Wie zijn ICT-contracten nog niet heeft afgestemd op de Data Act (DA), loopt risico’s. Afgelopen vrijdag 12 september 2025 is namelijk de Data Act (Dataverordening) ingegaan. Deze verordening brengt nieuwe regels voor bedrijven die binnen de EU Internet of Things (IoT)-oplossingen aanbieden of clouddiensten leveren, zoals SaaS-, PaaS- of IaaS-diensten.

Voor veel bedrijven betekent dit dat het tijd is om contractvoorwaarden onder de loep te nemen. Op grond van de Data Act zullen bepaalde voorwaarden expliciet moeten worden opgenomen. Het gaat dan vooral om bepalingen rond toegang tot en gebruik van data, datadeling, en rechten van gebruikers. Ook volgt uit de Data Act de verplichting om een exit-regeling in het contract op te nemen.

Als gespecialiseerde ICT-advocaat zien wij in de praktijk hoe organisaties worstelen met deze nieuwe regels. In dit artikel leest u wat er verandert en hoe u de risico’s in uw ICT-contracten kunt beperken.

Wat verandert er door de Data Act (DA)?

De Data Act (Verordening (EU) 2023/2854) geldt vanaf 12 september 2025 en grijpt direct in op cloud- en ICT-contracten. De Data Act geeft regels over wie data mag gebruiken en onder welke voorwaarden. De Data Act richt zich nadrukkelijk op B2B-situaties, en wil met name machtsmisbruik en vendor lock-in tegengaan.

De voor u belangrijkste punten om rekening mee te houden in contracten zijn:

  • Verbod op onredelijke bedingen:

De Data Act wil de zwakkere zakelijke partij beschermen door een verbod op oneerlijke/eenzijdige contractvoorwaarden. Dit verschijnsel kennen we al in het consumentenrecht maar is nu in door de Data Act ook voor zakelijke partijen geïntroduceerd. De onderhandelingspositie van kleinere bedrijven die een contract aangaan met een hyperscaler (zoals Microsoft, AWS, Google) is vaak slecht. Vanwege deze machtsongelijkheid is er nu ook bescherming in de B2B-relatie.

In de Data Act is een lijst met bedingen opgenomen die altijd als oneerlijk worden aangemerkt en een lijst met bedingen die vermoedelijk oneerlijk zijn. Deze lijsten zijn vergelijkbaar met de zwarte en grijze lijst uit de Richtlijn oneerlijke bedingen in consumentenovereenkomsten (Richtlijn 93/13/EEG).

  • Regels ter voorkoming van vendor lock-in:

Eén van de belangrijkste doelstellingen van de Data Act is het doorbreken van vendor lock-in, een lang bestaand knelpunt binnen zowel de publieke als de private sector. De Data Act legt daarom verschillende verboden op, zoals:

  • Verbod op een beding dat gebruik of toegang tot data verhindert of ernstig beperkt;

  • Verbod op beding dat voorkomt dat de klant bij einde overeenkomst een kopie van zijn data krijgt;

  • Verbod op beding dat de partij belet om binnen een redelijke termijn op te zeggen;

  • Verbod op eenzijdige wijziging van prijs of voorwaarden zonder mogelijkheid tot opzegging.

Daarnaast stelt de Data Act eisen dat data in gestructureerde, algemeen gebruikte, machine leesbare formaten beschikbaar moeten zijn. Leveranciers moeten ook tools bieden die een overstap/data export vergemakkelijken.

  • Verplichte exit-regeling

Artikel 25 van de Data Act geeft verplichtingen ten aanzien van afspraken rondom een exit. Zo moet de leverancier de klant ondersteunen bij het overstappen, inclusief het verstrekken van alle relevante informatie en het bieden van redelijke assistentie aan de klant en eventueel door de klant gemachtigde derden. Een leverancier mag overstapkosten in rekening brengen, maar deze moeten redelijk zijn en mogen niet onterecht de klant belemmeren om over te stappen. Ook dient de overeenkomst een clausule te bevatten die garandeert dat alle exporteerbare data en digitale activa die direct door de klant zijn gegenereerd of betrekking hebben op de klant, volledig worden gewist.

Modelcontractsbepalingen

De Europese Commissie heeft een aantal modelcontractsbepalingen opgesteld als hulpmiddel voor bedrijven om te voldoen aan de Data Act. De modelcontractsbepalingen zijn niet-bindend. Het is dus geen verplichting om de modelcontractsbepalingen integraal over te nemen, maar ze geven richting. Let wel, teveel afwijken van de modellen geeft weer het risico op een oneerlijk beding.

Conclusie

Met de Data Act zijn er belangrijke regels bijgekomen over het gebruik en de toegang tot data.

Wilt u zeker weten dat uw ICT-contracten voldoen aan de Data Act? Bij Legalz helpen wij leveranciers én afnemers met:

  • het beoordelen van bestaande contracten,

  • het opstellen van dataportabiliteits- en exit-clausules,

  • en het beperken van ICT-contracten risico’s.

Plan vandaag nog een contractscan met een gespecialiseerde ICT-advocaat van Legalz en
maak uw organisatie Data Act-proof.