Je hebt een product dat niet alleen werkt, maar ook meet. En niet alleen meet, maar ook praat: bijvoorbeeld met een app, met de cloud, via een platform. Dat is precies het soort product waar veel ondernemers vandaag geld mee verdienen — en waar de EU Data Act(Dataverordening) zich op richt. De ACM heeft daar nu een (voorlopige) leidraad over gepubliceerd, bedoeld om bedrijven die een verbonden product of gerelateerde dienst aanbieden uit te leggen wat ze moeten doen.
In de kern is de Data Act is een gegevensdelingskader. Het bepaalt wie toegang krijgt tot welke gegevens, onder welke voorwaarden en met welk doel. En dat raakt niet alleen de partij die data “genereert” in een IoT‑device (Internet of Things). Afhankelijk van het hoofdstuk kunnen gegevenshouders, gegevensontvangers (derden) en soms ook overheidsinstanties verplichtingen hebben. Gebruikers krijgen vooral rechten: toegang en het recht om data te laten doorsturen.
Wat zijn “slimme” producten in de Data Act?
De ACM noemt ze in de leidraad expliciet: Het gaat om apparaten die gegevens genereren/verzamelen en die gegevens kunnen uitwisselen (zogenaamde verbonden producten, ook wel “slimme apparaten genoemd).
En let op: het gaat niet alleen om de hardware. De Data Act kijkt ook naar gerelateerde diensten: digitale diensten die gekoppeld zijn aan het verbonden product en waarmee de functionaliteit, het gedrag of de bediening van het product kan worden beïnvloed — bijvoorbeeld een app waarmee je een slimme thermostaat bedient.
Vuistregel voor ondernemers: als jouw product data produceert én verbonden is, zit je vaak in scope. En als jouw app/cloud de werking kan aansturen, dan zit je snel óók in scope met een gerelateerde dienst.
Wie moet wat doen? (gebruiker, gegevenshouder, gegevensontvanger)
In de Data Act zijn rollen belangrijker dan labels als “fabrikant” of “platform”.
De gebruiker
De gebruiker (dat kan óók een rechtspersoon zijn) krijgt het uitgangspunt mee: zeggenschap over gegevens die worden verzameld door gebruik van het verbonden product. De gebruiker kan toegang vragen, en kan ook vragen dat gegevens worden doorgestuurd naar een derde.
De gegevenshouder
De gegevenshouder is de partij die (veelal op basis van een overeenkomst) het recht of de verplichting heeft om gegevens te gebruiken of beschikbaar te stellen. Dat is vaak de fabrikant of aanbieder van de gerelateerde dienst, maar het kan ook anders: de rol kan contractueel worden overgedragen en er kunnen meerdere gegevenshouders zijn.
De gegevensontvanger (derde)
Een derde die data ontvangt moet zich aan duidelijke gebruiksgrenzen houden. De ACM noemt bijvoorbeeld dat de derde de data niet mag doorgeven aan “poortwachters” (DMA), niet mag gebruiken op een manier die negatieve gevolgen heeft voor de veiligheid, en de overeengekomen maatregelen rond bedrijfsgeheimen moet naleven.
Waaraan moet je precies voldoen als je slimme producten op de markt brengt?
Precontract: informeer vóórdat de klant tekent
De Data Act kent een transparantieverplichting: de gebruiker moet vóór het sluiten van een overeenkomst (koop/huur/lease van het product of levering van de gerelateerde dienst) informatie krijgen over toegang en gebruik van data. Bij verbonden producten rust die plicht op de verkoper/verhuurder/leasegever.
Het gaat o.a. om: welk type data het product genereert, het formaat en geschat volume (incl. continue/realtime), waar het product opslaat en hoe lang, en hoe de gebruiker data kan raadplegen/opvragen/wissen. Het is daarbij de bedoeling dat die informatie duidelijk en begrijpelijk is en opnieuw wordt verstrekt als zij wijzigt.
Doorgifte aan derden: “stuur mijn data naar partij X”
De gebruiker kan de gegevenshouder verzoeken om een derde toegang te verlenen; die mogelijkheid bestaat altijd, los van of de gebruiker zelf direct of indirect toegang heeft. Voor die derde‑toegang moet de gegevenshouder met de derde partij voorwaarden (en eventueel een vergoeding) afspreken.
Wat moet je nu regelen?
Als je verbonden producten of gerelateerde diensten aanbiedt, kun je het aanpakken alsof je een nieuw “recht” inbouwt in je product en contractketen:
1) Bepaal: is dit een verbonden product / gerelateerde dienst? (check bidirectionele app/cloud).
2) Wijs rollen toe: wie is gegevenshouder (en zijn er meerdere)?
3) Fix je precontract‑informatie: type data, formaat/volume, opslag/bewaartermijn, toegangsmethode.
4) Bouw toegang: direct waar passend (zeker richting 2026), anders “onmiddellijk op verzoek” met proportionele verificatie.
5) Maak third‑party sharing werkbaar: voorwaarden/FRAND‑set en operationele flow.
6) Bereid de handremmen voor: bedrijfsgeheimen/security onderbouwd en met meldroute.
