Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Sinds kort heb ik zonnepanelen op mijn dak. Dit systeem genereert data per paneel en deze data wordt (jammer genoeg) geupload naar de clouddienst van leverancier Enphase. De API om daar zelf bij te kunnen is onlangs opgeheven, maar hoe zit dat juridisch?

Antwoord: De discussie achter die laatste link citeert het fundamentele argument: het is “MIJN” data, want hij komt uit mijn apparaten dus ik wil deze gewoon hebben. En ja, dan zeg ik altijd “data is niets” oftewel je hebt pech, maar dat is anno 2024 een klein beetje achterhaald.

Op 11 januari jl. is de Gegevenswet oftewel Data Act van kracht geworden. Deze verordening bevat expliciete regels over toegang tot data, met name ingegeven door de vraag om consumentenproducten (internet of things) uit te kunnen lezen. De kern is artikel 3:

Connected products shall be designed and manufactured, and related services shall be designed and provided, in such a manner that product data and related service data, including the relevant metadata necessary to interpret and use those data, are, by default, easily, securely, free of charge, in a comprehensive, structured, commonly used and machine-readable format, and, where relevant and technically feasible, directly accessible to the user.

In gewoon Nederlands: je moet bij alle geproduceerde data kunnen en wel op een manier dat je er ook wat mee kunt doen. Bij aanschaf moet je vooraf kunnen achterhalen welke data en hoe, en welk volume je mag verwachten.

Dan heb je grapjassen die je snel een NDA opleggen want die data is zeer vertrouwelijk bedrijfsgeheim. Dat mag niet, zie artikel 5 waarin staat dat je die data aan een ander moet kunnen geven om er daar wat mee te doen:

Upon request by a user, or by a party acting on behalf of a user, the data holder shall make available readily available data, as well as the relevant metadata necessary to interpret and use those data, to a third party without undue delay, of the same quality as is available to the data holder, easily, securely, free of charge to the user, in a comprehensive, structured, commonly used and machine-readable format and, where relevant and technically feasible, continuously and in real-time.

Beoogde use case is dat je zo jouw data in andermans app kunt gieten, zoals bij een dashboard van al je connected devices. Als data écht bedrijfsgeheim is, dan moeten de datahouder en de beoogde ontvanger (de app-exploitant, in het voorbeeld) afspraken maken over geheimhouding.

Hiermee is de situatie van de vraagsteller dus wezenlijk veranderd. Op grond van de Data Act kan zhij dus toegang tot die data eisen en wel zonder bijkomende kosten (“free of charge”, immers) en die vervolgens naar een eigen gegevensverwerkingstool gieten.

Men moet alleen nog wel even wachten: pas op 11 september 2025 (art. 50, 20 maanden na 11 januari) zullen alle bepalingen van kracht worden. Pas vanaf dat moment kan men juridisch afdwingen dat deze regels worden gevolgd, en kunnen toezichthouders boetes opleggen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.