EU Data Act in de praktijk

De uitdaging van de EU Data Act in de praktijk

---

De EU Data Act verplicht bedrijven om transparant om te gaan met de data die hun systemen en IoT-apparaten genereren. In theorie klinkt dit eenvoudig: gebruikers krijgen recht op toegang tot hun eigen data, en bedrijven moeten deze data onder bepaalde voorwaarden delen met derden of overheden.

In de praktijk blijkt dit echter een enorme uitdaging. Veel organisaties hebben geen volledig overzicht van hun data-assets: waar de data ontstaat, hoe ze door API’s of dashboards stroomt, welke kopieën in back-ups staan, en welke datasets kritieke bedrijfsinformatie of persoonsgegevens bevatten. Zonder zo’n overzicht riskeren bedrijven ofwel te veel data te delen (met verlies van concurrentievoordeel), ofwel te weinig (met risico op non-compliance en sancties).

Binnen 12 maanden kan een bedrijf dit realiseren door een gefaseerde aanpak:

1. Inventarisatie – alle systemen, applicaties en datastromen in kaart brengen.
2. Classificatie – data verdelen in PII, bedrijfskritisch, gereguleerd en open.
3. Blueprint – een globale data-architectuur tekenen die de lifecycle toont (creatie, gebruik, uitwisseling, back-up, archivering).
4. Governance & beleid – policies opstellen die de Data Act combineren met GDPR en NIS2.

Zo wordt de Data Act geen papieren verplichting, maar een strategische hefboom voor beter databeheer en cybersecurity.

Qfirst overdenking: “Veel bedrijven onderschatten de Data Act: ze denken dat het enkel om IoT-data gaat, maar vergeten dat back-ups, API’s en dashboards óók toegangspunten zijn die in scope kunnen vallen.”

De belofte en uitdaging van Europese datadeling

Europa zet de komende jaren zwaar in op data als motor van de digitale economie. Met de combinatie van de Data Governance Act (DGA) en de EU Data Act krijgt de EU een juridisch kader dat niet alleen vertrouwen in datadeling moet bevorderen, maar ook de toegang tot data structureel regelt. Samen vormen deze wetgevingen de ruggengraat van de Europese datastrategie, met directe gevolgen voor bedrijven in alle sectoren.

Maar wat betekent dit concreet in de praktijk?

De uitdaging van het bedrijf MSP SOC Extended

Toen MSP SOC Extended, een middelgrote managed service provider met een eigen SOC, de opdracht kreeg om een data-inventaris te maken, dachten de managers dat het om een simpele lijst van applicaties en databases ging.

Maar naarmate het team dieper keek, ontdekten ze hoe complex hun datalandschap eigenlijk was. ERP-systemen, CRM, Power BI-dashboards, cloudopslag in Microsoft 365, back-ups in meerdere regio’s en een groeiend IoT-lab in hun SOC. Elk systeem had eigen datastromen, API-koppelingen en archiveringsregels.

De hamvraag werd pijnlijk duidelijk: welke data valt onder GDPR, welke onder de Data Act, en welke is zo bedrijfskritisch dat ze absoluut afgeschermd moet worden?

Qfirst overdenking: “De Europese datastrategie predikt samenwerking, maar wat als commerciële belangen botsen met het idee van ‘data als publiek goed’? Vertrouwen bouwen is één ding, het afdwingen van eerlijke toegang is een ander.”

---

Van vertrouwen naar verplichting

DGA in de praktijk bij MSP SOC Extended

De Data Governance Act (DGA) vraagt van MSP SOC Extended om vertrouwen en transparantie te tonen in hun datadeling. Het SOC-team ziet kansen: via een neutrale data-intermediair kunnen ze geanonimiseerde threat intelligence delen met onderzoeksinstellingen, zonder dat klanten bang dienen te zijn voor misbruik.

Sinds september 2023 van kracht, legt de DGA de nadruk op vertrouwen en structuren voor datadeling. Kernpunten:

• Data-intermediairs: neutrale spelers die als “notaris” optreden bij datadeling.
• Data altruïsme: burgers en bedrijven kunnen vrijwillig data beschikbaar stellen voor maatschappelijk nut.
• Europese dataruimtes: sectorale ecosystemen waar data veilig en transparant gedeeld kan worden.

Kortom: de DGA bepaalt hoe data veilig gedeeld kan worden.

De DGA helpt hen dus vooral om een governance-structuur te bouwen voor vrijwillige samenwerking.

Data Act als gamechanger

De Data Act brengt andere verplichtingen met zich mee. Klanten van MSP SOC Extended gebruiken IoT-devices in kritieke netwerken. Die klanten krijgen volgens de wet het recht om de sensordata van hun eigen apparaten op te vragen en te delen met externe cybersecuritypartners.

De Data Act (van toepassing vanaf 2025/2026) gaat verder: ze legt rechten en plichten vast rond toegang tot data, met name IoT- en machinedata. Belangrijke bepalingen:

• Gebruikers krijgen recht op toegang tot de data die hun apparaten genereren.
• Bedrijven moeten data delen met derden op verzoek van de gebruiker.
• Overheden kunnen in crisissituaties toegang afdwingen.
• Cloudproviders worden verplicht interoperabiliteit en migratie mogelijk te maken.

Kortom: de Data Act regelt wie toegang krijgt tot data, en onder welke voorwaarden.

Dat betekende dat MSP SOC Extended hun datastromen niet alleen in kaart moest brengen, maar ook toegangsrechten en contracten moest herzien. Voor het eerst werd duidelijk dat data niet enkel intern beheerd werd, maar ook door externe partijen geëist kon worden.

Qfirst overdenking: “De DGA moedigt bedrijven aan vrijwillig te delen, de Data Act verplicht hen het soms tegen hun zin. Is dit een harmonisch duo of een ideaal recept voor een oneindig conflict?”

Praktijkvoorbeeld: EU Data Act en een elektriciteitscentrale

Stel je voor: het cybersecurityteam van een SOC monitort de datastromen van een elektriciteitscentrale. In de centrale registreren duizenden IoT-sensoren de temperatuur, druk en trillingen in turbines en leidingen. Deze sensordata is cruciaal – niet alleen voor operationele efficiëntie, maar ook voor veiligheid.

Volgens de EU Data Act hebben de exploitanten en gebruikers van deze systemen recht op toegang tot de data. Externe onderhoudspartijen of toezichthouders kunnen vragen om die data via API’s of rapportages. Dat is nuttig voor innovatie en transparantie, maar creëert tegelijk risico’s:

• Uitdaging: als er geen strikte inventarisatie en classificatie is, kan gevoelige of bedrijfskritische data ongecontroleerd gedeeld worden. In het slechtste geval kan een kwaadwillige partij diezelfde toegang gebruiken om aanvalsoppervlakken bloot te leggen en processen te manipuleren.
• Noodzaak: het SOC moet exact weten waar de data zich bevindt, hoe ze door systemen stroomt (API, dashboards, back-ups) en welke datasets bedrijfskritisch zijn. Alleen zo kunnen ze ervoor zorgen dat verplicht gedeelde data geen deuren openzet voor hackers.

Binnen 12 maanden kan dit beheerst worden door:

1. Data mapping van alle sensoren en API-koppelingen.
2. Classificatie van data (operationeel, PII, bedrijfskritisch).
3. Toegangscontrole en monitoring van datadeling naar derden.
4. Blueprint waarmee het SOC real-time ziet waar risico’s ontstaan.

Zo verandert de Data Act van een compliancepuzzel in een strategisch instrument voor cyberweerbaarheid.

Qfirst overdenking: “Wanneer sensordata van een turbine ook extern gedeeld moet worden, waar ligt de grens tussen transparantie en sabotage? Hackers hebben aan één slecht afgeschermd API-endpoint genoeg om chaos te veroorzaken.”

De link met NIS2

De uitdagingen van MSP SOC Extended sloten naadloos aan bij de eisen van NIS2: incidentdetectie, risicobeheer en transparante rapportage.

• Dankzij de DGA konden ze threat intelligence veilig delen in sectorverband.
• Dankzij de Data Act kregen klanten en toezichthouders meer directe toegang tot operationele data, wat de respons bij incidenten versnelt.

Voor het bedrijf was het duidelijk: zonder een integrale aanpak van DGA, Data Act en NIS2 zou hun compliance een kaartenhuis worden.

Qfirst overdenking: “NIS2 verplicht tot incidentdetectie en snelle respons. Maar zonder toegang tot de juiste data is dat onmogelijk – ironisch genoeg kan dezelfde verplichting om data te delen ook de aanvalsvector vergroten.”

• De noodzaak van een Data Asset Blueprint

MSP SOC Extended besloot een Global Data Blueprint op te zetten: een inventaris en classificatiemodel voor alle data.

• Stap 1: Asset overzicht
  • IoT- en machinedata uit SOC-sensoren.
  • PII van klanten en werknemers.
  • Bedrijfskritische onderzoeksdata en IP.

• Stap 2: Lifecycle mapping
  Ze brengen in kaart hoe data door het bedrijf stroomt:
• [Creatie] → [Opslag] → [Gebruik/Verwerking] → [Uitwisseling/API]
•    → [Back-up] → [Archivering] → [Verwijdering]

• Stap 3: Classificatie
  • Open data: geanonimiseerde datasets voor onderzoek.
  • Gereguleerde data: IoT-sensordata en PII.
  • Bedrijfskritische data: interne threat models en klant-IP.

Deze blueprint wordt het centrale document waar compliance, security en operations samenkwamen.

Qfirst overdenking: “Een blueprint klinkt technisch, maar het is vooral politiek: welke data wil je beschermen, welke durf je delen, en wie bepaalt dat? Het antwoord ligt vaak minder in IT en meer in boardrooms.”

Applicaties: de realiteit bij alle bedrijven

Applicaties: waar zit de data?

Om een bruikbaar overzicht te maken, moeten bedrijven onderzoeken welke applicaties data bevatten en hoe die data beweegt.

Voorbeelden van veelgebruikte applicaties

• ERP (SAP, Dynamics): masterdata, financiële en operationele gegevens.
• CRM (Salesforce, HubSpot): klant- en contactgegevens.
• BI-tools (Power BI, Tableau): datavisualisaties en analytics.
• Collaboration suites (Microsoft 365, Google Workspace): documenten en communicatie.
• Financiële software (Exact, QuickBooks): facturen en betalingsstromen.
• HR & Payroll (Workday, SD Worx): personeels- en loongegevens.
• IoT/SCADA: operationele sensordata en kritieke infrastructuur.

• Het Bedrijfsonderzoek

Veelgebruikte Applicaties en Data opslag

1. ERP-systemen (bv. SAP, Microsoft Dynamics, Oracle NetSuite)

• Onderzoek:
  • Welke masterdata (klanten, leveranciers, producten) bevat persoonsgegevens (GDPR)?
  • Welke financiële of operationele data kan bedrijfskritisch zijn?
  • Hoe verloopt de integratie met andere systemen via API’s of ETL?

• Datastadia:
  • Input van klantgegevens.
  • Synchronisatie via API’s naar CRM/BI.
  • Opslag in relationele databases.
  • Back-ups (on-prem of cloud).
  • Archivering (compliance bewaartermijnen).

2. CRM-systemen (bv. Salesforce, HubSpot, Zoho)

• Onderzoek:
  • Welke PII (contactinfo, interacties, voorkeuren) wordt verwerkt?
  • Welke datasets worden gedeeld met marketingtools of externe API’s?
  • Welke autorisaties en logging zijn ingeregeld?

• Datastadia:
  • Input door sales/marketing.
  • Data-uitwisseling met e-mailmarketing of social integraties.
  • Analyse in dashboards (bv. PowerBI).
  • Archivering & dataretentiebeleid.

3. Business Intelligence & Analytics (bv. Power BI, Tableau, Qlik)

• Onderzoek:
  • Welke brondata wordt ingeladen (ERP, CRM, sensordata, IoT)?
  • Worden PII-velden geanonimiseerd of blijft herleidbaarheid bestaan?
  • Zijn datasets versleuteld bij opslag/transport?

• Datastadia:
  • Extractie van databronnen (ETL-proces).
  • Transformatie (aggregaties, datacleaning).
  • Visualisatie in dashboards.
  • Back-ups van datasets.
  • Export/rapportage naar externe partijen.

4. Collaboration Suites (bv. Microsoft 365, Google Workspace, Slack, Teams)

• Onderzoek:
  • Welke bestanden bevatten gevoelige data (PII, IP)?
  • Waar worden bestanden gedeeld (intern/extern)?
  • Welke securitycontroles zijn actief (DLP, encryptie)?
• Datastadia:
  • Aanmaak documenten/spreadsheets.
  • Opslag in SharePoint/Google Drive.
  • Uitwisseling via e-mail, Teams, Slack.
  • Archivering of verwijdering volgens bewaartermijnbeleid.

5. Financiële Software (bv. Exact, Sage, QuickBooks)

• Onderzoek:
  • Verwerking van PII (factuurgegevens).
  • Uitwisseling met banken (API’s).
  • Compliance met fiscale bewaartermijnen.
• Datastadia:
  • Input van facturen/bonnen.
  • Uitwisseling met boekhoudpakketten.
  • Back-ups in cloud.
  • Archivering & wettelijke retentie.

6. HR & Payroll (bv. Workday, SD Worx, ADP, SAP SuccessFactors)

• Onderzoek:
  • Welke categorieën PII en gevoelige data (gezondheid, loon, contract) zijn aanwezig?
  • Delen met externe payrollproviders of overheidsinstanties?
  • Toegang en autorisatiebeheer.
• Datastadia:
  • Invoer werknemersdata.
  • Uitwisseling met overheidsdiensten (sociale zekerheid).
  • Opslag & back-up.
  • Archivering (bv. 7 jaar payroll-data).

7. IoT & Operations Platforms (bv. industriële sensoren, SCADA, slimme apparaten)

• Onderzoek:
  • Welke operationele data wordt gegenereerd?
  • Zijn er koppelingen met kritieke infrastructuur (NIS2)?
  • Welke data valt onder de Data Act (toegang door gebruikers)?
• Datastadia:
  • Realtime data capturing.
  • API’s naar analytics platforms.
  • Opslag in datalakes.
  • Back-up & archivering.

Datastadia in de lifecycle

Voor elk systeem moeten organisaties de volledige data lifecycle documenteren:

1. Creatie/Invoer – bv. klantdata in CRM, sensordata uit IoT.
2. Opslag – database, cloud, datalake.
3. Gebruik/Verwerking – dashboards, rapportages.
4. Uitwisseling – API’s, ETL, externe partners.
5. Back-up – redundantie, cloud of on-prem.
6. Archivering – bewaartermijnen en compliance.
7. Verwijdering – dataretentie, right-to-be-forgotten.

Dit overzicht is cruciaal om te weten welke datasets onder de Data Act vallen, welke onder GDPR, en welke bedrijfskritisch zijn.

Het team ontdekte dat hun data verspreid zat in allerlei applicaties:

Applicatie	Data	Risico’s / Onderzoek	Kritieke fases
ERP (SAP)	Facturatie, leveranciersdata	Bedrijfskritisch + PII	API-uitwisseling, back-ups
CRM (HubSpot)	Klantcontacten	GDPR, marketingdeling	Exports, dashboards
Power BI	Threat intelligence dashboards	Anonimisering nodig	ETL, visualisaties
M365 & Slack	Rapporten, interne communicatie	PII + IP	Delen, archivering
HR (SD Worx)	Contract- en loongegevens	Gevoelige PII	Overheidsuitwisseling
IoT/SCADA	SOC-sensordata	Data Act scope + NIS2	Realtime API’s, datalakes

Het werd duidelijk dat er geen enkel systeem was dat niet onderzocht moest worden.

Qfirst overdenking: “Elk systeem in een bedrijf – van Power BI tot Slack – is een potentieel datalek of compliance-risico. De vraag is niet of er gevoelige data in zit, maar hoeveel en wie er allemaal bij kan.”

Conclusie

De EU Data Act verandert de manier waarop bedrijven omgaan met hun datafundament. Zonder een globaal asset overzicht en blueprint is naleving onmogelijk – en lopen organisaties risico’s, zowel op het vlak van compliance als concurrentieel voordeel.

De praktijk wijst uit: organisaties die hun data governance nu al koppelen aan DGA, Data Act, NIS2 en GDPR, hebben straks niet alleen minder hoofdpijn bij audits, maar ook een concurrentievoordeel door betere datakwaliteit, snellere incidentdetectie en transparantere samenwerking.

In het derde artikel uit de reeks zal Harry VM van de Plas duidelijk maken hoe je van uitgebreide governance intern een verdienmodel kunt maken door overlap in kaart te brengen en alle frameworks in harmonie te laten samen werken.

Europa’s boodschap is duidelijk: data is geen bezit om op te sluiten, maar een goed dat moet circuleren – veilig, eerlijk en onder duidelijke spelregels.

🔑 Key takeaway: Voor MSP SOC Extended werd data-inventarisatie de kern van hun governance en cybersecurity. Wat begon als compliance, eindigde als een concurrentievoordeel.

Qfirst overdenking: “De Data Act verandert compliance van een vinkjesoefening in een geopolitiek spel: wie controle heeft over data, bepaalt de machtsbalans. Voor bedrijven is de keuze simpel: óf meebewegen, óf ingehaald worden.”

De DGA en governance en policies – Waar vindt mijn bedrijf de voorbeelden en toelichting

Roadmap voor Policy-ontwikkeling onder de DGA

Waar is de digitale honing te vinden bij EU Data Spaces Initiatives

De EU Data Spaces Initiatives worden gecoördineerd via het Data Spaces Support Centre (DSSC). Dit is dé bron voor praktische guidance:

• 🌐 Website DSSC: https://dssc.eu
  • Blueprints → geven governance- en policyvoorbeelden.
  • Reference Architecture Model → schetst hoe data-intermediairs en trust mechanisms technisch én beleidsmatig moeten werken.
  • Toolbox → bevat componenten en frameworks die direct bruikbaar zijn voor policyontwikkeling.
• Sectorale Data Spaces (bv. Health, Mobility, Energy) publiceren ook eigen richtlijnen met concrete governancevoorbeelden.

---

✅ Kortom:
Een bedrijf vindt de juridische basis in EUR-Lex, de praktische interpretatie bij de Europese Commissie en ENISA, en de beleids- en governance-blauwdrukken in de EU Data Spaces Initiatives (DSSC).

Bronnen: 1. Data Sharing Policy

• EUR-Lex: DGA Tekst → https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32022R0868
• Europese Commissie: Data Act & Data Governance resources → https://digital-strategy.ec.europa.eu
• EU Data Spaces Support Centre (DSSC) → https://dssc.eu

---

2. Data Transparency Policy

• EU GDPR Tekst → https://eur-lex.europa.eu/eli/reg/2016/679/oj
• ENISA Publications Library → https://www.enisa.europa.eu/publications
• EU Data Spaces: Blueprints for Trustworthy Data Sharing → https://dssc.eu

---

3. Data Intermediary Governance Policy

• GAIA-X: Policy Rules & Architecture Docs → https://gaia-x.eu
• Data Spaces Support Centre: Governance frameworks → https://dssc.eu

---

4. Data Altruism Policy

• Europese Commissie – Data Altruism (EU Digital Strategy) → https://digital-strategy.ec.europa.eu/en/policies/data-governance-act
• EU Data Spaces – Health/Mobility/Energy pilots → https://dssc.eu

---

5. Data Access & Rights Policy

• EUR-Lex: Data Act Tekst → https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32023R2854
• EU Data Spaces: Reference Architecture for Data Access Control → https://dssc.eu

---

6. Confidentiality & Trust Policy

• ENISA Trust Frameworks (ENISA Publications) → https://www.enisa.europa.eu/publications
• EU Data Spaces: DSSC Toolbox → https://dssc.eu/toolbox/

---

Overkoepelend: EU Data Spaces Initiatives

• Data Spaces Support Centre (DSSC) – hoofdpagina → https://dssc.eu
  • Blueprints
  • Reference Architecture Model
  • Toolbox
  • Sectorale Data Spaces (Health, Mobility, Energy, enz.)

Dit artikel werd mede mogelijk gemaakt door de hulp van Harry VM van der Plas en Karin Printemps DATA Risk Manager