De EU Data Act: wat het voor uw bedrijf betekent

De EU Data Act, die in januari 2024 in werking trad en vanaf september 2025 van toepassing is, vormt een van de belangrijkste stukken gegevenswetgeving sinds de GDPR. Hoewel veel van de publieke discussie zich heeft gericht op de implicaties voor IoT-fabrikanten en het recht om van cloud te wisselen, heeft de wet ingrijpende gevolgen voor hoe Europese bedrijven hun samenwerkingsinfrastructuur selecteren en beheren.

Wat de Data Act feitelijk vereist

In de kern stelt de Data Act regels vast over wie toegang heeft tot en gebruik kan maken van gegevens die door verbonden producten en gerelateerde diensten worden gegenereerd. Voor samenwerkingsplatforms voor ondernemingen zijn enkele bepalingen bijzonder relevant.

Ten eerste verankert de wet het recht om zonder onnodige vertraging, buitensporige kosten of gegevensverlies tussen aanbieders van clouddiensten te wisselen. Dit betekent dat organisaties in staat moeten zijn om hun gegevens — berichten, bestanden, gespreksopnamen, metadata — uit het ene platform te halen en naar een ander te migreren. Leveranciers die klanten vastzetten via propriëtaire gegevensformaten of kunstmatige exportbarrières zullen aan de verkeerde kant van de regelgeving belanden.

Ten tweede introduceert de wet waarborgen tegen onrechtmatige internationale gegevensoverdrachten. Artikel 27 vereist expliciet dat aanbieders van clouddiensten redelijke technische, juridische en organisatorische maatregelen nemen om te voorkomen dat overheden toegang krijgen tot niet-persoonsgegevens die in de EU worden bewaard, wanneer dergelijke toegang in strijd zou zijn met EU-recht. Deze bepaling richt zich direct op de spanning die wordt veroorzaakt door de EU CLOUD Act, die Amerikaanse autoriteiten toestaat gegevens op te eisen van Amerikaanse bedrijven, ongeacht waar deze worden opgeslagen.

Ten derde stelt de wet vereisten voor interoperabiliteit voor gegevensverwerkende diensten verplicht, waarmee de basis wordt gelegd voor klanten om meerdere diensten in combinatie te gebruiken zonder kunstmatige barrières.

Waarom dit van belang is voor samenwerkingstools

Beschouw de typische samenwerkingsstack van een onderneming: videovergaderen, berichten, bestandsdeling en in toenemende mate AI-gestuurde functies zoals transcriptie en samenvatting. Deze tools verwerken enorme hoeveelheden gevoelige gegevens — strategische besprekingen, personeelszaken, financiële overwegingen, juridisch advies, intellectueel eigendom.

Onder de Data Act dragen organisaties de verantwoordelijkheid om ervoor te zorgen dat hun samenwerkingsleveranciers aantoonbaar voldoen aan de gegevensbeschermingswaarborgen. Dit gaat verder dan het aankruisen van een vakje op een leveranciersbeoordelingsformulier. Het vereist inzicht in het rechtsgebied van de leverancier, hun technische architectuur voor gegevensisolatie en hun vermogen om verzoeken tot toegang van buitenlandse overheden te weerstaan.

Voor veel Europese organisaties leidt dit tot een ongemakkelijke afrekening. De dominante samenwerkingsplatforms worden geëxploiteerd door bedrijven met hun hoofdkantoor in de VS. Ongeacht waar zij hun datacenters vestigen, blijven deze bedrijven onderworpen aan de EU CLOUD Act en andere Amerikaanse juridische instrumenten die openbaarmaking kunnen afdwingen.

De praktische compliance-checklist

Op basis van onze lezing van de wet en gesprekken met compliance-teams in Europese ondernemingen, is dit wat organisaties in hun samenwerkingstools zouden moeten beoordelen.

Gegevensportabiliteit. Kunt u al uw gegevens — berichten, bestanden, metadata, gebruikersdirectories, gespreksopnamen — exporteren in standaard, gedocumenteerde formaten? Is er een API voor geautomatiseerde extractie? Wat gebeurt er met uw gegevens als u het contract beëindigt?

Jurisdictionele duidelijkheid. Waar is de leverancier opgericht? Welk rechtsgebied is van toepassing op de dienst? Zou een buitenlandse overheid de leverancier kunnen dwingen uw gegevens te overhandigen? Is er een dochterstructuur die indirecte buitenlandse jurisdictie zou kunnen creëren?

Technische waarborgen. Biedt het platform end-to-end-versleuteling? Zo ja, wie heeft de sleutels in handen? Kunt u uw eigen encryptiesleutels meebrengen? Is de versleutelingsarchitectuur gedocumenteerd en auditeerbaar?

Infrastructuursoevereiniteit. Waar bevinden de gegevens zich fysiek? Wie exploiteert de onderliggende cloudinfrastructuur? Is de cloudprovider zelf onderworpen aan buitenlandse jurisdictie?

Overstapkosten. Wat zou er nodig zijn om naar een alternatief platform te migreren? Zijn er contractuele boetes? Ondersteunt de leverancier standaardprotocollen en -formaten?

Interoperabiliteit. Kan het platform integreren met andere tools in uw stack zonder propriëtaire lock-in? Ondersteunt het open standaarden?

Hoe Mandraki aan deze vereisten voldoet

Wij hebben Mandraki vanaf het begin gebouwd met de principes van de Data Act in gedachten, niet als een retrofit.

Alle gegevens bevinden zich op een Europese hyperscaler die uitsluitend onderworpen is aan EU-jurisdictie. Mandraki zelf is een Europees bedrijf zonder Amerikaans moederbedrijf of dochteronderneming. Onze drielaagse versleutelingsarchitectuur, inclusief BYOK-ondersteuning, zorgt ervoor dat organisaties cryptografische controle over hun gegevens behouden. Volledige gegevensexport is beschikbaar via gedocumenteerde API’s. En ons federatieprotocol tussen organisaties is gebouwd op open, gedocumenteerde standaarden.

Wij beweren niet dat compliance ooit eenvoudig is. Het regelgevingslandschap is complex en evoluerend. Maar wij geloven wel dat beginnen met de juiste architecturale en jurisdictionele fundamenten compliance haalbaar maakt in plaats van een ambitie.

Vooruitkijken

De Data Act maakt deel uit van een bredere Europese digitale strategie die de AI Act, de Digital Markets Act, de Digital Services Act, NIS2 en DORA omvat. Samen hervormen deze regelgevingen de verwachtingen die worden gesteld aan technologieleveranciers die in Europa actief zijn.

Voor Europese organisaties is de boodschap duidelijk: de tools die u dagelijks voor samenwerking gebruikt, zijn niet langer alleen een IT-inkoopbeslissing. Het zijn compliance-beslissingen, beslissingen over risicobeheer, en in toenemende mate strategische beslissingen over digitale autonomie.

Het goede nieuws is dat het Europese technologie-ecosysteem snel volwassen wordt. Soevereine cloudinfrastructuur is beschikbaar. Conforme samenwerkingstools bestaan. Het pad vooruit vereist niet dat we wachten tot Amerikaanse leveranciers zich aanpassen aan Europese regels. Het vereist het kiezen van Europese oplossingen die vanaf het begin voor deze regels zijn gebouwd.