Naar de inhoud
Avanet
Data Act: Wat IT-teams nu moeten implementeren

Data Act: Wat IT-teams nu moeten implementeren

8. AUGUSTUS 2025

De Data Act wordt vanaf 12.09.2025 van toepassing. Het breekt datasilo’s open, verplicht fabrikanten en exploitanten tot data-toegang en grijpt diep in processen in, van IoT tot de cloud. U profiteert als u data-inventarisatie, interfaces en beveiligingscontroles vroegtijdig harmoniseert.

Kort overzicht

  • Toepasbaarheid vanaf 12.09.2025, ontwerpverplichting voor nieuwe producten vanaf 12.09.2026.
  • Gebruikers krijgen toegang tot product- en servicegegevens; doorgifte aan derden is op verzoek mogelijk. Gatekeepers zijn uitgesloten.
  • Cloud-switching en multi-cloud worden versterkt; eisen aan eerlijke voorwaarden en vergoedingen.
  • Geen zelfstandige rechtsgrondslag voor persoonsgegevens; AVG blijft leidend.
  • EU beveelt modelcontractclausules aan; concepten zijn beschikbaar, definitieve versie deels nog in ontwikkeling.

Waarom het onderwerp nu relevant is

Met het begin van de toepassing van de Data Act op 12.09.2025 eindigt de respijtperiode. Bedrijven moeten data-toegang bieden, contractueel vastleggen en technisch beveiligen. Vertragingen hebben niet alleen gevolgen voor compliance, maar ook voor bedrijfsmodellen: onderhoud, after-sales services en datagedreven aanbiedingen hangen in de toekomst af van transparante, veilige datastromen.

Naast de Data Act treedt met de Cyber Resilience Act een andere EU-verordening in werking die nieuwe verplichtingen voor fabrikanten brengt en directe gevolgen heeft voor de veilige werking van oplossingen zoals de Sophos Firewall.

Wat er verandert of wat nieuw is

  • Data-toegang: Gebruikers van verbonden producten krijgen toegang tot ruwe en bepaalde bewerkte gegevens die tijdens het gebruik worden gegenereerd. Op verzoek is directe verstrekking aan derden vereist. Gatekeepers volgens de DMA zijn uitgesloten als ontvangers.
  • Productontwerp: Vanaf 12.09.2026 moeten verbonden producten zo zijn ontworpen dat gegevens standaard direct beschikbaar zijn.
  • Cloud-wissel: De Data Act vermindert lock-in-effecten, bevordert multi-cloud en regelt eerlijke voorwaarden bij wisselen.
  • Contractregels: Datalicentieovereenkomsten tussen datahouder en gebruiker worden verplicht. De EU publiceert niet-bindende modelclausules ter ondersteuning.

Technisch overzicht

Begrippen en Rollen

  • Datahouder: Instantie met toegangsbevoegdheid tot product- of servicegegevens, vaak de fabrikant of exploitant. Ook dienstverleners die verantwoordelijk zijn voor de werking kunnen datahouder zijn. In de toekomst moeten zij processen opzetten om gebruikers zonder vertraging toegang te verlenen.
  • Gebruiker: Rechtmatige gebruiker van het product of de dienst, incl. bedrijven. Dit omvat ook wagenparkbeheerders, boeren of eindklanten die met verbonden apparaten werken. Gebruikers krijgen niet alleen een recht op informatie, maar een onmiddellijk recht op toegang tot hun gegevens.
  • Derde: Door gebruikers geautoriseerde ontvangers van gegevens, maar geen gatekeepers. Derden kunnen servicepartners, onafhankelijke werkplaatsen, onderzoeksinstellingen of softwareleveranciers zijn. Ze moeten via veilige interfaces worden geïntegreerd.

Datatypes

  • Gedekt: Productgegevens en bijbehorende servicegegevens uit gebruik, inclusief sensorgegevens, statusmeldingen, locatiegegevens en metadata. Ook bewerkte datasets vallen hieronder indien ze bestemd zijn voor hergebruik.
  • Niet gedekt: Inhoudsgegevens zoals documenten, afbeeldingen of communicatie. Deze blijven buiten het toepassingsgebied.
  • AVG-interface: Persoonlijke referentie is vaak mogelijk; de Data Act creëert geen eigen rechtsgrondslag. Elke verstrekking moet aanvullend AVG-conform gebeuren, inclusief toetsing van de rechtsgrondslag en indien van toepassing toestemming.

Interfaces

  • Directe toegang geprefereerd; anders gestandaardiseerde verstrekking, machineleesbaar en bij voorkeur in realtime. Voor bedrijven betekent dit het opzetten van API’s, data-exportfuncties en duidelijk gedocumenteerde processen. Ook monitoring, authenticatie en autorisatiecontrole behoren tot de interface-architectuur.

Praktijkgids

Voorbereiding

  1. Data-inventarisatie: Systemen, producten, sensoren en dataschema’s inventariseren. Persoonlijke referentie anticiperen, aggregatieniveaus controleren. Ook externe databronnen, archiefsystemen en back-upgegevens moeten worden overwogen.
  2. Classificatie: Product- en servicegegevens scheiden van inhoudsgegevens. AVG-referentie en rechtsgrondslagen per dataset toewijzen. Daarnaast documentatie van categorieën en levenscycli aanmaken.
  3. Contracten: Datalicentieclausules voor nieuwe en bestaande contracten voorbereiden; concept-MCT’s controleren en indien nodig aanpassen. Aanvullend interne richtlijnen en training voor contractverantwoordelijken opstellen.

Implementatie

  1. Interfaces: API of export opzetten, AuthN/AuthZ implementeren, uitvoerformaten documenteren. Ook versiebeheer en testomgevingen bieden.
  2. Autorisatie derden: Processen voor toestemming of autorisatiecontrole opzetten; gatekeeper-controle stevig integreren. Daarnaast rolgebaseerde toegangspatronen en in tijd beperkte tokens gebruiken.
  3. Cloud-switching: Wisselpaden, gegevensoverdracht en mapping plannen; multi-cloudstrategieën definiëren. Testmigraties en prestatiecontroles inplannen.
  4. Bescherming bedrijfsgeheimen: Filters voor bedrijfsgeheimen, minimalisatie en pseudonimisering evalueren. Technische procedures zoals data-masking of differential privacy controleren.
  5. Change-management: Processen voor updates en wijzigingen aan interfaces documenteren en communiceren.

Validatie

  • Testgevallen: Gebruikers-selfservice, vrijgave aan derden, intrekking, foutscenario’s. Ook edge-cases en belastingtests meenemen.
  • Logboekregistratie: Uitvoer, ontvangers, tijdstippen, rechtsgrondslag controleerbaar documenteren. Auditbestendige opslag en regelmatige rapporten implementeren.
  • Beveiligingstests: API-pentests, rate-limiting, anomaliedetectie. Geautomatiseerde kwetsbaarheidsscans en bug-bounty-programma’s overwegen.
  • Compliance-checks: Interne audits om AVG- en Data Act-conformiteit te waarborgen.

Rollback en Monitoring

  • Rollback-pad bij foutieve vrijgaven. Scenario’s voor herstel en incident-respons documenteren.
  • Monitoring van data-uitstromen via firewall, IDS en SIEM; waarschuwingen bij volume- of patroonafwijkingen. Daarnaast realtime dashboards en escalatieprocessen voor beveiligingsteams implementeren.

Aanbevelingen en Best Practices

Aanbevolen maatregelen

  • Data-inventarisatie en categorisering als verplichte stap.
  • API-first-benadering met consistente schema’s.
  • Least-privilege en fijnmazige toestemming.
  • Gatekeeper-controle automatiseren.
  • Logboekregistratie en auditbestendige bewijzen.
  • Multi-cloud-switching vroeg testen.

Compacte toewijzingstabel

Maatregel Doel Opmerking
Data-inventarisatie Transparantie en Scope Basis voor AVG-controle
MCT-review Contractduidelijkheid EU-concepten gebruiken, lokaal aanpassen
API-rate-limits Misbruikbescherming Combineren in firewall en API-gateway
Gatekeeper-filter Compliance Vergelijking met DMA-lijsten
SIEM-correlatieregels Traceerbaarheid Integratie in bestaande playbooks
Ontwerp vanaf 2026 Toekomstbestendigheid Directe toegang by design

Gevolgen voor Sophos en andere platforms

  • Firewall-beleid: Nieuwe data-eindpunten en beheer-API’s hebben regels nodig, TLS-inspectie na risicoafweging, Threat Feeds voor anomaliedetectie. Aanvullend wordt een fijnmazige segmentatie en het gebruik van applicatiecontroleregels voor API-gebaseerde toegangen aanbevolen.
  • Zero Trust: Gesegmenteerde zones en mTLS voor toegang door derden. Daarnaast regelmatige certificaatrotatie en integratie in bestaande identiteitsproviders om granulaire rechten te beheren.
  • SIEM/EDR: Gebeurtenissen over datavrijgaven correleren, met name ongebruikelijke volumes of ontvangers. Uitgebreide use-cases moeten ook API-fouten, authenticatiepogingen en ongeautoriseerde query’s dekken.
  • Cloud: Egress-controles en contractuele exit-checklists opstellen voor switch-scenario’s. Bovendien capaciteitsplanning, geautomatiseerde tests van exit-processen en beleidsregels voor dataclassificatie en encryptie overwegen.
  • Back-up en Archivering: Gegevens die op grond van de Data Act worden vrijgegeven, moeten worden beveiligd door consistente back-up- en archiveringsstrategieën. Dit maakt herstel mogelijk bij foutieve vrijgaven of misbruik.
  • Rapportage: IT-teams moeten regelmatige rapporten over data-uitstromen opstellen en doorgeven aan compliance- en managementniveau. Dit waarborgt transparantie en traceerbaarheid.

Veelgestelde vragen

Hoe onderscheid je persoonsgegevens van niet-persoonsgegevens?

Men controleert contexten en koppelbaarheid. Locatie- en gebruiksgegevens zijn vaak koppelbaar aan personen. Zonder passende AVG-rechtsgrondslag geen verstrekking.

Moet je gegevens aan elke derde leveren?

Alleen op verzoek van de gebruiker en met inachtneming van de vereisten. Gatekeepers zijn uitgesloten.

Vanaf wanneer is directe toegang verplicht?

Voor nieuwe producten en diensten die vanaf 12.09.2026 op de markt komen. Tot die tijd moet verstrekking op aanvraag werken.

Zijn er modelclausules?

Ja, de EU werkt aan niet-bindende MCT’s en cloud-SCC’s; er is een EDPB-verklaring over het ontwerp beschikbaar.

Welke rol speelt cloud-switching?

De Act bevordert wisselen en multi-cloud. Vergoedingen moeten eerlijk en niet-discriminerend zijn.

Conclusie

De Data Act verschuift de controle over product- en servicegegevens naar de gebruikers en opent markten voor diensten rond onderhoud, analyse en integratie. Voor IT-teams betekent dit werk op drie fronten: data-inventarisatie en recht, veilige interfaces en geoperationaliseerde monitoring. Bovendien ontstaan nieuwe verantwoordelijkheden op het gebied van compliance-management, procesdocumentatie en training van medewerkers. Ook de interactie met cloud-diensten en de integratie in bestaande beveiligingsarchitecturen moeten vroegtijdig worden gepland. Wie vroeg standaardiseert, automatiseert en beveiligingen implementeert, vermindert inspanning en risico en positioneert zich tegelijkertijd voor toekomstige regelgevende ontwikkelingen en nieuwe bedrijfsmodellen in de datagedreven omgeving.

Bronnen

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.