Europese Data Verordening & Cyber Resilience Act

De Europese Unie heeft jaren geleden een datastrategie ontwikkeld. Het uitrollen van deze strategie gaat gepaard met veel nieuwe Europese regels die rechtstreeks van toepassing zijn op Nederlandse bedrijven en consumenten.

De Europese Unie heeft recent twee verordeningen ingevoerd die invloed hebben op technologiebedrijven: de Europese Data Verordening (Data Act) en de Cyber Resilience Act (CRA). In deze nieuwsbrief lichten we beide verordeningen toe.

Wat is de Europese Data Verordening (Data Act)?

De Data Act is bedoeld om het delen van data tussen bedrijven, consumenten en overheden in de Europese Unie makkelijker en eerlijker te maken. Voor technologiebedrijven betekent dit onder meer dat producten en diensten die data genereren, die data ook beschikbaar moeten stellen aan gebruikers. Denk aan IoT-apparaten, machines of slimme software.

Belangrijke punten uit de Data Act:

• Gebruikers krijgen meer controle over de data die hun apparaten genereren.
• Bedrijven moeten datatoegang technisch en contractueel mogelijk maken.
• Er komen duidelijke regels voor datadeling in noodsituaties.
• Oneerlijke contractuele bedingen (ook tussen ondernemingen) over data maar ook over daaruit voortvloeiende aansprakelijkheid en rechten van klanten worden nietig of vernietigbaar

Inwerkingtreding

De Data Act is sinds 12 september 2025 van toepassing. De Data Act is van toepassing op producenten van verbonden producten (zoals slimme apparaten), aanbieders van gerelateerde diensten (apps, IoT), cloudaanbieders (SaaS), overheden en gebruikers (zowel consumenten als bedrijven).

Wat is de Cyber Resilience Act (CRA)?

De CRA richt zich op de cybersecurity van alle “digital products” die in de EU worden verkocht, zoals software, IoT-apparaten en verbonden hardware. De CRA stelt eisen aan cybersecurity gedurende de volledige levenscyclus van een product.

Kernpunten van de CRA:

• Producten moeten “secure by design” en “secure by default” zijn.
• Fabrikanten/importeurs zijn verantwoordelijk voor het leveren van tijdige beveiligingsupdates gedurende de gehele levensduur van het product (minimaal 5 jaar).
• Leveranciers moeten kwetsbaarheden actief monitoren en oplossen.
• Er komen verplichte veiligheidsdocumentaties en conformiteitsverklaringen. 

Inwerkingtreding

CRA is op 10 december 2024 in werking getreden. Vanaf 11 september 2026 geldt een meldplicht voor actief misbruikte kwetsbaarheden en incidenten. Vanaf 11 december 2027 moeten alle producten met digitale elementen voldoen aan de CRA. De CRA is van toepassing op fabrikanten, importeurs, distributeurs en gemachtigde vertegenwoordigers.

Wat te doen?

We raden u aan om te controleren of u onder de Data Act en/of CRA valt, en of uw onderneming de verplichtingen naleeft. Daarbij is het verstandig om ook relevante afspraken met partijen in de keten te bekijken. Bijvoorbeeld op onredelijke contractuele bedingen (Data Act) of afspraken met leveranciers van hardware of software van buiten de EU die u importeert.

Meer weten?
Heeft u vragen over hoe deze nieuwe regels uw werkzaamheden raken? Neem dan contact op met Sander Pieroelie, advocaat van Vestius Advocaten uit Amsterdam en verbonden aan FHI via FHI Advies. FHI Advies is bereikbaar via legal@fhi.nl

Bovenstaande tekst is een inhoudelijke bijdrage van onze partner Vestius Advocaten.