De Europese Data Act treedt op 12 september 2025 in werking. Deze verordening heeft belangrijke gevolgen voor bedrijven die binnen de Europese Unie een Internet of Things (IoT)-oplossing aanbieden of clouddiensten leveren, zoals SaaS-, PaaS-, of IaaS-diensten. Een belangrijk gevolg is dat deze bedrijven hun voorwaarden tegen het licht moeten houden, met name ten aanzien van bepalingen over data. De Data Act verbiedt namelijk bepaalde voorwaarden en verplicht tegelijkertijd dat andere voorwaarden juist expliciet worden opgenomen.

Hoewel de ingangsdatum nadert, merken wij in de praktijk dat veel partijen nog onvoldoende inzicht hebben in de impact van deze verordening. Het is dan ook raadzaam voor deze bedrijven om op korte termijn te inventariseren welke verplichtingen er gelden en of hun voorwaarden daar nog wel mee in overeenstemming zijn. In deze blog zetten we de belangrijkste aandachtspunten met betrekking tot contractvoorwaarden onder de Data Act op een rij.

Beschermen van de zwakkere contractpartij

De Data Act introduceert allereerst een verbod op oneerlijke, eenzijdig opgelegde contractvoorwaardenin de zakelijke context.

Dergelijke beschermingsmechanismen kennen we binnen het Europese recht al langer bij consumentencontracten. Omdat consumenten doorgaans niet over de kennis, onderhandelingsmacht of middelen beschikken om bij het aangaan van een overeenkomst invloed uit te oefenen op de contractvoorwaarden, biedt het Europese recht hen bescherming via onder meer de Richtlijn oneerlijke bedingen. De Europese wetgever heeft in dat kader verschillende lijsten opgesteld van bedingen die (vermoedelijk) oneerlijk zijn. Als een beding oneerlijk is, is het nietig of kan het worden vernietigd zodat de gebruiker zich er niet langer op kan beroepen.

Hoewel dit beschermingsmechanisme in het consumentenrecht al lange tijd bestaat, geldt in de zakelijke context een grotere contractsvrijheid. De gedachte daarachter is dat professionele partijen voldoende deskundig en toegerust zijn om hun eigen belangen te behartigen. In de praktijk blijkt echter dat deze veronderstelling in het digitale tijdperk niet altijd meer opgaat.

Een bedrijf dat zijn website wil hosten via een hyperscaler als AWS of Azure, kan niet met Amazon of Microsoft onderhandelen over de voorwaarden. Deze partijen hebben een zodanig sterke marktpositie dat er geen enkele prikkel bestaat om met klanten te onderhandelen – het is een kwestie van take it or leave it. Juist vanwege dit soort machtsongelijkheid en het gebrek aan onderhandelingsruimte bij veel digitale diensten, vond de Europese wetgever het op zijn plaats om ook in het B2B-domein een vergelijkbaar beschermingsmechanisme te introduceren.

Onredelijkheidstoets

Om de bescherming in het B2B-domein voor elkaar te krijgen, verbiedt de Data Act expliciet eenzijdig opgelegde oneerlijke bedingen en bepaalt daarover dat deze dan niet-bindend zijn. De oneerlijkheidstoets ziet niet alleen op bepalingen over toegang tot en gebruik van gegevens, maar ook op bepalingen over aansprakelijkheid en de rechtsmiddelen die beschikbaar zijn bij schending of beëindiging van dergelijke afspraken.

Een beding wordt volgens de Data Act als ‘oneerlijk’ beschouwd als het gebruik ervan sterk afwijkt van goede handelspraktijken en in strijd is met de goede trouw en eerlijke behandeling. Dit is dus een open norm die als algemene maatstaf geldt.

Lijst van (vermoedelijk) onredelijke bedingen

Naast de open norm (de onredelijkheidstoets), bevat de Data Act een lijst met bedingen die altijd als oneerlijk worden aangemerkt en een lijst met bedingen die vermoedelijk oneerlijk zijn – vergelijkbaar met de zwarte en grijze lijst uit de Richtlijn oneerlijke bedingen. Hieronder geven we enkele voorbeelden ter illustratie. Voor de leesbaarheid spreken we steeds over een leverancier die voorwaarden hanteert tegenover een klant, maar in de praktijk hoeft er niet altijd sprake te zijn van een klassieke klant-leveranciersrelatie.

Voorbeelden van bedingen die volgens de Data Act altijd oneerlijk zijn:

• Een beding waardoor leverancier niet of beperkt aansprakelijk is voor opzet of grove nalatigheid of waarmee de aansprakelijkheid van de leverancier voor nakoming volledig wordt uitgesloten.
• Een beding waardoor klant bepaalde rechtsmiddelen (zoals het vorderen van nakoming of schadevergoeding) niet mag inzetten in het geval van wanprestatie.
• Een beding waarbij leverancier als enige mag bepalen of de verstrekte gegevens voldoen aan de afspraken, of als enige de contractbepalingen mag uitleggen.

Voorbeelden van bedingen die volgens de Data Act vermoedelijk oneerlijk zijn:

• Een beding dat de aansprakelijkheid van de leverancier op ongepaste wijze beperkt of die van de klant juist op ongepaste wijze vergroot.
• Een beding waarmee de leverancier gebruik kan maken van data van de andere partij op een wijze die de belangen van die partij aanzienlijk schaadt (bijvoorbeeld wanneer het gaat om commercieel gevoelige informatie of omdat er auteursrecht op rust).
• Een beding waarbij de leverancier de prijs of andere essentiële voorwaarden eenzijdig mag wijzigen, onder geldige reden en zonder dat de klant de mogelijkheid heeft om de overeenkomst kosteloos op te zeggen.

De redelijkheidstoets geldt alleen voor bedingen die eenzijdig zijn opgelegd, zonder dat er ruimte was om over dat beding te onderhandelen. De bewijslast ligt bij de partij die het beding heeft gebruikt. Deze partij moet bewijzen dat het niet eenzijdig is opgelegd (en niet onredelijk, mocht het beding voorkomen op de grijze lijst). 

Deze versturen we 3-4x per jaar.