Maand: augustus 2025

12 September 2025 komt sneller dichterbij dan het lijkt. En als we niet klaar zijn voor de EU Data Act, zijn de risico’s onder meer boetes, juridische uitdagingen en mogelijke verstoringen van de dagelijkse bedrijfsvoering. Dit is niet zomaar een nieuwe nalevingsvereiste, het markeert een belangrijke verandering die van invloed zal zijn op hoe we ons succesvol aanpassen en waarmee we mogelijk moeite zullen hebben met de veranderende data-economie.

De EU Data Act (Verordening (EU) 2023/2854) is een nieuwe wet die mensen en bedrijven meer controle geeft over de data die verbonden apparaten (zoals slimme koelkasten, auto’s of fabrieksmachines) genereren. Het maakt deel uit van het plan van de EU om de data-economie eerlijker en opener te maken.

De wet creëert een evenwicht tussen het waarborgen van een eerlijke verdeling van waarde over alle deelnemers aan de data-economie en het stimuleren van datagedreven innovatie.

Geconnecteerd product betekent een apparaat dat gegevens over het gebruik of de omgeving ervan verkrijgt, genereert of verzamelt en dat productgegevens kan communiceren via een elektronische communicatiedienst, fysieke verbinding of toegang op het apparaat, en waarvan de primaire functie niet het opslaan, verwerken of verzenden van gegevens is namens een andere partij dan de gebruiker.

Het is een fysiek apparaat dat gegevens verzamelt of genereert over het gebruik of de omgeving ervan.

Die gegevens moeten communiceerbaar zijn: via wifi, Bluetooth, een kabel of zelfs via toegang op het apparaat.

Belangrijk is dat het primaire doel van het product niet alleen het opslaan/verwerken/verzenden van gegevens voor anderen is tenzij het de gebruiker zelf betreft.

Of de software en digitale platforms die nodig zijn om het connected product te bedienen of ermee te communiceren.

Tot nu toe hadden fabrikanten van apparaten vaak controle over alle gegevens die een product creëerde, zelfs als u het kocht. Dat beperkte de innovatie en beperkte gebruikers tot bepaalde merken of diensten.

Op verzoek van een gebruiker, of van een partij die namens een gebruiker optreedt, stelt de datahouder direct beschikbare gegevens beschikbaar, evenals de relevante metadata die nodig zijn om die gegevens te interpreteren en te gebruiken, zonder onnodige vertraging aan een derde partij over te dragen.

Met de Datawet heb je toegang tot je gegevens en kun je ze zelfs delen met een ander om betere analyses te verkrijgen of goedkoper onderhoud te krijgen.

Als je een verbonden product bezit of gebruikt heb je recht op toegang tot de gegevens die het tijdens normaal gebruik produceert. Dit omvat informatie zoals gebruikspatronen, prestatiestatistieken, foutenlogboeken of energieverbruik.

En je kunt deze gegevens gratis krijgen, tenzij er speciale verwerkingskosten zijn (zoals het ophalen van gearchiveerde gegevens).

Je kunt ervoor kiezen om je apparaatgegevens te delen met een ander, niet alleen met de oorspronkelijke fabrikant.

Dit biedt meer keuzes, betere prijzen en nieuwe diensten, zonder dat je aan één merk vastzit.‍

De wet verbiedt oneerlijke contractvoorwaarden, met name die welke door machtige bedrijven worden opgelegd aan kleinere bedrijven of consumenten.

Contracten met betrekking tot datatoegang moeten nu evenwichtig, transparant en onderhandelbaar zijn, met name om het midden- en kleinbedrijf en startups te beschermen.

Als uw cloud- of edge computing-diensten gebruikt, zorgt de Datawet ervoor dat u uw data en apps gemakkelijker en voordeliger naar een andere provider kunt verplaatsen.

Het geeft bedrijven de vrijheid om te kiezen voor betere of goedkopere diensten, zonder de toegang tot hun eigen data te verliezen.

In bijzondere gevallen, zoals natuurrampen, pandemieën of energietekorten, kunnen overheidsinstanties toegang vragen tot data van de private sector die kan helpen bij het beheersen van de crisis.

De meeste regels (zoals de toegang van gebruikers tot gegevens) gaan in op 12 september 2025. Ontwerpregels voor nieuwe connected producten (om gegevens toegankelijker te maken) gaan in op 12 september 2026.

Hier is de ongemakkelijke waarheid: de meeste bedrijven onderschatten nog steeds hoe ontwrichtend de Europese Datawet zal zijn. Dit gaat niet alleen over gebruikersrechten het verandert ook de manier waarop gegevens worden benaderd, gedeeld en in bedrijfsmodellen worden opgenomen.

‍

Steeds vaker gebruiken organisaties artificiële intelligentie (AI) om emoties bij mensen te herkennen. Emotieherkenning gaat echter uit van omstreden aannames over emoties en de meetbaarheid daarvan. Als het toch wordt ingezet, brengt dit risico’s en ethische vragen met zich mee. Dat concludeert de Autoriteit Persoonsgegevens (AP) in de nieuwe Rapportage AI & Algoritmes Nederland (RAN).

Je stem die wordt gebruikt om ‘je emotionele toestand’ te analyseren tijdens een gesprek met een klantenservice. Je smartwatch die meet of je stress hebt. Of een chatbot die je emoties herkent en daardoor empathischer kan reageren. Steeds meer organisaties gebruiken emotieherkenning met AI, omdat ze daarmee producten en diensten denken te kunnen verbeteren. Bijvoorbeeld bij marketing of klantcontact, maar ook in de openbare ruimte en de gezondheidszorg.

AP: ‘Zeer voorzichtig omgaan met dit soort toepassingen’

De AP bekeek de inzet van emotieherkenning met AI door klantenservices, in wearables (zoals een smartwatch) en in taalmodellen. Hieruit bleek dat niet altijd duidelijk is hoe AI-systemen emoties herkennen, en of de uitkomsten betrouwbaar zijn. Ondanks de groei van deze toepassingen, weten mensen ook niet altijd dat emotieherkenning wordt ingezet. En op basis van welke data dat gebeurt.

De AP concludeert dat er zeer voorzichtig moet worden omgegaan met dit soort toepassingen. Anders is er risico op discriminatie en inperking van de menselijke autonomie en waardigheid.

‘Emoties raken sterk aan je menselijke autonomie. Als je emoties wilt herkennen, moet dat dan ook zeer zorgvuldig en op basis van betrouwbare technologie gebeuren. Daar is nu vaak geen sprake van,’ zegt Aleid Wolfsen, voorzitter van de AP.

Emotionele uitingen zijn niet universeel én meetbaarheid is controversieel

Veel AI-systemen die zeggen emoties te kunnen herkennen, zijn gebouwd op omstreden aannames. Daardoor worden biometrische kenmerken – zoals stem, gezichtsuitdrukking of hartritme – ongenuanceerd vertaald naar emoties.

‘Het idee dat een emotie door iedereen op dezelfde manier wordt ervaren, klopt niet. Laat staan dat die emoties meetbaar zijn aan de hand van biometrie,’ aldus Wolfsen. ‘Tussen culturen kunnen er grote verschillen zijn in hoe mensen emoties ervaren, uiten en benoemen. Ook tussen individuen kunnen verschillen bestaan, bijvoorbeeld door leeftijd. Verder kun je emoties niet altijd een-op-een vertalen. Een hoge hartslag is immers niet altijd een teken van angst, en een harde stem niet altijd een uitdrukking van woede.’

Ethisch vraagstuk

Verschillende toepassingen van stemherkenning vallen straks onder specifieke AI-regelgeving en moeten nu al voldoen aan privacywetgeving, zoals de Algemene verordening gegevensbescherming (AVG). In het onderwijs en op de werkvloer is de inzet van AI-systemen voor emotieherkenning al verboden volgens de Europese AI-verordening.

Of deze technologie überhaupt wenselijk is, is een andere vraag. ‘Het is een ethisch vraagstuk of je als maatschappij het herkennen van emoties met AI toelaatbaar vindt,’ zegt Wolfsen. ‘Daarvoor is een maatschappelijke en democratische afweging nodig: of je deze systemen wilt gebruiken en zo ja, in welke vorm en waarvoor.’ 

De meeste bepalingen van een nieuwe EU-datawet treden op 12 september in werking, slechts drie maanden voordat de Europese Commissie haar pakket voor digitale vereenvoudiging presenteert: een poging om bureaucratie te verminderen en bepaalde rapportageverplichtingen terug te dringen.

In 2022 stelde de Europese Commissie de nieuwe wet voor om ervoor te zorgen dat data die met slimme apparaten – zoals connected cars of smart home-apparatuur – worden gegenereerd, eerlijk worden gedeeld. De EU wil ervoor zorgen dat de mensen die dergelijke apparaten gebruiken hiervan profiteren, aangezien steeds meer machines enorme hoeveelheden data genereren.

De EU Data Act is bedoeld om de toegankelijkheid en uitwisseling van data in de hele EU te vergroten, met name van connected producten en diensten. Bedrijven hebben tot 12 september, wanneer de wet van kracht wordt, de tijd om hun activiteiten aan te passen om naleving te garanderen en het volledige potentieel van een goed gereguleerde data-economie te benutten.

De wet beoogt een opener en concurrerender digitale markt te bevorderen, datagedreven innovatie te ontsluiten en eerlijk data delen te vergemakkelijken. Gebruikers krijgen het recht om data die door hun producten wordt gegenereerd te openen en te delen, wat leidt tot verbeterde zakelijke inzichten en operationele efficiëntie.

De wet ondersteunt ook de digitale soevereiniteit van de EU door veilige en eerlijke datapraktijken te bevorderen, met name in gevallen waarin data traditioneel werden bewaard om concurrentievoordeel te behalen.

Een connected product verzamelt bijvoorbeeld prestatie- en gebruiksgegevens doormiddel van sensoren. Voorheen had alleen de fabrikant toegang tot deze data, waardoor klanten beperkt werden in hun mogelijkheden om diensten van derden te gebruiken. De Data Act geeft gebruikers het recht om deze data vrij te raadplegen en te delen, doorbreekt vendor lock-in, bevordert eerlijke concurrentie en stelt Europese bedrijven in staat om hun eigen data volledig te benutten.

Verbeterde toegang tot data zorgt voor hoogwaardigere productinzichten, beter geïnformeerde besluitvorming en verhoogde efficiëntie.

De implementatie van de Data Act betekent echter dat bedrijven hun datastrategieën moeten herzien om ervoor te zorgen dat hun productontwerpen voldoen aan de verplichtingen inzake datatoegang.

Productontwerpteams zijn verantwoordelijk voor de ontwikkeling van connected producten die voldoen aan de verplichtingen inzake datadeling. Data governance- en analyseteams moeten ervoor zorgen dat data nauwkeurig geclassificeerd, toegankelijk en traceerbaar is.

Fiscaal professionals moeten zich ook bewust zijn van de mogelijke implicaties van de Data Act, met name op gebieden waar datatoegang en -deling kruisen met transfer pricing, digitale rapportageverplichtingen en fiscale technologiesystemen. Samenwerking tussen deze rollen is essentieel om compliance te waarborgen en strategische waarde te ontsluiten.

Verplichtingen inzake datatoegang en -deling. Connected producten moeten zo ontworpen zijn dat datatoegang mogelijk is. Als toegang niet direct beschikbaar is, hebben gebruikers het recht om deze aan te vragen of te delen met een derde partij. In ruil daarvoor kunnen gegevenshouders een eerlijke en redelijke compensatie eisen.

Eerlijkheid in datacontracten. Er zullen waarborgen worden ingevoerd tegen oneerlijke contractvoorwaarden, met name in gevallen van machtsonevenwichtigheid, zoals wanneer kleine en middelgrote ondernemingen onderhandelen met grotere bedrijven.

Dataportabiliteit en overstappen naar de cloud. Het vergemakkelijken van de overstap tussen cloud en vergelijkbare gegevensverwerkingsdiensten is een belangrijke doelstelling.

Interoperabiliteit is essentieel en vereist gestandaardiseerde API’s (application programming interfaces) en geautomatiseerde exporttools, waarvoor mogelijk aanzienlijke updates van oudere systemen nodig zijn. Product- en systeemontwerpen moeten worden beoordeeld om ervoor te zorgen dat ze datatoegang en interoperabiliteit ondersteunen.

Afstemming op de Algemene Verordening Gegevensbescherming en andere EU-wetgeving inzake gegevensbescherming. De Datawet zal De AVG implementeren door te focussen op niet-persoonlijke en industriële gegevens, en er tegelijkertijd voor te zorgen dat het delen van persoonsgegevens AVG-conform blijft.

De Datawet stelt dat deze de toepassing van de AVG niet zal beïnvloeden en tegelijkertijd aansluit bij de Data Governance Act en de Digital Markets Act, met als doel een coherent wettelijk kader te vormen voor datatoegang, -deling en -interoperabiliteit.

Data governance als strategische facilitator. De Datawet benadrukt de noodzaak van robuuste data governance-kaders. Organisaties moeten data-assets gedurende hun levenscyclus kunnen identificeren, classificeren en beheren om te voldoen aan de vereisten voor toegang, -deling en -interoperabiliteit.

Een geavanceerd data governance-kader, versterkt door een sterke juridische governance-structuur, is essentieel om de complexiteit van de regelgeving te doorgronden en compliance om te zetten in een strategisch concurrentievoordeel.

Hoogwaardige, diverse en uitgebreide datasets zijn essentieel voor het verbeteren van de prestaties van machine learning-modellen. Webscraping helpt bij het verzamelen van de benodigde data om robuustere en generaliseerbare modellen te ontwikkelen.

Webscraping brengt verschillende juridische uitdagingen met zich mee, zoals kwesties met betrekking tot gegevensbescherming, auteursrecht en contractrecht. Problemen met intellectueel eigendom ontstaan omdat websitecontent, zoals tekst, afbeeldingen en data, vaak auteursrechtelijk beschermd is en scraping zonder toestemming van de auteursrechthebbende kan leiden tot claims wegens inbreuk.

Bovendien verbieden veel websites scraping in hun servicevoorwaarden. Het schenden van deze voorwaarden kan ook leiden tot juridische stappen tegen de beheerders van webscrapers.

De Algemene Verordening Gegevensbescherming van de EU definieert persoonsgegevens als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Webscraping brengt aanzienlijke uitdagingen met zich mee op het gebied van gegevensbescherming, omdat het vaak persoonsgegevens verzamelt, waaronder gevoelige gegevens, zonder medeweten of toestemming van de betrokkenen.

In de EU beperkt de wetgeving inzake gegevensbescherming het legale gebruik van webscraping. De AVG definieert verwerking als elke bewerking met betrekking tot persoonsgegevens, waaronder het verzamelen, ordenen, opslaan, wijzigen, ophalen, gebruiken en verspreiden ervan. Omdat webscraping deze activiteiten omvat, worden exploitanten beschouwd als verwerkingsverantwoordelijken. Dit betekent dat zij moeten voldoen aan de verplichtingen van verwerkingsverantwoordelijken, waaronder het hebben van een wettelijke basis voor gegevensverwerking, het hebben van een legitiem doel, bijvoorbeeld het trainen van een model, en het naleven van de beginselen van transparantie, dataminimalisatie, opslagbeperking, nauwkeurigheid, beveiliging, vertrouwelijkheid, integriteit en verantwoordingsplicht.

Onder de AVG moet elke verwerking van persoonsgegevens worden gerechtvaardigd door een legitieme wettelijke basis. Hoewel de Europese wet inzake kunstmatige intelligentie (AI) een alomvattend wettelijk kader beoogt te creëren voor de implementatie en werking van AI-systemen, biedt deze momenteel geen specifieke wettelijke basis voor de initiële verzameling van persoonsgegevens voor het trainen van AI-tools.

In plaats daarvan richt de AI-wet zich op gegevensverwerking binnen AI-sandboxes en ontwikkelomgevingen, waardoor de rechtvaardiging voor de initiële gegevensverzameling onder de AVG valt. Organisaties die webscraping gebruiken, moeten er daarom voor zorgen dat ze een wettelijke basis hebben onder de AVG voor de verwerking van zowel gewone als bijzondere categorieën persoonsgegevens, rekening houdend met verschillende rechtsgronden.

Toestemming is waarschijnlijk geen geldige wettelijke basis voor webscraping, aangezien hiervoor de geïnformeerde en vrijwillige toestemming vereist is van de personen van wie de gegevens worden verzameld. Het verkrijgen van dergelijke toestemming is praktisch onmogelijk in de context van geautomatiseerde en grootschalige gegevensverzameling, met name gezien het “zwarte doos” karakter van AI. Deze complexiteit compliceert de kwestie van toestemming voor verdere gegevensverwerking verder.

Verwerking op basis van contractuele noodzaak vereist een directe contractuele relatie tussen de verwerkingsverantwoordelijke en de betrokkene. Bij webscraping bestaat er doorgaans geen dergelijke relatie met de personen van wie de gegevens worden verzameld. Daarom is deze wettelijke basis over het algemeen niet van toepassing om webscrapingactiviteiten te rechtvaardigen.

Bovendien gelden er aanvullende beperkingen onder artikel 9 van de AVG wanneer webscraping bijzondere categorieën persoonsgegevens verzamelt, zoals medische informatie. Deze beperkingen omvatten de noodzaak van uitdrukkelijke toestemming of het voldoen aan specifieke voorwaarden, zoals verwerking voor zwaarwegende algemene belangen of wetenschappelijk onderzoek.

De Task Force van het Europees Comité voor Gegevensbescherming herinnert ons eraan dat bij de juridische beoordeling van de grondslag voor gerechtvaardigd belang rekening moet worden gehouden met drie belangrijke criteria: het bestaan van een gerechtvaardigd belang; de noodzaak van verwerking, waarbij ervoor wordt gezorgd dat de gegevens toereikend, relevant en beperkt zijn tot wat noodzakelijk is; en de afweging van belangen. Dit vereist een zorgvuldige afweging van de fundamentele rechten en vrijheden van betrokkenen ten opzichte van de legitieme belangen van de verwerkingsverantwoordelijke, rekening houdend met de redelijke verwachtingen van betrokkenen. De taskforce stelt voor dat waarborgen technische maatregelen kunnen omvatten, zoals het definiëren van precieze verzamelingscriteria en het waarborgen van bepaalde gegevenscategorieën.

Oriëntaties of bronnen, zoals openbare socialemediaprofielen, zijn uitgesloten van gegevensverzameling.

De Autoriteit Persoonsgegevens (AP), stelt in haar richtlijnen dat alleen wettelijk beschermde belangen als legitieme belangen kwalificeren en dat puur commerciële belangen onvoldoende zijn. De CNIL stelt dat “het commerciële doel van de ontwikkeling van een AI-systeem niet inherent in tegenspraak is met het gebruik van de wettelijke basis van legitiem belang.” De AP is nauwkeurig en stelt dat een legitiem belang kan worden vastgesteld als een organisatie of een derde partij een aanvullend wettelijk erkend belang heeft, zoals het verbeteren van systemen voor fraudepreventie of informatietechnologiebeveiliging.

Het standpunt van de AP geeft aan dat het vaststellen van een legitiem belang bij webscraping lastig en vaak onpraktisch is. De EDPB benadrukt daarentegen de noodzaak van een beoordeling per geval, rekening houdend met de verzameling en verwerking van “gewone” persoonsgegevens en bijzondere categorieën persoonsgegevens waarvoor aanvullende waarborgen gelden.

De AP, het EDPB en de CNIL bevelen ook specifieke waarborgen aan om de relevante gegevensbeheerder die gebruikmaakt van webscrapingtechnieken te bevoordelen. Deze waarborgen, zoals vermeld door de CNIL, omvatten verplichte maatregelen om dataminimalisatie te garanderen, zoals het vaststellen van precieze criteria voor dataverzameling en het toepassen van filters om onnodige gegevens zoals banktransacties, geolocatie en gevoelige gegevens uit te sluiten, en het onmiddellijk verwijderen van irrelevante gegevens zodra deze zijn geïdentificeerd, bijvoorbeeld het verzamelen van pseudoniemen op forums wanneer alleen de inhoud van reacties nodig is; en het toepassen van aanvullende waarborgen.

Het uitsluiten van dataverzameling van vooraf gedefinieerde sites met gevoelige informatie, zoals pornografische sites, gezondheidsforums en sociale netwerken die voornamelijk worden gebruikt door minderjarigen, genealogische sites of sites met uitgebreide persoonsgegevens.

Het vermijden van data van sites die het scrapen via robot.txt- of ai.txt-bestanden expliciet verbieden.

Het implementeren van een zwarte lijst voor personen die bezwaar maken tegen dataverzameling op specifieke websites, zelfs voordat de verzameling begint.

Het waarborgen van het recht van personen om bezwaar te maken tegen dataverzameling.

Beperk de gegevensverzameling tot vrij toegankelijke gegevens en expliciet openbare gebruikersgegevens, om verlies van controle over privé-informatie te voorkomen, bijvoorbeeld door privéberichten op sociale netwerken uit te sluiten.

Pas direct na het verzamelen anonimiserings- of pseudonimiseringsmaatregelen toe om de gegevensbeveiliging te verbeteren.

Informeer gebruikers over de betrokken websites en gegevensverzamelingspraktijken via webscrapingmeldingen.

Voorkom kruisverwijzingen van persoonsgegevens met andere identificatoren, tenzij dit noodzakelijk is voor de ontwikkeling van AI-systemen.

Registreer contactgegevens bij de CNIL om personen te informeren en hen in staat te stellen hun AVG-rechten uit te oefenen bij de verwerkingsverantwoordelijke.

Webscraping is een integraal onderdeel van de ontwikkeling van AI, maar brengt aanzienlijke juridische uitdagingen met zich mee, met name met betrekking tot gegevensbescherming. Hoewel het gerechtvaardigde belang van de verwerkingsverantwoordelijke of een derde als rechtsgrondslag onder de AVG gegevensverzameling kan rechtvaardigen indien een gerechtvaardigd belang is vastgesteld en afgewogen tegen de rechten van de betrokkene, moeten er uitgebreide waarborgen worden geïmplementeerd om juridische risico’s per geval te beperken. De veranderende regelgeving, zal waarschijnlijk meer duidelijkheid verschaffen over toegestane praktijken voor het verzamelen van gegevens. De huidige onzekerheden vereisen echter voorzichtige en verantwoordelijke praktijken voor gegevensverwerking.