De EU Data Act – clouddiensten – aanpassen van cloud contracten

Aanbieders van clouddiensten hebben de plicht gekregen om hun klanten te faciliteren om over te kunnen stappen naar een andere aanbieder. Als u aanbieder bent van clouddiensten dat dient u uw contracten, technische infrastructuur en informatieplicht te toetsen of is voldaan aan de Data Act (EU Verordening 2023/2854). Die trad op 12 september 2025 in werking.

Clouddiensten worden volop gebruikt, zowel door zakelijk gebruikers als consumenten. De Data act heeft serieuze gevolgen. Denk aan clouddiensten, zoals Software-as-a service, Platform- en Infrastructure as a Service, maar ook aan aanbieders die verbonden zijn aan de ‘internet of things’ producten (IoT). Meer concreet: denk aan een zeesluis en bruggen, of dichter bij huis an zaken zoals uw auto, energie-, gas/watermeters, lampen die je via een app of spraak (lexa) bedient, slimme horloges, koelkasten, deurbellen en beveiligingscamera’s.

Overstappen

Het doel: de Data Act is bedoeld om deze dynamische datamarkt transparanter en concurrerender te maken in de EU. Dat betekent hier dat het voor klanten eenvoudig moet zijn om over te kunnen stappen naar een andere aanbieder. Juridisch & praktisch gezien betekent dit dat clouddiensten niet alleen hun contracten maar ook hun technische infrastructuur en informatieplicht opnieuw moeten toetsen op de vraag of is voldaan aan de Data Act.

Vendor-lock-in

Een klassieker in contracten is de zogeheten ‘vendor-lock-in’ clausule; je kan contractueel eigenlijk ‘niet uitstappen’. Als klant moet u uw data en applicaties nu wel eenvoudig kunnen verplaatsen van de ene naar een andere clouddienst, of deze terug kunnen zetten naar uw eigen systemen. De Data Act verplicht dat zo’n migratie in beginsel binnen 30 dagen rond moet zijn. Ook is de opzegtermijn nu gemaximeerd (art. 25). Als de techniek het echt onmogelijk maakt ervan af te wijken, dan kan alleen een ‘heel goed verhaal’ u als aanbieder helpen. Ik wijs hier op enkele contractuele punten in dit verband.

Opzeggingstermijn

De overeenkomst van de aanbieders van clouddiensten mogen de opzegtermijn maximaal 2 maanden doen zijn. Er moeten duidelijke voorwaarden zijn gemaakt over specificaties van niet- en wel exporteerbare data en de samenhangende kosten (art. 25 en 34). In de aanvangsperiode mogen nog “redelijke kosten” in rekening worden gebracht, maar later – in 2027 – zijn clouddiensten verplicht hun overstapkosten te schrappen (art. 29). In 2027 geldt dus: de ‘exit’ van de ‘exit fees’.

Interoperabiliteit

Door het EU recht kunt u ‘switchen’ van uw mobiele telefoonprovider zonder een andere telefoon te hoeven kopen. Dat vergde wel EU-wetgeving om dit te uniformeren. In die lijn faciliteert de Data Act ook data-migratie. Zo moeten clouddiensten hun diensten aanpassen zodat data van klanten overdraagbaar zijn en dus operationeel inzetbaar kunnen worden bij andere aanbieders van clouddiensten (art. 26 en 27). De EU Commissie zal in dit verband bindende standaarden kunnen vaststellen (art. 35), waar providers zich aan moeten houden.

Transparantie en informatieplicht

Uiteraard dienen klanten voorafgaande aan zo’n migratie netjes over de overstapprocedures op de hoogte te worden gebracht (art. 26). Dit behelst onder meer: het aangeven welke data overdraagbaar zijn en, of er functionaliteiten verloren gaan maar ook hoe de migratie procedureel zal verlopen. Ook zullen de eventuele kosten moeten worden vermeld. En ter voorkoming van onrechtmatige doorgifte van data buiten de EU, dient de klant ook over de maatregelen daartoe (art. 29) te worden geïnformeerd.

Overheidsverzoeken om data

Onze overheid krijgt er bevoegdheden bij met deze Data Act. Zo kan in een uitzonderlijke situatie de overheid bij aanbieders van clouddiensten data opvragen. Dit zou bijvoorbeeld kunnen in een noodsituatie of wanneer dit hoogst (bijv. acuut) noodzakelijk is voor het uitvoeren van publieke taken. Uiteraard dienen dergelijke verzoeken specifiek, transparant en evenredig zijn, en mogen zij niet leiden tot migratie van meer data dan echt nodig is. Een risico is hierbij bijv. het verlies van bedrijfsgeheimen. Ook dienen gegevens/data die niet meer nodig zijn, te worden verwijderd. Voorkomen moet ook worden dat dezelfde data niet meerdere malen door verschillende overheidsinstanties worden opgevraagd. Dat zou tot overbelasting leiden.

Actie vereist!

Het voldoen aan de eisen van de Data Act betekent het herzien van de contracten. Daartoe heeft op 2 april 2025 de Europese Commissie de ‘Standard Contractual Clauses’ – SCCs – voor cloudcontracten gepubliceerd. Dit rapport kent voor die contracten modelbepalingen. Deze zijn niet-bindend, maar zij geven handvatten om ‘Data Act compliant’ te worden. Wij kunnen u hierbij uiteraard van dienst zijn.

Vragen?

Heeft u vragen naar aanleiding dit artikel of heeft u andere juridische vragen over it-recht? Onze gespecialiseerde advocaten staan u graag te woord. U kunt ons bereiken via mail, telefoon of via het contactformulier.