Sinds 12 september 2025 zijn de bepalingen uit de Europese Dataverordening (Data Act, Verordening (EU) 2023/2854) van toepassing. Naast regels voor aanbieders van verbonden producten en gerelateerde diensten en cloudaanbieders, bevat de verordening ook dwingendrechtelijke regels over oneerlijke contractvoorwaarden tussen ondernemingen onderling (B2B).
Deze regels gelden voor alle afspraken die ondernemingen maken over toegang tot en gebruik van data/gegevens, ook als het om persoonsgegevens gaat. In dat geval gaat het bijvoorbeeld om onderlinge regelingen tussen gezamenlijke verwerkingsverantwoordelijken (artikel 26 AVG). De betreffende regels gelden dus niet voor overheden (zoals provincies en gemeenten). Ze gelden veelal wel voor zorginstellingen.
De verordening bepaalt dat contractvoorwaarden over data/gegevens niet bindend zijn wanneer deze eenzijdig door de aanbieder zijn opgelegd én als oneerlijk worden aangemerkt. De verordening bevat een zwarte lijst met altijd oneerlijke bepalingen en een grijze lijst met bepalingen die vermoedelijk oneerlijk zijn
De regels gelden voor alle ondernemingen, ongeacht hun omvang, en zien op elke overeenkomst over datatoegang en datagebruik die wordt gesloten na 12 september 2025. Voor bepaalde bestaande overeenkomsten geldt een overgangsregeling: voor contracten die vóór 13 september 2025 zijn gesloten én doorlopen tot na 11 januari 2034 of van onbepaalde tijd zijn, gelden de regels vanaf 12 september 2027.
Omdat de regels van dwingend recht zijn, kunnen partijen daar niet contractueel van afwijken. Het is van belang dat ondernemingen zich van deze regels bewust zijn wanneer zij overeenkomsten sluiten over persoonsgegevens en niet-persoonsgegevens. Ondernemingen doen er daarom goed aan hun contracten over toegang tot en gebruik van data/gegevens tijdig te toetsen om te voorkomen dat daarin opgenomen bepalingen ongeldig blijken/in strijd zijn met de Dataverordening.
