De impact van de dataverordening op uw organisatie

Sinds vrijdag 12 september 2025 is de Europese Dataverordening officieel van toepassing. Deze Verordening vormt een belangrijke mijlpaal in de Europese datastrategie, die tot doel heeft om gegevens beter beschikbaar te maken en een eerlijke, innovatieve en competitieve data-economie binnen de Europese Unie (EU) te garanderen voor consumenten, ondernemingen en overheden. Volgens schattingen van de Europese Commissie blijkt dat bijna 80% van de industriële gegevens ongebruikt blijft. De Dataverordening wil de onderliggende problemen aanpakken, zodat zo veel mogelijk industriële gegevens binnen de EU optimaal wordt benut.

De deadline komt snel dichterbij en de impact van de Dataverordening is aanzienlijk, met name voor organisaties die gegevens delen, ontvangen of opslaan en verbonden producten of gerelateerde diensten aanbieden of dataverwerkingsdiensten aanbieden. Denk bijvoorbeeld aan organisaties die industriële gegevens uitwisselen of verkopen, aanbieders van “Internet of Things” toepassingen, machines of hulpmiddelen verbonden met het internet produceren of clouddiensten aanbieden. Voor die organisaties is het dan ook hoog tijd om te schakelen.

In onze eerdere nieuwsbrieven bespraken we al de belangrijkste bepalingen van de Dataverordening (De Dataverordening in de praktijk – Monard Law en Internationale gegevensdoorgiften onder de GDPR, de Data Governance Act en de Data Act – Monard Law). In deze nieuwsbrief wordt dieper ingegaan op de werkelijke toepassing ervan, alsook op de belangrijkste aandachtspunten voor uw organisatie.

1. Kernprincipes van de Dataverordening

De Dataverordening introduceert regels rond toegang, gebruik en delen van gegevens.

Over welke gegevens gaat het concreet?  Enkele voorbeelden: sensorgegevens van een slimme thermostaat, data van een slimme wasmachine, gebruikspatronen van een slimme robotarm, cloudgebruikstatistieken van een cloudplatform, slimme meterdata van een huishouden, gegevens van verbonden medische apparatuur, operationele data van een windturbine, diagnostische gegevens van een elektrische wagen enz.

De Verordening bevat verschillende soorten verplichtingen waaraan organisaties al moeten voldoen vanaf komende vrijdag 12 september 2025, tenzij anders vermeld.

De Dataverordening kan grotendeels worden opgesplitst in de volgende kernprincipes:

  • Tussen ondernemingen onderling wordt het delen van gegevens bevorderd door het verbieden van bepaalde contractsbepalingen. Bepalingen die het gebruik of delen van gegevens op oneerlijke wijze beperken, waaronder bepalingen die afwijken van de goede trouw, zijn verboden. Ook voorziet de Dataverordening in een zogenaamde open norm naast een zwarte en grijze lijst van onrechtmatige bepalingen. De toepassing van die bepalingen gaat onmiddellijk in voor overeenkomsten die vanaf komende vrijdag 12 september 2025 worden gesloten. Overeenkomsten die voor of op 12 september 2025 werden gesloten, moeten in overeenstemming met de Dataverordening zijn tegen 12 september 2027 als het een overeenkomst van onbepaalde duur is of ten minste na 11 januari 2034 afloopt.
  • Datahouders zullen gebruikers, zowel consumenten als organisaties, meer controle moeten geven over gegevens die ontstaan door hun gebruik van een bepaalde dienst of product. Ze hebben het recht om te verzoeken dat hun gebruiksgegevens wordt gedeeld met derde partijen van hun keuze.
  • Organisaties die dataverwerkingsdiensten aanbieden moeten hun systemen zo opstellen dat gebruikers probleemloos kunnen overstappen naar een andere aanbieder, zowel op technisch als op contractueel vlak, alsook moeten ze voorkomen dat niet-persoonsgebonden gegevens op onrechtmatige wijze buiten de Europese Economische Ruimte doorgegeven worden.
  • Overheidsinstanties kunnen toegang vragen tot gegevens wanneer er een wettelijke verplichting of uitzonderlijke noodzaak toe bestaat, bijvoorbeeld in geval van een nationaal cyberveiligheidsincident.
  • Gebruikers hebben recht op toegang tot al hun gebruiksgegevens, zonder dat organisaties hiervoor bijkomende voorwaarden mogen stellen. Deze verplichting is van toepassing op verbonden producten en gerelateerde diensten na 12 september 2026.

 

 

2. Hoe kan een organisatie zich voorbereiden op de toepassing van de Dataverordening?

1. In kaart brengen van de gegevens binnen de organisatie

Om na te gaan of uw organisatie dient te voldoen aan verplichtingen van de Dataverordening, is het nodig om in kaart te brengen welke gegevens uw organisatie genereert en of die gegevens worden gedeeld met derde partijen.

De definitie van gegevens onder de Verordening luidt als volgt: “elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluids-, visuele of audiovisuele opnames”. Die brede definitie zorgt ervoor dat verschillende soorten gegevens gevat worden, zowel persoonsgebonden als niet-persoonsgebonden. Belangrijk om te vermelden is dat de bepalingen van de Algemene Verordening Gegevensbescherming (AVG) steeds voorrang krijgen op de Dataverordening wanneer de gegevenspool ook persoonsgegevens bevat.

Voor publieke en private organisaties die verbonden producten (bv. “Internet of Things” apparaten of machines verbonden met het internet) of gerelateerde diensten op de markt brengen, dataverwerkingsdiensten aanbieden (bv. clouddiensten) of optreden als datahouder of -ontvanger, is het aangewezen om zo snel mogelijk een intern actieplan op te stellen om de deadline van 12 september 2025 te halen.

 

 

2. Analyse van uw overeenkomsten

Als uw organisatie binnen het toepassingsgebied van de Verordening valt, is het essentieel om bestaande overeenkomsten en modelcontracten te herzien. Voor alle overeenkomsten die worden gesloten na 12 september 2025, zijn de vereisten van de Dataverordening onmiddellijk van toepassing.

In elk geval moeten er bepaalde wijzigingen plaatsvinden, zodat de overeenkomsten rekening houden met de toepassing van de Dataverordening. Denk daarbij in het bijzonder aan de nieuwe oneerlijke bedingen (open norm, zwarte en grijze lijst), maar ook in het algemeen aan bepalingen inzake de toegang, opslag en delen van gegevens.

Alle overeenkomsten gesloten voor of op 12 september 2025 die van onbepaalde duur zijn of ten minste op 11 januari 2034 aflopen, zullen eveneens herzien moeten worden. Daarvoor biedt de Dataverordening wel een ruimere aanpassingsperiode: organisaties hebben de tijd tot en met 12 september 2027 om die overeenkomsten conform te maken.

Wanneer beschikbaar, kan uw organisatie eventueel de modelclausules voor eerlijke gegevensdeling toepassen, die uiterlijk in september 2025 worden gepubliceerd door de Europese Commissie.

 

3. Voorbereiding op naleving van de verplichtingen onder de Dataverordening

Uw organisatie moet vanaf 12 september 2025 klaar zijn om de verplichtingen uit de Dataverordening te kunnen naleven. Voldoende opleiding en bewustmaking van de medewerkers binnen uw organisatie is cruciaal. Daarvoor is het mogelijk om een intern gegevensbeleid op te stellen, waarin onder meer wordt vastgelegd hoe de organisatie omgaat met verzoeken tot gegevenstoegang of -deling door gebruikers of derden, hoe de organisatie met de informatieverplichtingen onder de Dataverordening omgaat en wanneer gegevensdelingsovereenkomsten gesloten dienen te worden. Het implementeren van een gegevensbeleid vormt geen verplichting onder de Dataverordening, maar is sterk aangeraden.

Als organisatie is het zeer belangrijk om stil te staan bij de nieuwe verplichtingen die de Dataverordening met zich meebrengt. Er zijn mogelijk verregaande gevolgen en sancties bij het niet-tijdig naleven van die verplichtingen, waaronder mogelijke boetes.

 

3. Conclusie

De Dataverordening vormt een belangrijke stap in de Europese Datastrategie. Gelet op de vele bijkomende verplichtingen die de Verordening met zich meebrengt, biedt Monard Law u dan ook de nodige ondersteuning.

Uiteraard staat de Dataverordening niet op zichzelf. Ze maakt deel uit van een breder regelgevend kader, waar ook de Data Governance Act en de Digital Markets Act toe behoren. Daarnaast bestaan er belangrijke interacties met andere juridische kaders, waaronder de GDPR en de regelgeving omtrent intellectuele eigendomsrechten. Een geïntegreerde benadering is dan ook essentieel binnen het snel evoluerende digitale landschap.

Het Technology, Digital & Data team van Monard Law staat u graag bij voor al uw vragen betreffende de Dataverordening en andere vragen met betrekking tot innovatieve technologieën, de EU digitale strategie en privacy en gegevensbescherming

Delen op LinkedIn Delen op Facebook

Dit artikel werd geschreven door

Dylan Verhulst

Dylan Verhulst

Jade Claessens
Kristof Zadora

Kristof Zadora

Deze publicaties vind je mogelijk ook interessant

Software terug in aanmerking voor fiscaal regime auteursrechten
#ingelicht

Software terug in aanmerking voor fiscaal regime auteursrechten

Lees meer
Legal kickstart voor 2026
#ingelicht

Legal kickstart voor 2026

Lees meer
Selectieve distributie onder druk: hoe wapent u zich tegen parallele distributiekanalen?
#ingelicht

Selectieve distributie onder druk: hoe wapent u zich tegen parallele ...

Lees meer
Vlaanderen mikt op sterke defensie-industrie en werkbare controle op wapenhandel
#ingelicht

Vlaanderen mikt op sterke defensie-industrie en werkbare controle op wapenhandel

Lees meer
Tuchtsancties blijven een persoonlijke zaak voor de BIV-makelaar
#ingelicht

Tuchtsancties blijven een persoonlijke zaak voor de BIV-makelaar

Lees meer

Op zoek naar advies rond een bepaald onderwerp?

We begeleiden je naar de juiste persoon of team.