Stel je voor dat jouw organisatie een groot gebouw is. Geen statig, glimmend pand, maar eerder een praktische industriële ruimte met gangen, deuren, sleutels, toegangspassen en heel wat "we regelen het later"-briefjes op de kasten.
In dat gebouw stromen data als mensen door de gangen: in, uit, tussen kamers, tussen leveranciers en weer terug. Soms door glazen deuren. Soms door een zijdeur die iemand in 2018 plaatste en waarvan niemand zich echt herinnert wie de sleutel heeft.
De EU Data Act is in wezen de manier van de EU om te zeggen: "Dit gebouw moet nooduitgangen hebben, duidelijke sleutels en bewegwijzering, en die moeten werken bij brand."
Niet om het leven moeilijk te maken, maar om gebruikers en klanten meer controle te geven, ongezonde afhankelijkheden te verminderen en een robuustere data-economie te creëren. Maar het is net als brandveiligheid: het biedt alleen zekerheid als het in de praktijk werkt, niet alleen op papier.
Waarom dit voor velen een "vergeten wet" wordt
De Data Act is een EU-verordening die sinds september 2025 geldt. Toch wordt het vaak over het hoofd gezien om drie redenen:
Het klinkt administratief, alsof het een juridische kwestie is en geen praktische realiteit.
Het raakt indirect, via leveranciers en contracten, waardoor velen denken "dat is iemand anders zijn verantwoordelijkheid".
Het vermengt rollen: je kunt klant zijn in het ene proces, leverancier in het andere, en "datahouder" in een derde.
Dat de Europese Commissie ondersteunend materiaal en een Data Act Legal Helpdesk heeft opgezet (waar organisaties vragen kunnen stellen over rechten, plichten, cloudswitching en interoperabiliteit) zegt mij dat veel partijen hulp nodig hebben om te begrijpen wat de wet écht betekent. Het lastige is dat velen niet weten dat ze nu al geraakt worden.
"Geldt dit voor ons?" (vaker dan je denkt)
De EU Data Act geldt niet voor alle software. Maar het raakt breed waar er is:
Verbonden producten (connected products) en bijbehorende diensten
"Datahouder" die data bezit waar iemand anders recht op heeft
Cloud- en SaaS-achtige diensten (data processing services) waarbij de Data Act eisen stelt dat klanten van leverancier kunnen wisselen zonder onredelijke belemmeringen ("switching") en met transparantie en ondersteuning in het proces
En het belangrijke punt hier is dat, ook al zien jullie jezelf niet direct als getroffen, je misschien wel leverancier bent van iemand die dat wel is. Dan word je onderdeel van hun naleving via contractuele eisen, controles en audits.
Let op, de wet is van kracht vanaf 12 september 2025 (met enkele delen die later starten afhankelijk van hoofdstuk en contract). Dit betekent dat "we doen het later" snel verandert in "we doen het als er al storingen en conflicten zijn". En nu moeten we leren van de fouten bij het achteraf aanpakken van GDPR en NIS2. Begin vandaag nog.
De link met NIS2: niet dezelfde wet, wel dezelfde realiteit
Belangrijk om feitelijk te blijven: Data Act en NIS2 zijn twee verschillende regelgevingen met verschillende doelen en kernlogica. Maar in de praktijk komen ze samen in dezelfde realiteit:
Data Act stimuleert meer data-toegang, delen, overdraagbaarheid en leverancierswisselingen.
Elk nieuw recht, interface of overdrachtsroute is ook een nieuwe aanvalsvector die misbruikt kan worden als governance, autorisatie, traceerbaarheid en monitoring niet meegroeien.
Kijk je naar incidenten: aanvallers nemen vaak de route via leveranciers, daarover heb ik uitgebreid geschreven. ENISA beschrijft hoe supply chain-aanvallen toenamen in aantal en complexiteit, wat betekent dat "de gangen tussen gebouwen" (leveranciers, code, diensten, operatie) vaak het beginpunt zijn van inbraken. Ook de Zweedse Autoriteit voor Civiele Bescherming bevestigt dit.
Met andere woorden: de Data Act kan data beweeglijker maken en de markt dynamischer, maar alleen als er tegelijk controle wordt ingebouwd. Anders creëren organisaties meer open deuren dan werkende nooduitgangen, wat een voordeel is voor aanvallers.
Welke sectoren moeten als eerste in actie komen?
Om heel praktisch te zijn: deze sectoren zitten vaak vroeg in de Data Act-logica en hun leveranciers ook:
Energie (meetdata, operationele data, platformen, OT/IT-nabijheid, veel leveranciers)
Productie/industrie (machinedata, productiegegevens, voorspellend onderhoud, ecosysteem van diensten)
Transport en voertuigen (verbonden voertuigen, telematica, serviceketens)
Vastgoed/smart buildings (besturingssystemen, sensoren, energieoptimalisatie)
Gezondheid/medtech (verbonden producten en aanverwante diensten)
En bijna altijd: cloud-/SaaS-leveranciers, dienstverleners en operationele partners worden indirect geraakt door klantvereisten rond switching, transparantie en rechten.
Waar het vaak misgaat
De meeste organisaties missen de Data Act niet omdat ze onzorgvuldig zijn. Ze missen het omdat ze de klassieke fouten maken:
Sommigen denken dat het een "juridische kwestie" is, waardoor het in een map belandt die al vol zit met andere juridische verplichtingen.
Anderen zien het als een "IT-kwestie", waardoor het in een backlog-project terechtkomt.
Weer anderen begrijpen niet dat het een governance- en leverancierskwestie is, waardoor het eigenlijk direct bij het management had moeten liggen.
Het is een beetje alsof je een defibrillator koopt, in een opslagruimte zet en denkt dat je veilig bent omdat de wet het eist. Hij helpt alleen als hij toegankelijk, bekend, geoefend en getest is. En dat gebeurt alleen als het management er volledig achter staat.
Drie acties die de eindverantwoordelijke nu moet ondernemen
Hier zijn drie eenvoudige stappen die snel resultaat geven en werken vanuit een allrisk-perspectief (governance, contracten, operatie, leveranciers):
1) Maak een duidelijke "impactanalyse" die beslisbaar is
Beantwoord drie vragen:
Zijn wij leverancier, klant, datahouder of alles tegelijk?
Welke producten/diensten zijn verbonden en genereren data waar iemand recht op kan hebben?
Welke leveranciers vallen onder data processing services waarbij switching mogelijk een eis wordt?
Presenteer dit als een overzicht voor het management: "Dit is onze exposure en waarom."
2) Voer een contract- en afhankelijkheidsanalyse uit alsof je morgen van leverancier moet wisselen
Niet om te wisselen, maar om te zien of het kan. Let vooral op: exporteerbare data, verplichtingen bij wisseling, en technische/commerciële/contractuele belemmeringen. De Data Act stelt duidelijk dat switching makkelijker moet worden en belemmeringen verwijderd.
3) Bouw "assurance in operatie" in de leveranciersketen
Contractuele eisen zijn het begin. Maar je moet ook continu kunnen aantonen:
- actuele lijst met afhankelijkheden
- tijdscriteria voor het afhandelen van kwetsbaarheden/maatregelen
- monitoring die leidt tot verbetering (niet alleen rapportage)
Dit is extra belangrijk omdat de leveranciersketen een bekende aanvalsvector is in het dreigingslandschap.
Het gaat niet om dossiers, maar om werkende deuren
De Data Act vereist geen perfectie. Het vraagt praktisch dat je kunt aantonen dat je controle hebt over je datastromen, je afhankelijkheden en je vermogen om rechten en plichten daadwerkelijk uit te voeren.
En om de vergelijking af te maken: de EU vraagt niet om een nieuw gebouw te bouwen. De EU vraagt dat de nooduitgangen er zijn, duidelijk bewegwijzerd en opengaan. Ook als de stress hoog is en iemand aan de deur trekt.
Het is geen bureaucratie. Het is volwassen governance van beveiliging in de leveranciersketen.
Referenties
Europese Commissie. (z.d.). Data Act Legal Helpdesk. Vormgeven aan Europa's digitale toekomst.
Europees Parlement en Raad. (2023). Verordening (EU) 2023/2854 (Data Act). EUR-Lex.
Europees Agentschap voor Cybersecurity (ENISA). (2021). Threat landscape for supply chain attacks.
Latham & Watkins. (2025). EU Data Act: Significant new switching requirements due to take effect for data processing services.
