De Data Act en cloudcontracten: wat startups moeten weten over eenzijdige wijzigingen

De Data Act als nieuwe maatstaf voor cloudcontracten

De Data Act wordt vaak vooral gezien als Europese wetgeving over data delen, IoT en interoperabiliteit. Dat beeld klopt, maar is niet compleet. Voor B2B-cloudcontracten is er namelijk nog een ander relevant spoor: de wet introduceert een kader voor eerlijke, redelijke en niet-discriminerende contractvoorwaarden, ook wel FRAND genoemd.

Voor startups en scale-ups is dat geen theoretisch detail. Veel jonge techbedrijven bouwen hun product, infrastructuur en interne processen op cloudservices van een beperkt aantal leveranciers. Juist dan maakt het veel uit of een provider zelfstandig voorwaarden, service levels of andere contractuele afspraken kan aanpassen. Wat eerst een praktische flexibiliteit leek, kan in de praktijk omslaan in onzekerheid, vendor lock-in of extra kosten.

Bij Startup-Recht zien we regelmatig dat founders en legal teams vooral letten op prijs, uptime en security. Maar minstens zo belangrijk is de wijzigingsclausule. De Data Act en de bijbehorende standaardclausules van de Europese Commissie leggen daar een nieuwe lat langs.

Waarom de Data Act ook relevant is voor cloudcontracten

Sinds 12 september 2025 is de Data Act van toepassing. In de markt staat die vooral bekend als wetgeving die toegang tot en gebruik van data moet bevorderen. Daarnaast regelt de Data Act onder meer dataportabiliteit, interoperabiliteit en overstappen tussen cloudproviders.

Dat laatste is voor B2B-cloudcontracten essentieel. De Europese wetgever wil drempels wegnemen die zakelijke klanten vasthouden aan één provider. Daarom bevat de Data Act regels over switching en exit, zoals het gefaseerd afbouwen van overstapkosten, technische ondersteuning bij migratie en continuïteit van dienstverlening tijdens de overgang.

Voor startups en scale-ups is dat relevant omdat afhankelijkheid van één cloudleverancier vaak sneller ontstaat dan gedacht. Zeker in groeifases worden technische keuzes onder tijdsdruk gemaakt. Wat begint als een efficiënte keuze voor één platform, kan later uitgroeien tot een contractuele en operationele afhankelijkheid die lastig terug te draaien is. De Data Act probeert die afhankelijkheid niet volledig weg te nemen, maar wel te begrenzen.

Naast switching en exit is vooral artikel 41 van belang. Dat artikel gaat over eerlijke, redelijke en niet-discriminerende voorwaarden in B2B-cloudcontracten. Om partijen daarbij te helpen heeft de Europese Commissie standaardcontractsbepalingen gepubliceerd. Die zijn niet verplicht, maar ze laten wel zien hoe de Commissie vindt dat een evenwichtige clouddeal eruit zou moeten zien.

Eenzijdige wijzigingsrechten zijn in cloudcontracten heel gebruikelijk

In veel cloudcontracten behoudt de provider zich het recht voor om voorwaarden of services eenzijdig te wijzigen. Soms staat dat expliciet in de overeenkomst. Soms gebeurt het indirect, bijvoorbeeld doordat het contract verwijst naar online documenten, zoals terms of service, SLA’s of policies, die later kunnen worden aangepast zonder actieve instemming van de klant.

Dat is vanuit het perspectief van de provider goed te verklaren. Cloudservices worden meestal op schaal geleverd aan veel verschillende klanten tegelijk. Standaardisatie is dan cruciaal. Providers willen niet voor iedere klant opnieuw moeten onderhandelen als een dienst wordt aangepast, nieuwe functionaliteit wordt uitgerold of een securitymaatregel nodig is.

Daar komt bij dat de cloudmarkt technisch snel beweegt. Nieuwe features, kwetsbaarheden, compliance-eisen en marktstandaarden volgen elkaar in hoog tempo op. Vanuit de leverancier bezien is het logisch om dan ruimte te houden om contracten en servicebeschrijvingen mee te laten bewegen. Ook juridisch en operationeel is die flexibiliteit aantrekkelijk, zeker voor aanbieders die in meerdere landen actief zijn.

Toch zit daar voor klanten een duidelijke keerzijde aan. Een brede wijzigingsbevoegdheid kan leiden tot onzekerheid over wat nu precies is afgesproken en wat morgen nog geldt. Denk aan wijzigingen in service levels, prijsmechanismen, functionaliteiten of de manier waarop een dienst wordt geleverd. Voor een startup kan dat direct doorwerken in productontwikkeling, interne processen, compliance en budgettering.

Die risico’s worden groter wanneer een bedrijf sterk afhankelijk is van één provider en weinig effectieve remedies heeft. In zo’n situatie kan een klant feitelijk weinig anders doen dan een wijziging accepteren, ook als die commercieel of operationeel ongunstig uitpakt.

Wat de Data Act standaardclausules hierover proberen te veranderen

Op 19 november 2025 publiceerde de Europese Commissie vrijwillige standaardcontractsbepalingen voor cloudcontracten onder de Data Act. Een belangrijk onderdeel daarvan is de non-amendment benadering: als uitgangspunt mag geen van beide partijen een cloudcontract eenzijdig wijzigen.

Dat is een opvallend vertrekpunt. In de cloudpraktijk is een zekere mate van eenzijdige aanpassing juist gebruikelijk. De standaardclausules draaien dat om en vertrekken vanuit contractuele stabiliteit. Het idee daarachter is helder: partijen moeten kunnen vertrouwen op de rechten en verplichtingen die zij bij het sluiten van de overeenkomst hebben afgesproken.

Voor cloudklanten klinkt dat aantrekkelijk. Meer voorspelbaarheid betekent in beginsel minder verrassingen. Voor startups en scale-ups is dat extra belangrijk, omdat zij vaak met beperkte juridische en operationele capaciteit werken. Een onverwachte wijziging in een kernservice kan disproportioneel veel impact hebben op een klein of groeiend team.

Tegelijkertijd bouwt de Commissie wel uitzonderingen in. De provider mag onder omstandigheden toch eenzijdige wijzigingen voorstellen. Daarmee probeert het model een middenweg te vinden tussen stabiliteit voor de klant en noodzakelijke flexibiliteit voor de leverancier.

De eerste uitzondering: wijzigingen vanwege nieuwe wetgeving

De eerste uitzondering ziet op wijzigingen die nodig zijn om te voldoen aan nieuwe dwingende wetgeving die nog niet gold op het moment dat het cloudcontract werd gesloten. In zo’n geval mag de provider de overeenkomst aanpassen om compliant te blijven.

Dat klinkt praktisch, maar juist hier ontstaan lastige vragen. De standaardclausules werken vooral vanuit de positie van de cloudprovider. Zij regelen niet echt wat er moet gebeuren als nieuwe regelgeving juist aan de kant van de klant tot aanvullende eisen leidt. Dat kan voor bepaalde sectoren of klantgroepen heel relevant zijn.

Voor techbedrijven die actief zijn in gereguleerde markten kan dat schuren. Niet elke wettelijke wijziging raakt immers provider en klant op dezelfde manier. Soms ontstaat zelfs spanning tussen regels die op de leverancier van toepassing zijn en regels die voor de afnemer gelden. Dan is het niet genoeg om alleen te zeggen dat de provider mag aanpassen vanwege wetgeving. De echte vraag is hoe partijen omgaan met botsende compliancebelangen.

Daar komt nog iets bij. Nieuwe wetgeving laat ruimte voor interpretatie. Een provider kan menen dat een bepaalde wijziging juridisch noodzakelijk is, terwijl de klant dat anders ziet. Ook andere marktpartijen kunnen tot een andere uitleg komen. De standaardclausules bieden voor zulke interpretatieverschillen geen duidelijke oplossing. Voor de klant is dat een zwak punt, omdat een beroep op “nieuwe wetgeving” daardoor al snel een lastig te toetsen grond kan worden voor een contractswijziging.

Voor startups en scale-ups betekent dit dat een wetswijzigingsclausule niet te open moet zijn. In de praktijk is het verstandig dat de overeenkomst ruimte laat voor overleg, toelichting en een gestructureerd proces wanneer een provider zich op nieuwe wetgeving beroept. Juist daar zit vaak het verschil tussen een werkbare en een risicovolle clouddeal.

De tweede uitzondering: wijzigingen die gunstig zijn voor de klant

De tweede uitzondering betreft wijzigingen die voordelig zijn voor het gebruik van de cloudservice door de klant. De standaardclausules noemen bijvoorbeeld substantiële verbeteringen van de dienst en updates die nodig zijn voor securitydoeleinden.

Op papier klinkt ook dit logisch. Niet elke eenzijdige wijziging is nadelig. Sommige aanpassingen maken een dienst beter, veiliger of efficiënter. Toch is de kwalificatie “gunstig voor de klant” minder eenvoudig dan zij lijkt.

Een nieuwe functionaliteit kan voor de ene klant een verbetering zijn en voor de andere klant juist extra werk of extra risico meebrengen. Een security-update kan noodzakelijk zijn, maar ook impact hebben op integraties, interne processen of compliance. De vraag is dus niet alleen of een wijziging abstract gezien positief is, maar ook wat de concrete gevolgen zijn voor de specifieke klant.

Juist daarom schrijven de standaardclausules voor dat de provider zulke wijzigingen niet zomaar mag doorvoeren. Er gelden informatie- en transparantieverplichtingen. De klant moet tijdig, in beginsel minimaal dertig kalenderdagen van tevoren, worden geïnformeerd. Bovendien moet de provider duidelijk uitleggen wat de wijziging inhoudt, waarom die volgens de provider in het voordeel van de klant is, wat het verschil is met de bestaande situatie en welke contractuele, financiële, organisatorische, operationele en compliancegevolgen de wijziging kan hebben.

Dat is een stap vooruit. Het dwingt providers om hun wijzigingsvoorstel concreter en transparanter te maken. Voor klanten is dat waardevol, omdat zij zo beter kunnen beoordelen wat een aanpassing in de praktijk betekent.

Toch blijft ook hier een belangrijk punt liggen. Als aan de voorwaarden is voldaan, gaan de standaardclausules ervan uit dat de wijziging als geaccepteerd geldt. Met andere woorden: er zit geen volwaardige ingebouwde bezwaarprocedure in. Voor cloudklanten is dat een relevant gemis. Want transparantie is nuttig, maar zonder duidelijk recht om bezwaar te maken of het contract te beëindigen bij een onwenselijke wijziging, blijft de onderhandelingspositie beperkt.

Welke onderdelen niet eenzijdig aangepast mogen worden

De standaardclausules trekken op een aantal onderwerpen een duidelijke grens. Bepaalde contractuele onderdelen mogen niet eenzijdig door de provider worden gewijzigd, ook niet als de wijziging volgens de provider gunstig zou zijn voor de klant.

Het gaat onder meer om de keuze van toepasselijk recht en forum, de procedure voor contractswijziging, looptijd en beëindiging, aansprakelijkheid, vertrouwelijkheid, afspraken over onderaannemers en het wijzigen daarvan, toegangs- en informatierechten, kwalitatieve service level-doelstellingen, prijsmechanismen en andere financiële voorwaarden, en de locatie van verwerking of opslag van data buiten de EU.

Voor startups en scale-ups is dat een belangrijk signaal. Dit zijn precies de onderdelen die veel invloed hebben op risicoverdeling, governance en operationele continuïteit. Een prijswijziging, een wijziging in service levels of een verschuiving in datalocatie kan een direct effect hebben op runway, compliance en productarchitectuur. Dat de standaardclausules op deze punten wederzijdse instemming verlangen, sluit goed aan bij het idee dat de kern van de deal niet stilletjes moet kunnen verschuiven.

Wat gebeurt er als de provider zich niet aan de regels houdt?

Als de provider de voorwaarden voor een toegestane eenzijdige wijziging niet naleeft, geven de standaardclausules de klant verschillende remedies. De klant moet de overeenkomst dan zonder extra kosten kunnen beëindigen en schadevergoeding kunnen vorderen, waaronder ook kosten van overstappen naar een andere provider kunnen vallen.

Daarnaast blijven andere rechtsmiddelen in beginsel open. De klant kan dus meer doen dan alleen opzeggen. Dat maakt de regeling serieuzer dan een louter symbolische informatieplicht.

Voor de praktijk is dit relevant omdat remedies pas echt betekenis geven aan contractuele grenzen. Een wijzigingsclausule zonder consequenties bij misbruik is vaak weinig waard. Tegelijkertijd blijft de vraag hoeveel comfort deze remedies in de praktijk bieden aan klanten die diep in een cloudomgeving zijn ingebed. Op papier kan beëindiging een sterke optie zijn, maar operationeel is dat lang niet altijd een aantrekkelijk of haalbaar scenario.

Juist daarom is het voor startups slim om niet alleen te kijken naar het recht om weg te gaan, maar ook naar de vraag hoe haalbaar vertrek feitelijk is. Een exitrecht zonder realistische overstapmogelijkheid biedt minder bescherming dan het op het eerste gezicht lijkt.

Waarom dit voor startups en scale-ups extra belangrijk is

Voor grote ondernemingen is een ongunstige contractswijziging vaak vervelend. Voor een startup of scale-up kan diezelfde wijziging direct strategisch raken. Denk aan een wijziging die de integratie met het product raakt, nieuwe interne werkzaamheden oplevert of onverwachte financiële effecten heeft. In een groeifase tellen die gevolgen snel op.

Daar komt bij dat jonge techbedrijven vaak werken met standaardvoorwaarden van grote leveranciers. De onderhandelingsruimte is dan beperkt. Juist in dat speelveld zijn normen over redelijkheid, transparantie en contractuele stabiliteit belangrijk.

Bij Startup-Recht zien we dan ook dat cloudcontracten vaak pas echt aandacht krijgen wanneer er al iets schuurt: een prijsverhoging, een aangepaste SLA, een security-update met impact op het product, of een exitvraagstuk na snelle groei. De Data Act maakt duidelijk dat die onderwerpen niet los van elkaar staan. Eenzijdige wijzigingsrechten, overstapmogelijkheden en contractuele fairness hangen nauw samen.

Voor investeerders en managementteams is dat ook relevant. Een onderneming die sterk leunt op één cloudprovider, maar contractueel weinig grip heeft op wijzigingen, bouwt een operationeel risico op. Dat hoeft geen dealbreaker te zijn, maar het is wel iets dat vroeg in kaart moet worden gebracht.

Worden deze standaardclausules straks de marktstandaard?

De standaardclausules zijn vrijwillig. Dat betekent dat partijen niet verplicht zijn ze over te nemen. Toch is het goed mogelijk dat ze in de praktijk meer gewicht krijgen dan hun formele status doet vermoeden.

Omdat ze door de Europese Commissie zijn gepubliceerd en aansluiten bij de uitgangspunten van de Data Act, kunnen ze uitgroeien tot een referentiepunt voor wat als eerlijk en evenwichtig wordt gezien in B2B-cloudcontracten. Dat kan invloed hebben op hoe marktpartijen onderhandelen, maar ook op hoe toezichthouders, rechters en publieke afnemers naar cloudcontracten kijken.

Dat betekent niet automatisch dat de standaardclausules letterlijk de nieuwe norm worden. Daarvoor bevatten ze ook te veel open vragen en praktische spanningen. Zo bieden ze de klant niet echt een uitgewerkt bezwaarmechanisme, terwijl de provider onder bepaalde omstandigheden wel ruimte houdt om wijzigingen door te voeren. Ook kunnen de clausules voor providers leiden tot meer rigiditeit, meer contractmanagement en mogelijk hogere uitvoeringskosten.

De kans is daarom reëel dat de markt deze bepalingen niet één op één overneemt, maar ze wel gebruikt als onderhandelingsanker. Voor startups en scale-ups is dat eigenlijk al relevant genoeg. Ook wanneer de modelclausules niet letterlijk in een contract terechtkomen, kunnen zij de toon zetten voor wat je redelijkerwijs mag vragen of verwachten in een cloudonderhandeling.

Waar je in de praktijk op moet letten

De belangrijkste les is dat een wijzigingsclausule in een cloudcontract geen bijzaak is. Voor startups en scale-ups is het verstandig om scherp te kijken naar de manier waarop wijzigingen contractueel zijn geregeld. Niet alleen in de hoofdovereenkomst, maar juist ook in online documenten waarnaar wordt verwezen.

Let daarbij in elk geval op de vraag of de provider wijzigingen mag doorvoeren zonder actieve instemming, welke onderwerpen daarvan zijn uitgezonderd, hoeveel voorafgaande kennisgeving wordt gegeven en welke informatie de provider moet verstrekken over impact en reden van de wijziging. Net zo belangrijk is of er ruimte is voor overleg, bezwaar of beëindiging als een voorgestelde wijziging voor jouw organisatie onwerkbaar uitpakt.

Ook de samenhang met switching en exit verdient aandacht. Hoe afhankelijker je bent van één leverancier, hoe belangrijker het wordt om niet alleen te kijken naar de wijzigingsbevoegdheid zelf, maar ook naar de praktische uitvoerbaarheid van een overstap als het misgaat.

Conclusie

De Data Act gaat dus over meer dan data delen alleen. Voor cloudcontracten in B2B-verhoudingen zet de wet ook druk op een praktijk die jarenlang vrij normaal was: brede eenzijdige wijzigingsrechten voor cloudproviders.

De standaardclausules van de Europese Commissie proberen meer stabiliteit en fairness te brengen, maar doen dat nog niet helemaal zonder frictie. Ze bieden cloudklanten meer houvast, vooral via transparantie, beperkingen op bepaalde kernonderwerpen en remedies bij onjuiste wijzigingen. Tegelijkertijd blijven er belangrijke vragen open, bijvoorbeeld over bezwaarrechten, interpretatie van nieuwe wetgeving en de praktische balans tussen bescherming van klanten en noodzakelijke flexibiliteit voor providers.

Voor startups en scale-ups is de boodschap duidelijk. Wie cloudcontracten sluit of heronderhandelt, doet er goed aan om wijzigingsrechten niet weg te zetten als standaard boilerplate. Juist daar wordt bepaald hoeveel grip je houdt op kosten, compliance, continuïteit en schaalbaarheid wanneer je bedrijf groeit.

‍