De EU Data Act, sinds 12 september 2025 van toepassing, raakt de customerservice-afdeling in verschillende domeinen. Een van de belangrijkste: klanten kunnen data van hun connected apparaten opvragen, bijvoorbeeld om ze te gebruiken bij andere apparaten. Ziptone sprak met privacy-advocaat Lora Mourcous van The Data Lawyers.
Allereerst wil Mourcous kwijt dat de Data Act, met ingang van 12 september dit jaar, complex is en dat verschillende delen nog niet uitgekristalliseerd zijn. De Europese Commissie heeft op 12 september 2025 een nieuwe versie van veelgestelde vragen over de Data Act gepubliceerd en de European Data Protection Board (EDPB) had daarop de nodige feedback.
“De Data Act is op 12 september in werking getreden en veel bedrijven zijn zich nu pas bewust van de impact,” zegt Mourcous. En dat geldt ook voor consumenten. Die zullen geleidelijk met vragen richting bedrijven gaan komen. Denk aan ‘ik wil weten welke gegevens mijn apparaat allemaal verzamelt en wil daar toegang toe hebben’. Dat recht van inzage in data die verwerkt worden door ‘verbonden apparaten’ geldt ook voor bedrijven, aldus Mourcous.
Met Mourcous kijken we naar de Data Act zelf en daarna naar wat het contactcenter te wachten staat: met welke vragen en verzoeken kunnen klanten komen?
Europese Dataverordening
De Data Act (of in goed Nederlands de Europese Dataverordening) heeft als doel om bedrijven, burgers en overheden meer mogelijkheden te geven om gebruik te maken van data, legt Mourcous uit. Daarmee is het te zien als een aanvulling op en uitbreiding van de AVG, die over persoonsgegevens gaat; qua data bestaat er echter meer dan alleen persoonsgegevens.
“De Europese Dataverordening biedt mogelijkheden voor verschillende partijen om de data die gegenereerd worden door apparaten, op te vragen, te gebruiken en te delen. In sommige gevallen waren data van bijvoorbeeld smart devices tot voor kort alleen toegankelijk voor de fabrikant van dat device.”
Een van de meest praktische voorbeelden daarvan zijn de data die je auto genereert. Die zou je vanuit de Data Act met ieder garagebedrijf moeten kunnen delen. Maar ook de garagehouder zelf kan die gegevens nu opvragen voor reparatiedoeleinden.
Voorbeelden van connected devices die data genereren
Verbonden producten
Volgens de Data Act moeten verbonden producten, zoals slimme thermostaten, fitness-trackers of huishoudelijke apparaten, en gerelateerde diensten, zoals de bijbehorende apps, zo worden ontworpen dat de gegenereerde gegevens, inclusief de relevante metadata, standaard, gemakkelijk, veilig en kosteloos toegankelijk zijn voor de gebruiker.
Voordat een gebruiker een verbonden product koopt, huurt of leaset, moet hij duidelijke informatie krijgen over onder meer het type en formaat van de gegevens die het product genereert, het volume en de frequentie van datagebruik, de bewaartermijnen, en hoe hij deze gegevens kan raadplegen, opvragen of wissen, inclusief de technische middelen en voorwaarden daarvoor. Die verplichting zorgt voor transparantie over de gegenereerde productgegevens en bevordert de toegang voor de gebruiker.
In de praktijk is nog niet altijd duidelijk in hoeverre leveranciers van verbonden producten en gerelateerde diensten volledig voldoen aan deze verplichtingen of hun gebruikers daarover op een begrijpelijke manier informeren.
“Niet alle bedrijven communiceren dit even duidelijk of consistent,” zegt Mourcous. “Er zijn wel voorbeelden van organisaties die hun gebruikers al langere tijd inzicht geven in de data die hun apparaten en diensten genereren, maar dit is nog geen algemene standaard binnen de sector.”
Zijn wij een dataverwerkingsdienst?
Naast de regels voor verbonden producten en diensten bevat de Data Act ook een afzonderlijk hoofdstuk over dataverwerkingsdiensten – zoals cloud- en edgeproviders. Deze bepalingen staan los van de verplichtingen die gelden voor leveranciers van slimme of verbonden apparaten. De Data Act stelt minimumeisen vast voor de inhoud van cloudcontracten, om de machtsongelijkheid tussen aanbieders en klanten op de cloudmarkt te verhelpen. Hoofdstuk VI van de Data Act draagt eraan bij dat gebruikers van dataverwerkingsdiensten hun gegevens makkelijker kunnen overdragen tussen verschillende diensten. Wanneer deze gegevens persoonsgegevens van de gebruikers omvatten is hier overlap met het recht op dataportabiliteit uit artikel 20 van de AVG.
“Veel bedrijven vragen zich af of hun digitale platform of cloudoplossing kwalificeert als een ‘dataverwerkingsdienst’ onder de Data Act. Deze vraag is belangrijk omdat de kwalificatie bepaalt welke regels van toepassing zijn op het gebruik en de uitwisseling van data. Een dienst die als dataverwerkingsdienst wordt aangemerkt, valt onder verplichtingen zoals interoperabiliteit, het vermijden van vendor lock-in en het bieden van transparantie aan klanten over hun data. Voor organisaties kan dit grote gevolgen hebben voor de manier waarop ze hun diensten aanbieden en integreren binnen de Europese data-economie,” stelt Mourcous.
Impact op customer service
Dan de impact op customer service. Verwacht Mourcous dat de Data-Act gaat leven bij het brede publiek? Ze trekt een parallel met de AVG. “Voordat de AVG werd ingevoerd, hadden we te maken met de Wet bescherming persoonsgegevens. In vergelijking met nu waren het aantal inzageverzoeken relatief beperkt, mede omdat er destijds nog minder aandacht was voor privacy en gegevensbescherming onder het brede publiek. Sinds de invoering van de AVG is bewustwording rondom persoonsgegevens sterk toegenomen, waardoor mensen actiever hun rechten uitoefenen. Steeds meer mensen willen niet dat hun persoonsgegevens verwerkt worden op een manier die niet in lijn is met wat zij voor ogen hebben. Soms is het een principekwestie, soms nieuwsgierigheid om gegevens op te vragen.”
De Consumentenbond zegt desgevraagd dat zich nog geen bedrijven of consumenten hebben gemeld met vragen of problemen rondom de uitoefening van rechten rond de Data Act.
Inzageverzoeken – Tot mei 2018 hadden consumenten te maken met de Wet bescherming persoonsgegevens (Wbp) die Nederlandse burgers al het recht gaf om persoonsgegevens in te zien of op te vragen. Daarna trad de Algemene verordening gegevensbescherming (AVG) in werking. De Belastingdienst meldde in 2023 dat zij vóór de AVG gemiddeld 150 tot 200 inzageverzoeken per jaar ontvingen. Dat soort inzageverzoeken werd ad‑hoc verwerkt; digitale portals bestonden nauwelijks. Met de komst van de AVG in 2018 werden organisaties verplicht om binnen één maand te reageren en transparant te zijn over gegevensverwerking. De Belastingdienst zag echter pas een eerste structurele stijging rond 2020; de aanleiding was het naar buiten komen van nieuws over de Fraudesignaleringsvoorziening (FSV). Volgens een Kamerbrief over AVG‑inzageverzoeken bij de Belastingdienst kwamen vanaf begin 2020 ongeveer 15.000 inzageverzoeken binnen van burgers die wilden weten of zij in het FSV‑systeem voorkwamen. De meeste aanvragen werden online gedaan; 537 aanvragen kwamen telefonisch binnen. Grotere gemeentes en instanties ontvangen sinds 2020 enkele honderden inzageverzoeken per jaar. Zo’n inzageverzoek kan iedereen indienen op basis van artikel 15 van de AVG.
Meer vragen over data
Met de inzageverzoeken op basis van de AVG in het achterhoofd verwacht Mourcous dat bedrijven de komende tijd meer vragen zullen krijgen van klanten over data. Het kan dan gaan over technische vragen, zoals ‘hoe zet ik mijn data over van jullie dienst naar een andere dienst’ maar ook over het concreet opvragen van data.
“Bedrijven die verbonden apparaten verkopen, dus die datahouder zijn onder de Dataverordening, zullen hun informatievoorziening moeten aanpassen zodat deze in lijn is met de Dataverordening. Ze zullen ook hun medewerkers moeten trainen op dit gebied, en processen moeten inrichten om ervoor te zorgen dat data op een veilige manier bij de klant komen. Denk aan kunnen inzien, exporteren en downloaden in het juiste machine-leesbare format, zodat een derde partij de data ook kan gebruiken,” legt Mourcous uit.
Nieuwe regels voor clouddiensten – De Dataverordening bevat ook nieuwe regels voor clouddiensten, die als dataverwerkingsdiensten worden gezien. “Cloudproviders moeten eerlijke contractvoorwaarden gaan aanbieden – denk aan beperkingen die gaan gelden voor opzegtermijnen: langer dan twee maanden is niet toegestaan. En je moet als consument gemakkelijk kunnen overstappen of verschillende diensten naast elkaar kunnen gebruiken en combineren. Ook dat faciliteert weer het vrije gebruik van die data.”
Deze partijen zullen naar hun contracten en voorwaarden moeten kijken, aldus Mourcous; aan langere contracten zijn beperkende voorwaarden verbonden en dat heeft impact op het businessmodel. Ook verbiedt de Data Act andere vormen van ‘vendor lock-in’ voor clouddiensten; afnemers moeten in staat worden gesteld snel (binnen 30 dagen) en efficiënt over te stappen van de ene naar de andere SaaS-dienst, vooral op het gebied van data; hiervoor bestaan echter ook uitzonderingen. Tevens moeten zakelijke SaaS-aanbieders afscheid nemen van contractuele ‘switching fees’: per 12 januari 2027 zijn die niet meer toegestaan.
Toezichthouder zit nog in de wachtkamer
Dan tot slot: we zitten in een tijdelijke overgangsperiode, zegt Mourcous. De Dataverordening is van toepassing vanaf 12 september 2025, maar de ACM is nog niet bevoegd als toezichthouder. Dat moet nog wettelijk worden vastgelegd. De ACM verwacht zelf dat dit in de loop van 2026 geregeld zal zijn.
(Ziptone/Erik Bouwer)
Ook interessant
-
De contactcentermanager mag wel wat strenger zijn voor zichzelf. Zijn we in klantcontact nou bezig met een efficiencyvraagstuk of met…
-
Met de invoering van de Europese Data Act op 12 september zijn er nieuwe regels voor het delen en gebruiken…
-
Volgens een nieuw rapport van Deloitte realiseren organisaties al ROI met GenA-toepassingen in klantcontactomgevingen.