Data Act: wat IT-teams nu moeten implementeren
De Data Act wordt vanaf 12.09.2025 van toepassing. De verordening doorbreekt datasilo’s, verplicht fabrikanten en exploitanten tot datatoegang en grijpt diep in processen in, van IoT tot cloud. Organisaties profiteren als zij datainventarisatie, interfaces en security-controles vroegtijdig harmoniseren.
Kort overzicht
- Van toepassing vanaf 12.09.2025, ontwerpverplichting voor nieuwe producten vanaf 12.09.2026.
- Gebruikers krijgen toegang tot product- en servicegegevens; doorgifte aan derden is op verzoek mogelijk. Gatekeepers zijn uitgezonderd.
- Cloud-switching en multi-cloud worden versterkt; eisen aan eerlijke voorwaarden en vergoedingen.
- Geen zelfstandige rechtsgrondslag voor persoonsgegevens; AVG blijft leidend.
- De EU beveelt modelcontractclausules aan; concepten zijn beschikbaar, definitieve versies zijn deels nog in beweging.
Waarom het onderwerp nu relevant is
Met de toepassingsdatum van de Data Act op 12.09.2025 eindigt de overgangsperiode. Bedrijven moeten datatoegang beschikbaar stellen, contractueel borgen en technisch beveiligen. Vertragingen raken niet alleen compliance, maar ook bedrijfsmodellen: onderhoud, aftersales-services en datagedreven aanbiedingen hangen voortaan af van transparante, veilige datastromen.
Naast de Data Act treedt met de Cyber Resilience Act een andere EU-verordening in werking die nieuwe verplichtingen voor fabrikanten meebrengt en directe gevolgen heeft voor het veilige gebruik van oplossingen zoals Sophos Firewall.
Wat er verandert of wat nieuw is
- Datatoegang: gebruikers van verbonden producten krijgen toegang tot ruwe en bepaalde verwerkte gegevens die tijdens het gebruik ontstaan. Op verzoek is directe beschikbaarstelling aan derden vereist. Gatekeepers volgens de DMA zijn als ontvangers uitgesloten.
- Productontwerp: Vanaf 12.09.2026 moeten verbonden producten zo zijn ontworpen dat gegevens standaard direct beschikbaar zijn.
- Cloud-switching: De Data Act vermindert lock-in-effecten, bevordert multi-cloud en regelt eerlijke voorwaarden bij een overstap.
- Contractregels: datalicentieovereenkomsten tussen datahouder en gebruiker worden verplicht. De EU publiceert niet-bindende modelclausules ter ondersteuning.
Technisch overzicht
Begrippen en rollen
- Datahouder: partij met zeggenschap over toegang tot product- of servicegegevens, vaak de fabrikant of exploitant. Ook dienstverleners die operationele verantwoordelijkheid dragen, kunnen datahouder zijn. Zij moeten processen inrichten om gebruikers zonder vertraging toegang te geven.
- Gebruiker: rechtmatige gebruiker van het product of de dienst, inclusief bedrijven. Daaronder vallen ook wagenparkbeheerders, landbouwbedrijven of eindklanten die met verbonden apparaten werken. Gebruikers krijgen niet alleen een informatierecht, maar een direct toegangsrecht tot hun gegevens.
- Derde: door gebruikers geautoriseerde ontvangers van gegevens, maar geen gatekeepers. Derden kunnen servicepartners, onafhankelijke werkplaatsen, onderzoeksinstellingen of softwareleveranciers zijn. Zij moeten via veilige interfaces worden aangesloten.
Datatypes
- Gedekt: productgegevens en bijbehorende servicegegevens uit het gebruik, inclusief sensorgegevens, statusmeldingen, locatiegegevens en metadata. Ook verwerkte datasets vallen hieronder, voor zover zij voor hergebruik bestemd zijn.
- Niet gedekt: inhoudsgegevens zoals documenten, afbeeldingen of communicatie. Deze blijven buiten het toepassingsgebied.
- AVG-koppeling: een link met personen is vaak mogelijk; de Data Act creëert geen eigen rechtsgrondslag. Elke verstrekking moet daarnaast AVG-conform plaatsvinden, inclusief toetsing van de rechtsgrondslag en eventueel toestemming.
Interfaces
- Directe toegang heeft de voorkeur; anders is gestandaardiseerde beschikbaarstelling nodig, machineleesbaar en waar mogelijk in realtime. Voor bedrijven betekent dit: API’s, data-exportfuncties en duidelijk gedocumenteerde processen opzetten. Ook monitoring, authenticatie en autorisatiecontrole horen bij de interface-architectuur.
Praktijkgids
Voorbereiding
- Datainventarisatie: systemen, producten, sensoren en dataschema’s in kaart brengen. Mogelijke persoonsgegevens vooraf meenemen en aggregatieniveaus beoordelen. Ook externe databronnen, archiefsystemen en back-updata moeten worden meegenomen.
- Classificatie: product- en servicegegevens scheiden van inhoudsgegevens. AVG-koppeling en rechtsgrondslag per dataset vastleggen. Daarnaast documentatie van categorieën en levenscycli opstellen.
- Contracten: datalicentieclausules voor nieuwe en bestaande contracten voorbereiden; concept-MCT’s beoordelen en waar nodig aanpassen. Daarnaast interne richtlijnen en trainingen voor contractverantwoordelijken opstellen.
Implementatie
- Interfaces: API of export opzetten, AuthN/AuthZ implementeren en uitvoerformaten documenteren. Ook versiebeheer en testomgevingen beschikbaar stellen.
- Autorisatie van derden: processen voor toestemming of autorisatiecontrole opzetten; gatekeeper-controle vast integreren. Gebruik daarnaast rolgebaseerde toegangspatronen en tokens met beperkte geldigheid.
- Cloud-switching: overstappaden, datatransfer en mapping plannen; multi-cloudstrategieën definiëren. Testmigraties en performance-checks inplannen.
- Bescherming van bedrijfsgeheimen: filters voor bedrijfsgeheimen, dataminimalisatie en pseudonimisering evalueren. Technische methoden zoals data masking of differential privacy beoordelen.
- Change-management: processen voor updates en wijzigingen aan interfaces documenteren en communiceren.
Validatie
- Testgevallen: gebruikers-selfservice, vrijgave aan derden, intrekking en foutscenario’s. Neem ook edge-cases en loadtests mee.
- Logging: verstrekkingen, ontvangers, tijdstippen en rechtsgrondslag controleerbaar documenteren. Implementeer auditbestendige opslag en regelmatige rapportages.
- Security-tests: API-pentests, rate-limiting en anomaliedetectie. Overweeg geautomatiseerde kwetsbaarheidsscans en bug-bounty-programma’s.
- Compliance-checks: interne audits om AVG- en Data Act-conformiteit te waarborgen.
Rollback en monitoring
- Rollback-pad bij foutieve vrijgaven. Scenario’s voor herstel en incident response documenteren.
- Monitoring van datastromen via firewall, IDS en SIEM; alerts bij afwijkingen in volume of patroon. Implementeer daarnaast realtime dashboards en escalatieprocessen voor security-teams.
Aanbevelingen en best practices
Aanbevolen maatregelen
- Datainventarisatie en categorisering als verplichte stap.
- API-first-benadering met consistente schema’s.
- Least privilege en fijnmazige consent.
- Gatekeeper-controle automatiseren.
- Logging en auditbestendig bewijs.
- Multi-cloud-switching vroeg testen.
Compacte toewijzingstabel
| Maatregel | Doel | Opmerking |
|---|---|---|
| Datainventarisatie | Transparantie en scope | Basis voor AVG-toetsing |
| MCT-review | Contractduidelijkheid | EU-concepten gebruiken, lokaal aanpassen |
| API-rate-limits | Misbruikbescherming | Combineren in firewall en API-gateway |
| Gatekeeper-filter | Compliance | Vergelijking met DMA-lijsten |
| SIEM-correlatieregels | Traceerbaarheid | Integratie in bestaande playbooks |
| Design vanaf 2026 | Toekomstbestendigheid | Direct access by design |
Gevolgen voor Sophos en andere platforms
- Firewall-policy: nieuwe data-endpoints en beheer-API’s hebben regels nodig, TLS-inspectie na risicoafweging en Threat Feeds voor anomaliedetectie. Daarnaast zijn fijnmazige segmentatie en Application Control-regels voor API-gebaseerde toegang aan te bevelen.
- Zero Trust: gesegmenteerde zones en mTLS voor toegang door derden. Daarnaast regelmatige certificaatrotatie en integratie met bestaande identity providers om granulaire rechten te sturen.
- SIEM/EDR: events rond datavrijgaven correleren, vooral ongebruikelijke volumes of ontvangers. Uitgebreide use-cases moeten ook API-fouten, authenticatiepogingen en ongeautoriseerde queries afdekken.
- Cloud: voor switch-scenario’s egress-controles en contractuele exit-checklists opstellen. Houd daarnaast rekening met capaciteitsplanning, geautomatiseerde tests van exit-processen en policies voor dataclassificatie en versleuteling.
- Back-up en archivering: gegevens die op grond van de Data Act worden vrijgegeven, moeten door consistente back-up- en archiveringsstrategieën worden beschermd. Dit maakt recovery mogelijk bij foutieve vrijgaven of misbruik.
- Rapportage: IT-teams moeten regelmatige rapportages over datastromen opstellen en delen met compliance en management. Zo blijven transparantie en traceerbaarheid geborgd.
Veelgestelde vragen
Hoe onderscheid je persoonsgegevens van niet-persoonsgegevens?
Beoordeel context en koppelbaarheid. Locatie- en gebruiksgegevens zijn vaak tot personen herleidbaar. Zonder passende AVG-rechtsgrondslag vindt geen verstrekking plaats.
Moet je gegevens aan elke derde leveren?
Alleen op verzoek van de gebruiker en met inachtneming van de vereisten. Gatekeepers zijn uitgesloten.
Vanaf wanneer is directe toegang verplicht?
Voor nieuwe producten en diensten die vanaf 12.09.2026 op de markt komen. Tot die tijd moet verstrekking op aanvraag werken.
Zijn er modelclausules?
Ja, de EU werkt aan niet-bindende MCT’s en cloud-SCC’s; er is een EDPB-verklaring over het ontwerp beschikbaar.
Welke rol speelt cloud-switching?
De Data Act bevordert overstappen en multi-cloud. Vergoedingen moeten eerlijk en niet-discriminerend zijn.
Conclusie
De Data Act verschuift de controle over product- en servicegegevens naar gebruikers en opent markten voor diensten rond onderhoud, analyse en integratie. Voor IT-teams betekent dit werk op drie fronten: datainventarisatie en recht, veilige interfaces en geoperationaliseerde monitoring. Daarnaast ontstaan nieuwe verantwoordelijkheden rond compliance-management, procesdocumentatie en training van medewerkers. Ook de interactie met cloud-diensten en de integratie in bestaande security-architecturen moeten vroegtijdig worden gepland. Wie vroeg standaardiseert, automatiseert en beveiligingsmaatregelen inbouwt, verlaagt inspanning en risico en positioneert zich tegelijk voor toekomstige regelgeving en nieuwe bedrijfsmodellen in de datagedreven economie.
Bronnen
