AVG en IoT-data onder de Data Act: wat startups en scale-ups moeten weten
De Data Act maakt van IoT-data een strategisch thema
De Data Act zet een duidelijke stap richting meer datadeling. Voor verbonden producten betekent dat in de kern dat gebruikers toegang moeten kunnen krijgen tot de data die hun product genereert. Als die toegang niet rechtstreeks via het product zelf beschikbaar is, moet de gegevenshouder die data beschikbaar stellen en het ook mogelijk maken om die data op verzoek over te dragen aan een derde.
Voor techbedrijven is dat groot nieuws. Wie connected hardware, slimme apparatuur of een platform met een bijbehorende app in de markt zet, krijgt te maken met een juridisch kader waarin data niet alleen een commerciële asset zijn, maar ook iets waar gebruikers rechten op kunnen uitoefenen. Denk aan slimme apparaten in de consumentenmarkt, maar net zo goed aan zakelijke tools, connected voertuigen of apparatuur die binnen een organisatie door werknemers wordt gebruikt.
Tegelijk blijft de AVG gewoon van kracht. De Data Act schuift de privacyregels dus niet opzij. Sterker nog, als het om persoonsgegevens gaat, heeft de privacywetgeving voorrang. Voor startups en scale-ups is dat een belangrijk vertrekpunt. De Data Act opent de deur naar meer toegang en uitwisseling van data, maar de AVG bepaalt nog steeds de spelregels zodra die data naar natuurlijke personen te herleiden zijn.
Niet alle IoT-data zijn persoonsgegevens, maar vaak wel sneller dan gedacht
Een belangrijk onderscheid in dit onderwerp is het verschil tussen digitale gegevens in brede zin en persoonsgegevens. De Data Act ziet op digitale gegevens in het algemeen. De AVG ziet alleen op persoonsgegevens. In theorie kunnen verbonden producten dus ook data genereren die buiten de AVG vallen.
In de praktijk is dat onderscheid minder ruim dan het soms lijkt. Veel IoT-data zijn namelijk al snel te koppelen aan een natuurlijke persoon. Dat kan direct gebeuren, bijvoorbeeld doordat een gebruiker inlogt met een e-mailadres of accountnaam in een app. Het kan ook indirect, doordat data iets zeggen over het gedrag, de locatie, de routine of het gebruikspatroon van een identificeerbare persoon.
Dat maakt het verschil tussen een technisch datapunt en een persoonsgegeven soms verrassend klein. Een slimme lamp die volgens een vast schema aan en uit gaat, hoeft op zichzelf nog niet per se informatie over een specifieke persoon te geven. Maar zodra dezelfde lamp nauwkeurig laat zien wanneer een bewoner opstaat, gaat slapen of ’s nachts wakker wordt, verschuift het beeld. Dan zegt die data ineens wel degelijk iets over iemands persoonlijke leven.
Voor startups en scale-ups is dat een cruciale les. Het gaat niet alleen om de vraag welke data een product technisch kan uitlezen, maar vooral om de context waarin die data worden gebruikt. Zodra er een account, gebruikersprofiel, e-mailadres, dashboard of andere koppeling aan een individu in beeld komt, ontstaat er al snel een AVG-vraagstuk.
Ook in een puur zakelijke context is dat relevant. Apparatuur die ogenschijnlijk alleen operationele data produceert, kan alsnog persoonsgegevens opleveren als die data aan werknemers of andere natuurlijke personen worden gekoppeld. Denk aan gereedschap, voertuigen of andere connected bedrijfsmiddelen die via een persoonlijke code, badge of account aan één gebruiker zijn verbonden.
Wie heeft welke rol? Daar begint de echte compliance
Veel discussies over AVG en IoT-data lopen vast op rollen. Dat is logisch, want de Data Act werkt met andere begrippen dan de AVG. Waar de AVG spreekt over verwerkingsverantwoordelijken en verwerkers, draait de Data Act vooral om de gegevenshouder, naast fabrikanten, aanbieders van gerelateerde diensten en andere betrokken partijen.
De gegevenshouder is niet automatisch hetzelfde als de verwerkingsverantwoordelijke
Toch lopen die rollen in de praktijk vaak in elkaar over. Bij persoonsgegevens geldt namelijk dat de partij die de relevante IoT-data feitelijk of rechtens kan verkrijgen en daarover kan beschikken, in veel gevallen ook als verwerkingsverantwoordelijke moet worden gezien. Een verwerker wordt onder de Data Act niet geacht als gegevenshouder op te treden.
Dat betekent dat je als techbedrijf niet kunt volstaan met een oppervlakkige kwalificatie. Je moet echt kijken naar wie het doel en de middelen van de verwerking bepaalt, wie de data kan uitlezen, wie toegang organiseert en wie beslist wat er met die data gebeurt.
De praktijk is vaak gelaagder dan het contractschema
Dat blijkt ook uit typische IoT-constructies. Bij een slimme koelkast met een eigen app ligt het voor de hand dat de fabrikant als verwerkingsverantwoordelijke optreedt wanneer die fabrikant de data via de app beschikbaar maakt en benut. Maar zodra de fabrikant die toegang zelf niet heeft en een derde app-aanbieder de regie voert, kan juist die derde als verwerkingsverantwoordelijke in beeld komen.
Hetzelfde geldt in verhuur- en leaseconstructies. Als een verhuurder van verbonden fietsen via een app of dashboard inzicht heeft in ritten en gps-locaties, terwijl de fabrikant geen toegang heeft tot die data, dan schuift de verantwoordelijkheid richting de verhuurder. In een werkomgeving kan een werkgever die verbonden gereedschap aan werknemers koppelt en via een dashboard gebruiksdata ziet, als verwerkingsverantwoordelijke worden aangemerkt, terwijl de fabrikant slechts als verwerker optreedt.
Voor startups en scale-ups is dat extra relevant omdat hun productmodel vaak bestaat uit meerdere lagen tegelijk: hardware, firmware, app, beheeromgeving, analytics en misschien nog een reseller, verhuurder of zakelijk eindklant daar tussenin. Juist dan is het riskant om te veronderstellen dat de fabrikant automatisch alles bepaalt, of juist niets bepaalt. De feitelijke data-architectuur is leidend.
Ook het begrip gebruiker verdient aandacht
De Data Act werkt met een ruim gebruikersbegrip. Dat is niet beperkt tot alleen de koper van een verbonden product. Ook een partij aan wie tijdelijk rechten zijn overgedragen om het product te gebruiken, of iemand die de gerelateerde dienst ontvangt, kan gebruiker zijn.
Voor de techpraktijk is dat interessant. Zeker in businessmodellen met huur, lease, bruikleen of deployment via een werkgever kan de vraag opkomen wie nu precies als gebruiker geldt. Dat kan relevant zijn voor toegangsrechten tot data, maar ook voor de verhouding tot de AVG. Als een natuurlijke persoon het product gebruikt en de data op hem of haar betrekking hebben, vallen gebruiker onder de Data Act en betrokkene onder de AVG in de praktijk vaak samen.
Daar komt nog iets bij. In zakelijke ketens kan discussie ontstaan of een zakelijke gebruiker ook zelf gegevenshouder kan zijn. Dat is geen detailkwestie. Voor scale-ups die connected assets verhuren of via een platform aan anderen beschikbaar stellen, bepaalt dit mede of de eindgebruiker ergens terechtkan om rechten uit te oefenen. Juist daarom is het verstandig om die rolverdeling niet pas achteraf te analyseren, maar vooraf contractueel en operationeel helder te krijgen.
De Data Act geeft geen automatische AVG-rechtsgrond
Een van de belangrijkste punten voor founders en legal teams is dat de Data Act niet vanzelf een AVG-rechtsgrond creëert. Dat een gegevenshouder op grond van de Data Act data toegankelijk moet maken of op verzoek moet overdragen, betekent dus niet automatisch dat daarmee ook meteen de privacyrechtelijke basis vaststaat.
Dat vraagt om een tweede analyselaag. Per verwerking moet worden beoordeeld welke rechtsgrond uit de AVG past.
Uitvoering van de overeenkomst
Voor een gerelateerde dienst, zoals een app waarmee de gebruiker een verbonden product bedient, ligt uitvoering van de overeenkomst vaak voor de hand. Als de app zonder die data haar functie niet kan vervullen, is die verwerking in beginsel goed te plaatsen binnen de contractuele relatie.
Ook wanneer een gebruiker vraagt om overdracht van diens data aan een derde, kan de uitvoering van een overeenkomst een rol spelen. Dat geldt met name als die overdracht functioneel onderdeel is van de door de gebruiker gewenste dienstverlening.
Gerechtvaardigd belang
Voor andere verwerkingen kan het gerechtvaardigd belang in beeld komen. Dat zal vooral spelen bij gebruik van IoT-data voor eigen bedrijfsdoeleinden die niet direct samenvallen met de kernprestatie richting de gebruiker. Denk aan analyse van productgebruik, verbetering van dienstverlening of bredere inzichten op basis van geaggregeerde data.
Maar daar zit meteen de nuance. Niet elke commerciële wens haalt die toets. Het is dus niet genoeg dat verwerking handig of waardevol is. Er moet worden gekeken of de verwerking noodzakelijk is voor het nagestreefde belang en of de belangen van de gebruiker niet zwaarder wegen. Bovendien zal niet elke categorie IoT-data daarvoor nodig zijn. Een bedrijf dat alles uitleest omdat het technisch kan, komt daarmee juridisch nog nergens.
Toestemming
Toestemming blijft relevant, zeker als derden toegang krijgen tot IoT-data voor eigen doeleinden. Maar toestemming is niet per definitie de enige route voor iedere opvolgende verwerking. Dat is een belangrijk onderscheid, zeker voor productteams die geneigd zijn alle datastromen onder één toestemmingsvlag te schuiven. In sommige situaties kan toestemming logisch zijn, in andere gevallen ligt een andere rechtsgrond meer voor de hand.
Bij bijzondere persoonsgegevens wordt de ruimte vanzelf kleiner. Dan moet nog nadrukkelijker worden gekeken of toestemming echt nodig is, of dat een andere uitzondering beschikbaar is. En als toestemming wordt gebruikt, moet die ook weer kunnen worden ingetrokken.
Vergeet artikel 11.7a Tw niet bij het uitlezen van verbonden producten
Voor veel startups is de reflex om vooral naar de AVG te kijken. Toch speelt hier nog een extra laag. Het uitlezen van IoT-data uit verbonden producten kan onder de regels van artikel 11.7a Telecommunicatiewet vallen, de bepaling die vaak met cookieregels wordt geassocieerd, maar breder werkt dan alleen cookies.
Bij verbonden producten die als randapparatuur zijn aan te merken, moet voor toegang tot informatie op dat apparaat in beginsel toestemming worden verkregen. Dat raakt dus direct aan het uitlezen van data uit connected devices.
Voor productteams is vooral de uitzondering belangrijk. Als het uitlezen strikt nodig is om een door de gebruiker gevraagde dienst te leveren, zoals een app die functioneel bij het product hoort, hoeft daarvoor niet steeds toestemming te worden gevraagd. Maar zodra een andere partij toegang krijgt voor eigen doeleinden, zoals een verhuurder, fabrikant of app-aanbieder die meer doet dan alleen de gevraagde dienst leveren, komt die toestemmingseis al snel weer in beeld.
Dat maakt dit onderwerp voor startups extra relevant. Niet alleen de verdere verwerking van data moet juridisch kloppen, ook het eerste uitleesmoment zelf verdient aandacht.
Toegang en overdracht klinken simpel, maar zijn dat niet
De rechten onder de Data Act lijken op het eerste gezicht goed aan te sluiten op het AVG-recht op inzage en het recht op gegevensoverdraagbaarheid. Toch zijn ze niet volledig hetzelfde.
De Data Act geeft de gebruiker recht op toegang tot IoT-data en op overdracht aan een derde. De AVG kent inzage en dataportabiliteit, maar die rechten hebben een eigen reikwijdte en eigen voorwaarden. Vooral bij dataportabiliteit ontstaat nuance, omdat dit AVG-recht gekoppeld is aan specifieke rechtsgronden en aan de vraag of de gegevens door de betrokkene zijn verstrekt.
Bij IoT-data is daar discussie over mogelijk. Een ruime uitleg maakt veel van die data overdraagbaar, omdat ook geobserveerde gebruiksdata daar dan onder kunnen vallen. Een beperkte uitleg verkleint die ruimte. Voor de praktijk betekent dit dat een verzoek om overdracht niet altijd met één standaardantwoord is af te handelen. Onder de Data Act kan de verplichting ruimer zijn dan onder de AVG, terwijl beide regimes tegelijk meespelen.
De echte spanning zit in beperkingen, bedrijfsgeheimen en poortwachters
Juist hier wordt zichtbaar dat de verhouding tussen Data Act en AVG werkbaar is, maar niet frictieloos. De Data Act kent situaties waarin toegang of overdracht kan worden beperkt, bijvoorbeeld als de beveiliging van het product daardoor in gevaar komt, of als bedrijfsgeheimen moeten worden beschermd.
Dat wringt soms met de AVG-rechten van de gebruiker. Een gegevenshouder die toegang of overdracht wil beperken, zal dan moeten onderbouwen waarom dat nodig is en hoe dat zich verhoudt tot de rechten en vrijheden van anderen. Voor techbedrijven is dat een belangrijke waarschuwing. Beperkingen mogen niet vrijblijvend of standaardmatig worden ingezet. Ze vragen om een goed onderbouwde afweging.
Een nog lastiger punt zit bij overdracht aan poortwachters. De Data Act wil voorkomen dat bepaalde dominante partijen nog meer datamacht krijgen. Tegelijk geeft de AVG onder voorwaarden juist een recht op overdracht aan een andere verwerkingsverantwoordelijke. Daar kan dus een botsing ontstaan. Voor bedrijven die data moeten delen is dat geen comfortabele positie. In zulke gevallen is het juridisch speelveld nog niet volledig uitgekristalliseerd.
Wat betekent dit concreet voor startups en scale-ups?
Voor startups en scale-ups in de techsector draait dit onderwerp uiteindelijk om drie vragen.
De eerste is: welke data lees je eigenlijk uit, en wanneer worden dat persoonsgegevens? Dat vraagt om een inhoudelijke analyse van het product, de app, de metadata en de context waarin de gebruiker identificeerbaar wordt.
De tweede is: wie vervult welke rol? In een IoT-keten is dat zelden vanzelfsprekend. Fabrikant, app-aanbieder, verhuurder, werkgever of platformexploitant kunnen elk een andere positie hebben, afhankelijk van wie toegang heeft en wie beslist.
De derde is: op welke rechtsgrond rust iedere stap? Niet alleen de verdere verwerking, maar ook het uitlezen zelf kan juridisch gevoelig zijn. Zeker als meerdere partijen data voor eigen doeleinden willen gebruiken, is het onverstandig om te denken dat één privacyverklaring of één contractuele bepaling het hele speelveld afdekt.
Bij Startup-Recht zien we regelmatig dat juist deze combinatie van productontwikkeling, platformlogica en datagedreven businessmodellen maakt dat privacyvragen niet los van het commerciële model kunnen worden bekeken. Wie IoT-data goed wil benutten, moet dus niet alleen technisch kunnen uitlezen en analyseren, maar ook juridisch kunnen uitleggen waarom, onder welke rol en op welke basis dat gebeurt.
Conclusie: geen ongelukkig huwelijk, wel een relatie met spanningen
De verhouding tussen de Data Act en de AVG is niet fundamenteel tegenstrijdig. De twee regimes kunnen naast elkaar functioneren, ook bij verbonden producten en IoT-data. Maar eenvoudig is het niet.
Vooral omdat IoT-data snel persoonsgegevens worden, omdat rolverdelingen in de praktijk diffuus kunnen zijn, en omdat rechten op toegang en overdracht kunnen botsen met beveiliging, bedrijfsgeheimen of andere beschermde belangen. Voor startups en scale-ups ligt de uitdaging daarom niet in het kiezen tussen Data Act of AVG, maar in het serieus nemen van allebei.
Wie connected producten ontwikkelt of exploiteert, doet er goed aan dit onderwerp niet te zien als een compliance-detail voor later. Juist hier wordt zichtbaar hoe productdesign, data governance en juridische architectuur rechtstreeks samenkomen.
Startup-Recht heeft mij op deskundige en zorgvuldige wijze bijgestaan. De dienstverlening werd gekenmerkt door voortvarendheid, transparantie en een correcte afwikkeling, en dit alles tegen een alleszins redelijke prijsstelling. Ik acht de samenwerking betrouwbaar en aanbevelenswaardig.
