Verliest uw organisatie de controle door de Data-Act?
De impact op AVG, DGA, NIS2 en BIO uitgelegd.
Samenvatting
De Europese Data-Act (Verordening (EU) 2023/2854) regelt hoe organisaties omgaan met toegang tot en gebruik van data uit verbonden producten en cloud-diensten. De verordening is sinds 11 januari 2024 in werking en wordt grotendeels van toepassing vanaf 12 september 2025.
Wanneer gegenereerde data persoonsgegevens bevat, blijft de AVG volledig en onverkort gelden. Dit betekent dat organisaties niet alleen nieuwe datatoegangsverplichtingen krijgen, maar ook geconfronteerd worden met een complexe cumulatieve nalevingslaag onder AVG, DGA, NIS2 en de BIO.
Deze regels leiden tot eisen die doorwerken in de architectuur, contracten en governance van organisaties, met name bij Nederlandse overheden en cloudproviders. Dit document analyseert de structurele interactie tussen deze kaders en de implicaties voor Nederlandse overheden en cloudproviders.
Scope en afbakening
- Beperkt tot de tekst van:
- Verordening (EU) 2023/2854 (Data Act)
- Verordening (EU) 2016/679 (AVG)
- Verordening (EU) 2022/868 (Data Governance Act)
- Richtlijn (EU) 2022/2555 (NIS2)
- Baseline Informatiebeveiliging Overheid (BIO), actuele versie
- Geen behandeling van handhaving, sancties, sector-specifieke voorbeelden of politieke context.
- Geen actualiteitsduiding; focus op structurele juridisch-technische samenhang.
Relatie tussen Data Act en AVG
De Data Act regelt toegang tot en beschikbaarstelling van data gegenereerd door verbonden producten of gerelateerde diensten.
Indien deze data persoonsgegevens bevat, geldt cumulatieve toepassing van de AVG:
- Artikel 6 AVG (rechtsgrondslag) blijft vereist.
- Artikel 5 AVG (dataminimalisatie en beginselen) blijft van toepassing.
- Artikel 32 AVG (beveiliging van verwerking) blijft gelden.
- Hoofdstuk V AVG (internationale doorgifte) blijft onverkort van kracht.
De Data Act bevat geen uitzondering of beperking op de AVG.
Verwerking van persoonsgegevens in het kader van datatoegang moet voldoen aan alle toepasselijke AVG-vereisten.
Impact op Nederlandse overheidsaanbestedingen
De Data Act heeft directe relevantie voor overheidsinkoop, met name bij:
- IoT-systemen
- Slimme infrastructuur (mobiliteit, energie, water)
- Cloud- en dataverwerkingsdiensten
- Publiek-private samenwerkingen
Contractuele elementen
De verordening introduceert verplichtingen die aanbestedingsdocumentatie structureel beïnvloeden, waaronder:
- Verplichte datatoegang voor gebruikers (hoofdstuk II Data Act)
- Transparante switching- en exit-mechanismen bij cloudleveranciers (hoofdstuk VI)
- Beperking van contractuele belemmeringen voor overstap
- Interoperabiliteitsvereisten
Dit betekent dat datatoegang en portabiliteit expliciete onderdelen worden van contractstructuur en leveranciersselectie.
Architecturale elementen
Technisch kan dit leiden tot:
- Gestructureerde datamapping voorafgaand aan inkoop
- Scheiding tussen operationele data en exploitatiemodellen
- Expliciete exit-architectuur bij cloudcontracten
- Gebruik van interoperabele dataformaten
De Data Act verschuift daarmee de focus van louter functionele specificaties naar expliciete data-architectuurvoorwaarden.
Relatie tussen Data Act en Data Governance Act (DGA)
| Instrument | Focus | Karakter |
| DGA | Structureren van datadeling (hergebruik overheidsdata, data-intermediairs, data-altruïsme) | Faciliterend |
| Data Act | Toegangsrechten tot gegenereerde data, contractuele evenwichtigheid, cloud-switching | Regulerend |
De DGA introduceert governance-mechanismen voor het delen van data.
De Data Act creëert afdwingbare verplichtingen voor toegang en interoperabiliteit.
Samen vormen zij een tweelaags kader:
- DGA → hoe datadeling georganiseerd kan worden
- Data Act → wanneer datatoegang verplicht is
Implicaties voor cloudproviders onder NIS2
NIS2 classificeert cloudproviders, datacenters en managed service providers als essentiële of belangrijke entiteiten met verplichtingen inzake:
- risicobeheermaatregelen
- incidentrespons
- supply-chain-beveiliging
- governance en toezicht
Samenloop met Data Act
- Data Act vereist portabiliteit en interoperabiliteit.
- NIS2 vereist risicobeheersing en beveiligingsmaatregelen.
Verhoogde portabiliteit en interoperabiliteit leiden tot meer technische koppelvlakken.
Dit vereist aanvullende beveiligingsmaatregelen binnen het NIS2-kader.
Cloudproviders dienen portabiliteit en overstapmogelijkheden te implementeren binnen een beveiligingsarchitectuur die voldoet aan NIS2-vereisten.
Relatie met en impact op de BIO
De BIO, gebaseerd op ISO 27001/27002 en het BBN-model, fungeert als nationaal normenkader voor overheidsinformatiebeveiliging.
Governance
Datatoegangsverplichtingen vereisen:
- duidelijke rolverdeling rond dataverzoeken
- logging en audit-trails bij externe toegang
- risicobeoordeling bij datadeling
Leveranciersmanagement
Portabiliteitsverplichtingen versterken de nadruk op:
- expliciete exit-procedures
- beperking van afhankelijkheidsrisico’s
- toetsing van leveranciersrelaties
Toegangsbeveiliging
Datatoegang moet worden ingericht met:
- robuuste authenticatie- en autorisatiemechanismen
- datasegmentatie
- reproduceerbare logging
Naleving van de Data Act ontslaat overheidsorganisaties niet van verplichtingen voortvloeiend uit de BIO.
Datatoegang dient te functioneren binnen bestaande beveiligingscontroles.
Cumulatieve nalevingslaag (technische toelichting)
De relevante kaders functioneren gelaagd:
- Laag 1: Persoonsgegevens aanwezig? → AVG (artikelen 5, 6, 32, hoofdstuk V).
- Laag 2: Toegang tot gegenereerde data verplicht? → Data Act (hoofdstukken II–VI).
- Laag 3: Governance van datadeling? → Data Governance Act.
- Laag 4: Cybersecurity-verplichtingen van toepassing? → NIS2.
- Laag 5: Nationale baseline voor overheden? → BIO.
De relevante kaders werken niet los van elkaar, maar stapelen zich op tot een cumulatief juridisch kader dat direct doorwerkt in architectuur, contracten en governance. Voor bestuurders ontstaat daarmee één centrale vraag:
Is de huidige data- en cloudarchitectuur daadwerkelijk bestand tegen deze gelaagde verplichtingen?
Bronnen
Baseline Informatiebeveiliging Overheid (BIO), actuele versie via bio-overheid.nl.
Verordening (EU) 2023/2854 betreffende geharmoniseerde regels inzake eerlijke toegang tot en het gebruik van data (Data Act).
Verordening (EU) 2016/679 (AVG).
Verordening (EU) 2022/868 (Data Governance Act).
Richtlijn (EU) 2022/2555 (NIS2).
