorwaarden die altijd oneerlijk zijn (de ‘zwarte lijst’) en voorwaarden die worden geacht oneerlijk te zijn (de ‘grijze lijst’). Om als oneerlijk aangemerkt te worden, moet het wel gaan om een contractuele voorwaarde die eenzijdig is opgelegd. Een voorwaarde geldt als eenzijdig opgelegd wanneer een partij, ondanks een poging tot onderhandeling, geen invloed heeft gehad op de inhoud. De partij die het beding in het contract heeft laten opnemen, moet aantonen dat daarvan géén sprake is geweest.

De systematiek van ‘altijd oneerlijk’ en ‘vermoedelijk oneerlijk’ sluit aan bij de zwarte en grijze lijst van onredelijk bezwarende bedingen in de artikelen 6:236 en 6:237 van het Nederlands Burgerlijk Wetboek, maar met een cruciaal verschil: waar die grijze en zwarte lijsten zien op consumentenbescherming, is de Data Act van toepassing op overeenkomsten tussen ondernemingen onderling.

Zwarte lijst voor B2B

De Data Act noemt drie typen bedingen die altijd oneerlijk zijn en aldus per definitie niet-bindend zijn. Het gaat om een beding dat het volgende tot doel of gevolg heeft:

1. de partij die het beding eenzijdig oplegt, sluit (deels) haar aansprakelijkheid uit voor opzet of grove nalatigheid;
2. de partij waaraan het beding eenzijdig is opgelegd, verliest zijn rechten bij niet-nakoming, of de opleggende partij is daarvoor niet aansprakelijk; of
3. de partij die het beding eenzijdig oplegt, heeft alleenrecht om te bepalen of de data aan de overeenkomst voldoen of om het contract uit te leggen.

Grijze lijst voor B2B

Daarnaast is er een categorie bedingen die vermoed worden oneerlijk te zijn, tenzij de opleggende partij overtuigend tegenbewijs levert. Een contractueel beding wordt geacht oneerlijk te zijn als het ertoe strekt of het gevolg heeft dat:

1. rechtsmiddelen bij niet-nakoming van contractuele verplichtingen worden beperkt of de aansprakelijkheid wordt uitgebreid;
2. de opleggende partij data van de ander mag gebruiken op een manier die diens belangen schaadt, vooral bij gevoelige of beschermde data;
3. de andere partij zijn eigen data niet of nauwelijks mag gebruiken, verzamelen, raadplegen, controleren of benutten;
4. de andere partij de overeenkomst niet binnen een redelijke termijn kan opzeggen;
5. de andere partij geen kopie kan krijgen van de door hem verstrekte of gegenereerde gegevens, tijdens of na de overeenkomst;
6. de opleggende partij de overeenkomst snel kan opzeggen, zonder rekening te houden met overstaptijd, schade of alternatieven, tenzij er zwaarwegende redenen zijn; of
7. de opleggende partij de prijs of andere essentiële voorwaarden eenzijdig kan wijzigen, zonder geldige reden of zonder opzegmogelijkheid voor de ander.

Kortom, de afspraken over toegang, gebruik en vergoeding moeten gebaseerd zijn op objectieve criteria, marktconform zijn en geen gelijke partijen op ongelijkwaardige wijze behandelen. In contracten is het daarom verstandig expliciet op te nemen dat afspraken aan deze voorwaarden voldoen, en eventueel toe te lichten op basis waarvan een vergoeding of bepaalde toegangsmodaliteiten zijn vastgesteld.

Uitzonderingen

Het voorgaande geldt niet voor bepalingen die de essentiële hoofdverplichtingen van de overeenkomst betreffen: welke data concreet wordt uitgewisseld en de prijs die daarvoor wordt betaald. Ook blijven uiteraard andere toepasselijke kaders onverkort gelden, zoals de regels op het gebied van gegevensbescherming, bescherming van bedrijfsgeheimen en intellectuele eigendomsrechten.

Stel: een kleine franchisenemer van een landelijke keten van fitnessclubs maakt gebruik van producten die zijn verbonden met het internet, waaronder slimme fitnessapparaten. In de franchiseovereenkomst staat dat alle data die door deze apparaten worden verzameld (zoals klantactiviteit en bezettingsgraad), uitsluitend door de franchisegever mogen worden ingezien en gebruikt. De franchisenemer mag deze data niet zelf gebruiken, bijvoorbeeld om marketing of planning op lokaal niveau te verbeteren. Indien hierover verder niet is onderhandeld tussen franchisegever en franchisenemer, dan is dit een voorbeeld van een eenzijdig opgelegd beding over toegang tot data dat mogelijk oneerlijk is onder de Data Act. Daarnaast moet worden voldaan aan de verplichtingen die gelden voor producten die zijn verbonden met het internet, zoals de informatieverplichting en de verplichting tot datadeling.

Een ander voorbeeld van de impact van de Data Act is te zien bij Microsoft. Per 1 november 2025 kunnen organisaties kiezen tussen Microsoft 365-suites mét of zónder Teams, met een transparante prijsstructuur en Teams als los af te nemen dienst. Daarmee betalen bedrijven alleen voor wat zij daadwerkelijk gebruiken. Ook krijgen organisaties meer controle over hun data. Het is bovendien mogelijk de Teams-data te exporteren naar andere platforms en Microsoft biedt kleine bedrijven gratis migratietools. Dit maakt overstappen eenvoudiger en verkleint de ‘vendor lock-in’. Daarnaast worden de integratiemogelijkheden met andere samenwerkingstools uitgebreid, wat hybride-omgevingen beter ondersteunt.

Heeft u vragen over de impact van de Data Act op uw organisatie? Neem dan contract op met ons. Wij helpen u graag verder.

Met dank ook aan onze student-stagiaire Amber Veldhuis