Auteur

Jeroen van Woezik

De digitale agenda van de EU voor 2030 zet de koers uit voor een Europese digitale toekomst, met bijbehorende nieuwe wetgeving. Deze nieuwe wetgeving brengt veel wijzigingen en verplichtingen voor allerlei organisaties met zich mee en is daardoor ook voor de M&A-praktijk relevant, omdat de omvang van het due diligence onderzoek zich als gevolg van de nieuwe wetgeving aanzienlijk uitbreidt.

Legal Data Due Diligence

Inmiddels zijn we gewend aan het uitvoeren van een privacy due diligence onderzoek op basis van onder andere de Algemene Verordening Gegevensbescherming (AVG). Echter, een privacy due diligence onderzoek zal nu een te beperkte scope zijn. Het is voorafgaand aan een due diligence onderzoek belangrijk om te weten welke regelgeving relevant is voor een transactie en welke verplichtingen dit voor organisaties met zich meebrengt en (eventueel) de risico’s voor een koper. Bekijk daarom onze online tool op: www.legaldataduediligence.nl om voorafgaand aan een transactie te bepalen welke EU-datawetgeving mogelijk van toepassing is op de target. Deze blog biedt de M&A praktijk handvatten voor de Data Act en de Data Goverance Act (DGA). Per wet gaan we in op de kernverplichtingen, het toepassingsbereik, de risico’s en de aandachtspunten voor de M&A praktijk.

Verschil Data Act en Data Governance Act

Voordat dieper wordt ingegaan op de Data Act en de Data Governance Act (DGA), is het goed om te begrijpen hoe deze verordeningen zich tot elkaar verhouden. Beide richten zich namelijk op het vergroten van de toegang tot data en zijn onderdeel van de bredere Europese datastrategie. Het verschil in doel tussen de Data Act en de DGA ligt in hun focus en benadering van de Europese data- economie. Zij richten zich daarmee op verschillende aspecten van datagebruik, -beheer en -deling. De DGA legt de nadruk op vertrouwen, governance en infrastructuur om een solide basis te creëren voor datadeling in de EU. De Data Act richt zich op het vaststellen van rechten, verplichtingen en toegang tot data om een eerlijke, concurrerende data-economie te waarborgen.

Belangrijkste Verschillen

Data Governance Act (DGA) Data Act
Focus Vertrouwen en infrastructuur voor datadeling Regels voor toegang tot en gebruik van data
Doelgroep Publieke sector, bemiddelingsdiensten, altruïsme bedrijven Fabrikanten van verbonden producten en aanbieders van gerelateerde diensten, gebruikers, gegevenshouders, gegevensontvangers
Type data Publieke data, vrijwillig gedeelde data Industriële data, data van slimme apparaten
Hoofddoel Creëren van een kader voor veilige datadeling Eerlijke toegang en gebruik van data


Data Act

De Data Act heeft als doel om data van de overheid, het bedrijfsleven en burgers optimaal te benutten door het makkelijker te maken om data te delen en het overstappen naar een andere clouddienst te vergemakkelijken. Om deze doelstelling te bereiken heeft de Data Act een breed toepassingsbereik. Zo is de verordening gericht op de volgende personen en organisaties:

  • Fabrikanten van IoT-apparaten en aanbieders van gerelateerde diensten die op de Europese markt zijn gebracht
  • Gegevenshouders
  • Ontvangers van gegevens
  • Overheidsinstanties (en organen van de EU)
  • Aanbieders van dataverwerkingsdiensten (clouddiensten)

De Data Act is op 11 januari 2024 in werking getreden en wordt in september 2025 van toepassing.

Gegevenshouders en gegevensontvangers

Twee belangrijke marktdeelnemers waar de Data Act op ziet zijn de “gegevenshouders” en de “gegevensontvangers". Onder gegevenshouders vallen doorgaans de aanbieders van verbonden producten en daaraan gekoppelde diensten (zoals de software die nodig is om het product te laten functioneren). Verbonden producten zijn verbonden met het internet en verkrijgen, genereren of verzamelen gegevens over hun prestaties, gebruik of omgeving. Zij worden ook wel ‘slimme’ apparaten of ‘Internet of Things’ (IoT) apparaten genoemd (denk hierbij aan auto's, slimme apparaten voor woningen, robots, virtuele assistenten etc.). Onder gegevenshouders vallen dus bijvoorbeeld autofabrikanten, maar ook aanbieders van huishoudelijke apparaten zoals koelkasten of slimme verlichting. Zij mogen deze gegevens gebruiken, maar moeten ze volgens de Data Act ook ter beschikking stellen aan anderen. Als je een dergelijk product koopt, huurt of leaset (en dus een gebruiker in de zin van de Data Act bent), verzamelt de fabrikant alle gegevens die het product genereert. Met deze informatie kan hij vervolgens nieuwe (verbeterde) producten op de markt brengen en/of zijn concurrentiepositie versterken. Deze informatie kan echter ook voor andere marktdeelnemers en overheden interessant zijn ter bevordering van wetenschappelijk onderzoek, innovatie en concurrentie. De Data Act maakt het voor hen makkelijker om deze gegevens te ontvangen. De ontvangers van deze gegevens zijn de "gegevensontvangers". Dit kunnen dus allerlei soorten personen/organisaties zijn (denk bijvoorbeeld aan energieleveranciers die gegevens over het gebruik van auto's of andere apparaten willen ontvangen), zolang zij niet de gebruikers zijn, niet al over een hoop gegevens beschikken (denk aan bedrijven zoals Google, Meta etc.) en de gegevens niet worden ingezet om concurrerende producten te ontwikkelen.

Wat zijn de kernverplichtingen?

- Toegang en (verplichte) overdraagbaarheid van gegevens (artikel 3 t/m 12)
De gebruikers van de apparaten en gerelateerde diensten (zowel B2B als B2C) krijgen door de Data Act rechten toebedeeld waardoor zij een sterkere rechtspositie hebben met betrekking tot de toegankelijkheid en overdraagbaarheid van gegevens. De verordening stelt in artikel 3 bijvoorbeeld verplichtingen met betrekking tot het ontwerp en de vervaardiging van IoT-apparaten en gerelateerde diensten, zodat de gegevens hiervan gemakkelijk toegankelijk en te interpreteren zijn. Hierover moeten tevens bepaalde contractuele afspraken worden gemaakt. Ook zijn er in artikel 5 en 6 bepalingen geïntroduceerd die het delen van gegevens met derden vergemakkelijken, en moeten overeengekomen vergoedingen voor het beschikbaar stellen van gegevens volgens artikel 9 niet-discriminerend en redelijk zijn.

- Oneerlijke contractuele bedingen (artikel 13)
Het staat ondernemingen vrij om, als zij verplicht zijn gegevens te verstrekken, met een andere onderneming afspraken te maken over de toegang en het gebruik van gegevens of aansprakelijkheid en remedies in geval van schending of beëindiging van gegevensgerelateerde verplichtingen. De Data Act verduidelijkt in artikel 13 echter wanneer contractuele bedingen als oneerlijk kunnen worden aangemerkt. Dit is bijvoorbeeld het geval bij eenzijdig opgelegde contractuele bedingen.

- Het beschikbaar stellen van gegevens aan overheidsinstanties en organen van de Europese Unie (artikel 14 t/m 22)
Gegevenshouders zijn volgens artikel 14 van de Data Act verplicht om, als er aantoonbaar sprake is van een uitzonderlijke noodzaak om gebruik te maken van bepaalde gegevens, die gegevens aan de relevante overheidsinstantie(s) beschikbaar te stellen. Wanneer hier sprake van is, hoe de overheidsinstanties dit verzoek moeten indienen, hoe dit verzoek nageleefd dient te worden etc. komt in de daaropvolgende artikelen aan bod.

- Overstappen naar een andere (cloud)dienst (artikel 23 t/m 31)
Dataverwerkingsdiensten (zoals clouddiensten) moeten volgens artikel 23 bepaalde maatregelen treffen om het hun klanten mogelijk te maken om over te stappen naar een andere dataverwerkingsdienst. Zo moeten de rechten van de klant en de verplichtingen van de aanbieder van de dienst schriftelijk worden vastgelegd en moet de aanbieder bijvoorbeeld redelijke bijstand verlenen bij de overstap. Vanaf 12 januari 2027 mogen aanbieders van deze diensten zelfs helemaal geen overstapkosten meer in rekening brengen bij hun klanten.

- Internationale overheidstoegang en overdracht van niet-persoonsgebonden gegevens (artikel 32)
De AVG stelt al verplichtingen met betrekking tot de internationale doorgifte van persoonsgegevens. Door de Data Act worden ook eisen gesteld aan de internationale overheidstoegang en overdracht van niet-persoonsgebonden gegevens. Zo moet internationale overheidstoegang en toegang van overheden van derde landen, alsook overdracht van niet-persoonsgebonden gegevens die in de EU zijn opgeslagen, worden voorkomen als hier geen verplichting toe bestaat.

- Interoperabiliteit (artikel 33 t/m 36)
Aanbieders van gegevens en datadiensten moeten aan eisen voldoen om interoperabiliteit van gegevens, mechanismen en diensten voor gegevensdeling te bevorderen.

Is de wet van toepassing op de target?

De Data Act bepaalt wie, onder welke voorwaarden en op welke basis, het recht heeft om productgegevens of gegevens van een gerelateerde dienst te gebruiken. Zoals eerder is gebleken, hoort hier een breed toepassingsbereik bij. In ieder geval moet gedacht worden aan fabrikanten van “slimme producten” (gegevenshouders) en partijen die data ontvangen van deze fabrikanten (gegevensontvangers), maar ook aan SaaS, IaaS en PaaS dienstverleners.

Wat zijn de risico’s (boetes etc.)?

De Data Act stelt de verplichting aan lidstaten om een toezichthouder aan te wijzen en sancties te verbinden aan niet-naleving van de verordening. Deze sancties moeten uiterlijk op 12 september 2025 aan de Commissie worden medegedeeld. Nederland beoogt de Data Act tot uitvoering te brengen door middel van de Uitvoeringswet EU-Dataverordening. Deze wet is nog niet definitief geworden en moet nog naar de Tweede Kamer worden gestuurd. Het voorstel beoogt echter de Autoriteit Consument en Markt (ACM) als toezichthouder aan te stellen, die bij inbreuken een last onder dwangsom kan opleggen of een boete van maximaal €1.030.000 (of, indien dat meer is, 10% van de jaaromzet van de overtreder).

Waar moet je op letten bij een transactie?

  • Is de target een gegevenshouder in de zin van de Data Act?
  • Is de target een aanbieder van een dataverwerkingsdienst in de zin van de Data Act?
  • Is de target verplicht om gegevens aan gebruikers, derden of overheidsinstanties ter beschikking te stellen?
  • Stelt de target, indien nodig, de gegevens conform de vereisten uit de Data Act ter beschikking?
  • Indien de target over bedrijfsgeheimen beschikt, is de target met de gebruiker en/of de derde technische en organisatorische maatregelen overeengekomen ter bescherming hiervan?
  • In B2B-relaties: heeft de target contracten met gegevensontvangers waarin de regelingen voor het ter beschikking stellen van de gegevens zijn opgenomen?
  • Bevatten de contracten oneerlijke contractuele bedingen?
  • Zijn overeengekomen vergoedingen voor het beschikbaar stellen van gegevens niet-discriminerend en redelijk?
  • Indien de target een aanbieder van een dataverwerkingsdienst is: heeft de target de in de artikelen 25 t/m 30 genoemde maatregelen genomen om klanten in staat te stellen over te stappen naar een andere (aanbieder van een) dataverwerkingsdienst?

DGA

De Data Governance Act (DGA) is een wetgevingsinitiatief van de Europese Unie dat tot doel heeft een robuust kader te bieden voor het beheer en delen van data binnen de EU. Het doel van de DGA is om een meer vertrouwde en transparante data-economie te creëren, waarin bedrijven, burgers en overheden data op een veilige en gecontroleerde manier kunnen delen en (her)gebruiken. De DGA is op 23 juni 2022 in werking getreden en op 24 september 2023 formeel van kracht geworden.

Wat zijn de kernverplichtingen?

Net zoals bij de Data Act, vallen onder ‘gegevens’ in de zin van de DGA zowel persoonsgegevens als niet- persoonsgebonden gegevens. De belangrijkste verplichtingen uit de DGA kunnen als volgt worden opgesomd:

- Voorwaarden voor het hergebruik van bepaalde overheidsgegevens die niet als open gegevens beschikbaar kunnen worden gesteld

Hierbij kan bijvoorbeeld gedacht worden aan het gebruik van gezondheidsgegevens voor onderzoek. De DGA bevat een verbod op afspraken die, met betrekking tot het hergebruik van deze gegevens, exclusieve rechten toekennen of de beschikbaarheid van gegevens voor hergebruik door andere entiteiten beperken. Ook moeten gevraagde vergoedingen voor hergebruik transparant, niet- discriminerend, evenredig en objectief gerechtvaardigd zijn en geen concurrentie beperken.

- Een aanmeldings- en toezichtkader voor het aanbieden van databemiddelingsdiensten

Databemiddelingsdiensten moeten aan bepaalde vereisten voldoen en aanbieders hiervan moeten aan de bevoegde autoriteit melden dat zij dergelijke diensten willen aanbieden. Dit geldt doorgaans niet voor entiteiten zonder winstoogmerk die gegevens verzamelen voor doeleinden van algemeen belang die beschikbaar worden gesteld op basis van data-altruïsme.

- Een kader voor de vrijwillige registratie van entiteiten die voor altruïstische doeleinden (zonder commercieel oogmerk) beschikbaar gestelde gegevens verzamelen en verwerken

De DGA stimuleert data-altruïsme en stelt dat lidstaten regelingen kunnen treffen om dit te faciliteren. Organisaties die aan data-altruïsme doen kunnen geregistreerd worden in een openbaar register van erkende organisaties voor data-altruïsme. Om hiervoor in aanmerking te komen, moeten zij aan bepaalde voorwaarden voldoen. Als de aanvraag wordt goedgekeurd, dienen zij volgens de DGA aan bepaalde transparantievereisten te voldoen en gelden er vereisten ter bescherming van datasubjecten en gegevenshouders.

- Een kader voor de oprichting van een Europees Comité voor gegevensinnovatie

Is de wet van toepassing op de target?

Ook de DGA heeft een breed toepassingsbereik. Zij ziet zowel op overheidsinstanties als op bedrijven en burgers. De belangrijkste verplichtingen buigen zich over drie verschillende onderwerpen. Nagegaan moet worden of de target voldoet aan een (of meer) van deze kwalificaties. 

  1. De DGA richt zich allereerst op verplichtingen met betrekking tot beschermde gegevens van overheidsinstanties. Aan de verplichtingen in dat hoofdstuk dient voldaan te worden als de target een overheidsinstantie is die in het bezit is van gegevens die beschermd zijn op grond van:
    a. Het handelsgeheim;
    b. Statistisch geheim;
    c. De bescherming van de intellectuele-eigendomsrechten van derden; of
    d. De bescherming van persoonsgegevens.
  2. Vervolgens komen de vereisten voor aanbieders van databemiddelingsdiensten aan bod. Dit zijn diensten die gericht zijn op het tot stand brengen van commerciële relaties met het oog op het delen van gegevens tussen partijen. Zij moeten zich verplicht registreren.
  3. De DGA buigt zich ook nog over organisaties die zich hebben laten registreren als erkende organisaties voor data-altruïsme. Als bedrijven gegevensuitwisseling faciliteren zonder een commercieel oogmerk, valt dit onder data-altruïsme. Zij kunnen zich vrijwillig laten registreren en moeten dan aan bepaalde vereisten voldoen.

Wat zijn de risico’s (boetes etc.)?

Ook bij de DGA dienen de lidstaten afzonderlijk regels vast te stellen met betrekking tot de sancties die gelden bij niet-naleving van de verordening. Deze regels staan in de Uitvoeringswet datagovernanceverordening. Hierin is de ACM als toezichthoudende autoriteit aangesteld. Bij overtreding van de DGA kan de ACM een last onder dwangsom opleggen, of een boete van maximaal €1.030.000 (of, indien dat meer is, 10% van de jaaromzet van de overtreder).

Waar moet je op letten bij een transactie?

  • Is de DGA van toepassing op de target?
  • Verleent de target diensten die aangemerkt kunnen worden als databemiddelingsdiensten in de zin van de DGA?
  • Is de target, indien deze databemiddelingsdiensten verleent, overeenkomstig de verplichtingen uit de DGA geregistreerd?
  • Is de target geregistreerd in een openbaar nationaal register van erkende organisaties voor data- altruïsme?
  • Voldoet de target aan de voorwaarden voor het verlenen van databemiddelingsdiensten uit artikel 12 DGA?
  • Voldoet de target, indien sprake is van een erkende organisatie voor data-altruïsme, aan de transparantievereisten uit artikel 20 DGA?
  • Voldoet de target, indien sprake is van een erkende organisatie voor data-altruïsme, aan de vereisten ter bescherming van datasubjecten en gegevenshouders uit artikel 21 DGA?

Conclusie

De besproken nieuwe EU-datawetgeving zal veel invloed op de M&A praktijk hebben. In eerste instantie op het due diligence proces. De scope van het due diligence zal bij veel transacties uitgebreid moeten worden met een “Legal Data Due Diligence”. Allereerst om te bepalen welke nieuwe EU-datawetgeving op de target van toepassing is, vervolgens om te bepalen of de onderneming aan de nieuwe EU-datawetgeving voldoet en ten slotte om eventuele risico’s van non-compliance in kaart te brengen.

De nieuwe EU-datawetgeving is bijzonder complex en vereist specialistische kennis. Wanneer blijkt dat een target verplichtingen uit de besproken wetgeving niet heeft nageleefd, dan kan dit grote invloed hebben op de waardering en de koopprijs van een bedrijf, omdat de kosten en middelen die nodig zijn voor naleving aanzienlijk kunnen zijn. Bovendien kan het niet voldoen aan deze regelgeving leiden tot hoge boetes, het intrekken van vergunningen en reputatieschade. Zodoende is het laten uitvoeren van gespecialiseerd due diligence op dit gebied noodzakelijk.

Voorafgaand aan een verkooptraject doen verkopers er verstandig aan om te controleren of nieuwe EU- datawetgeving op de onderneming van toepassing is of gaat zijn. Immers, een verkoper heeft voorafgaand aan een verkooptraject nog de controle op de wijze waarop een organisatie voldoet aan nieuwe EU-datawetgeving en kan zodoende beter de controle houden over de kosten en wijze van implementatie. Een potentiële koper zal, indien een organisatie niet aan de toepasselijke EU-datawetgeving voldoet, een groter bedrag koppelen aan het risico én aan de kosten die verbonden zijn aan de implementatie.

Meer weten? Neem dan contact op met een van onze specialisten.

Laatste inzichten & publicaties

Bekijk alles

Nieuwe EU-datawetgeving en de M&A praktijk: AI Act

Nieuwe EU-datawetgeving en de M&A praktijk: AI Act

Lees meer

Nieuwe EU-datawetgeving en de M&A praktijk: Data Act & Data Governance Act

Nieuwe EU-datawetgeving en de M&A praktijk: Data Act & Data Governance Act

Lees meer

Nieuwe EU-datawetgeving en de M&A praktijk: DSA

Nieuwe EU-datawetgeving en de M&A praktijk: DSA

Lees meer