Blogbericht

Wat zijn de modelcontractvoorwaarden en standaardcontractbepalingen onder de Data Act?

Gepubliceerd op10/03/2026
Wat zijn de modelcontractvoorwaarden en standaardcontractbepalingen onder de Data Act?

Het implementeren van de Data Act heeft contractuele gevolgen voor organisaties die binnen het toepassingsgebied vallen. Dit betekent dat organisaties best hun contracten herzien zodat deze afgestemd zijn op de nieuwe regels inzake gegevensdeling of cloudcomputingdiensten.

Om de implementatie van de Data Act te vergemakkelijken, voorziet de Data Act dat de Europese Commissie modelcontractvoorwaarden (MCT’s) voor B2B gegevensdeling en standaardcontractbepalingen (SCC’s) voor cloudcomputingcontracten (en bijhorende regels inzake het overstappen naar een andere diesntverlener, namelijk “cloudswitching”) opstelt om kleine en middelgrote organisaties te helpen voldoen aan de Data Act.

Maar wat zijn deze modelcontractvoorwaarden en standaardcontractbepalingen en is  het als organisatie aan te raden om deze te gebruiken om de Data Act te implementeren?

In deze blog beantwoorden we deze vraag.

Wat zijn de modelcontractvoorwaarden en standaardcontractbepalingen?

Artikel 41 van de Data Act bepaalt het volgende:

“Vóór 12 september 2025 ontwikkelt de Commissie niet-bindende modelcontractvoorwaarden inzake de toegang tot en het gebruik van gegevens en beveelt zij deze aan, met inbegrip van voorwaarden over redelijke vergoeding en de bescherming van bedrijfsgeheimen, alsook niet-bindende standaardcontractbepalingen voor cloudcomputingovereenkomsten teneinde partijen bij te staan bij het opstellen van en onderhandelen over overeenkomsten met eerlijke, redelijke en niet-discriminerende contractuele rechten en verplichtingen.”

Artikel 41 van de Data Act verplicht de Europese Commissie dus tot twee zaken:

  • Het opstellen van modelcontractvoorwaarden (MCT’s) voor gegevenstoegang en -gebruik, met inbegrip van voorwaarden over redelijke vergoeding en de bescherming van bedrijfsgeheimen.
  • Het opstellen van standaardcontractbepalingen (SCC’s) voor cloudcomputingovereenkomsten om te helpen bij het opstellen van en onderhandelen over overeenkomsten met eerlijke, redelijke en niet-discriminerende contractuele rechten en verplichtingen.

De Europese Commissie moet deze modelcontractvoorwaarden en standaardcontractbepalingen niet enkel opstellen, maar de Commissie moet deze ook aanbevelen. Dit moest de Commisie doen vóór 12 september 2025.

De Commissie publiceerde op 19 november 2025 een conceptversie van beide documenten. We lichten deze hierna verder toe.

Welke modelcontractvoorwaarden zijn er?

De Commissie heeft drie sets MCT’s ontwikkeld. Elke set is bedoeld om te gebruiken in een situatie waarin gegevensdeling verplicht is onder de Data Act. Het gaat om de volgende sets:

Set tussen de gegevenshouder en gebruiker

Deze set dekt de rechten en plichten van beide partijen met betrekking tot toegang, het gebruik, en het delen van gegevens die de gebruiker heeft gegenereerd door het gebruik van een verbonden product of gerelateerde dienst.

Set tussen de gebruiker en gegevensontvanger

Deze set dekt de voorwaarden waaraan de door de gebruiker gekozen ontvanger moet voldoen bij het ontvangen of gebruiken van de gegevens.

Set tussen de gegevenshouder en gegevensontvanger

Deze set dekt de voorwaarden voor gegevensdeling door de houder aan de gekozen ontvanger en de mogelijke vergoeding die de gegevenshouder ontvangt voor het delen van de gegevens.

Daarnaast heeft de Commissie een extra set MCT’s opgesteld voor een vrijwillige gegevensdeling voor het gebruik tussen de gegevensdeler en gegevensontvanger. Deze extra set kan gebruikt worden ongeacht tussen welke entiteiten de gegevens worden gedeeld.

Welke standaardcontractbepalingen zijn er?

De Commissie heeft drie sets SCC’s ontwikkeld die de verplichtingen over cloudswitching uit de Data Act omzetten in contractuele clausules die organisaties in hun gegevensverwerkingscontracten kunnen opnemen. Het gaat om de volgende sets SCC’s:

SCC Switching & Exit

Deze standaardcontractbepalingen gaan over het recht op wijziging, deadlines, en bijstandsverplichtingen.

SCC Termination

Deze standaardcontractbepalingen gaan over beëindigingsvoorwaarden en de effecten van beëindiging op gegevens.

SCC Security & Business Continuity

Deze standaardcontractbepalingen gaan over de beveiliging en continuïteit van gegevens tijdens migratie en de melding van significante incidenten.

Daarnaast stelde de Commissie drie extra sets SCC’s op die de FRAND-principes versterken om te voorkomen dat contractuele onevenwichtigheden de rechten en verplichtingen, vastgesteld onder Hoofdstuk IV van de Data Act, ondermijnen. Het gaat om de volgende sets:

SCC Non-Dispersion

Deze waarborgen contractuele transparantie door het verspreiden van rechten en verplichtingen die voor klanten moeilijk te identificeren en te beoordelen zijn.

SCC Non-Amendment

Deze vermijden ongerechtvaardigde eenzijdige wijzigingen die een cloudprovider in staat zouden kunnen stellen om switching rechten na afloop van het contract te omzeilen of te verzwakken.

SCC Liability

Deze helpen bij een meer evenwichtige verdeling van aansprakelijkheid tussen partijen, inclusief een beperking van de ongegronde aansprakelijkheid van cloudproviders.

Is het gebruik van de modelcontract-voorwaarden of standaardcontract-bepalingen verplicht?

Neen, het gebruik van de sjablonen voor de modelcontractvoorwaarden of standaardcontractbepalingen is niet verplicht.

Organisaties kunnen er dus vrijwillig voor kiezen om modelcontractvoorwaarden en standaardcontractbepalingen te gebruiken en aan te passen. In tegenstelling tot de standaardcontractbepalingen onder de AVG, mogen de standaardcontractbepalingen onder de Data Act dus wel aangepast worden. Ze dienen dus als sjablonen voor organisaties.

Het is ook mogelijk om de sjablonen niet te gebruiken en de bestaande contracten aan te passen aan de vereisten in Hoofdstuk II, III en IV van de Data Act.

Mag ik de modelcontractvoorwaarden aanpassen?

Je kan de MCT’s als een contract gebruiken maar de partijen kunnen ook van deze clausules afwijken als ze niet van toepassing zijn (bijvoorbeeld bescherming van bedrijfsgeheimen).

Het is echter wel van belang om de modelcontractvoorwaarden niet zomaar “blind” te gebruiken. De Europese Commissie spoort de partijen immers aan om goed na te denken over verschillende elementen, zoals de relatie (gebruiker of derde), de zakelijke behoefte en het zakelijke belang met de gegevens bij het afsluiten van de MCT’s. 

Voor wie zijn de modelcontractvoorwaarden of standaardcontractbepalingen bedoeld?

De modelcontractvoorwaarden en standaardcontractbepalingen kunnen in principe door alle organisaties gebruikt worden.

Het belangrijkste doel van de ontwikkeling van de MCT’s en SCC’s is echter het ondersteunen van kmo’s bij de implementatie van de bepalingen van de Data Act. De MCT’s en SCC’s zijn ontworpen om de onbalans tussen kleinere en grotere organisaties te beperken.

Kan je de MCT’s en SCC’s gebruiken om de Data Act gemakkelijk te implementeren?

Ja, op voorwaarde dat je hebt onderzocht hoe de Data Act op jouw organisatie van toepassing is. Anders riskeer je de MCT’s en SCC’s blind te gebruiken, wat er toe kan leiden dat je deze gebruikt als ze niet van toepassing zijn, of wat er toe kan leiden dat je de foute set gebruikt.

Stappenplan om te bepalen of de MCT’s en SCC’s nuttig voor jouw organisatie zijn

  1. Bepaal of en hoe de Data Act op jouw organisatie van toepassing is
  2. Bepaal welke Data Act verplichtingen op jou van toepassing zijn
  3. Bepaal of je een dataverwerkingsdienst aanbiedt
  4. Onderzoek welke set van MCT’s of SCC’s van toepassing zijn op jouw situatie
  5. Onderzoek of het toepassen van de MCT’s en SCC’s de beste keuze zijn in jouw situatie
  6. Als je de MCT’s en SCC’s gaat toepassen, bepaal dan of en hoe deze passen binnen je huidige contracten (bv. door een aanpassing of door het toevoegen van een bijlage)
  7. Als deze niet passen binnen je huidige contracten, stel dan nieuwe contracten op
  8. Bepaal hoe je de nieuwe of gewijzigde contracten afdwingbaar kan maken

Deel op:

Geschreven door

Bernd Fiten

Bernd Fiten

Roxana Lemaire

Roxana Lemaire

Hi! Hoe kunnen we helpen?

Heb je interne privacyhulp nodig of een externe DPO? Neem contact met ons op en we zoeken samen met jou naar de beste oplossing.

Contacteer ons

Meer artikels

Alle artikels

Jouw vertrouwde partner in data governance en compliance.

Menu

Oplossingen

Contact

ISO 27001 certification

© 2026 – CRANIUM – PrivacyverklaringCookie PolicyAlgemene Voorwaarden

  • Oplossingen
    Privacy
    Digital Law
    Data Governance
    Campus
  • Resources
    Inzichten en updates
    Het nieuwste van onze blog
    Openbaarheid van bestuur vs Inzagerecht GDPR

    Openbaarheid van bestuur vs Inzagerecht GDPR

    21 april 2026 Geen onderdeel van een categorie
    NIS 2.0 naleven? Ontdek hoe eIDAS de juiste bouwstenen aanreikt.

    NIS 2.0 naleven? Ontdek hoe eIDAS de juiste bouwstenen aanreikt.

    7 april 2026 Blogbericht
    Wat is de impact van de Cyber Resilience Act op je contracten en processen?

    Wat is de impact van de Cyber Resilience Act op je contracten en processen?

    20 maart 2026 Blogbericht
  • Werken bij
    Nieuws rond Talent
    In the spotlight: Jill | “Sales is geen spelletje om targets te halen, het gaat om impact, voor klant én collega.”

    In the spotlight: Jill | “Sales is geen spelletje om targets te halen, het gaat om impact, voor klant én collega.”

    16 september 2025 Careers
    In the spotlight: Lisa | “ik wil blijven bijleren en mijn expertise verder uitbouwen. Bij CRANIUM krijg je daar ook echt de ruimte voor.”

    In the spotlight: Lisa | “ik wil blijven bijleren en mijn expertise verder uitbouwen. Bij CRANIUM krijg je daar ook echt de ruimte voor.”

    6 juni 2025 Careers
    In the Spotlight: Enzo | “Ik vond bij CRANIUM de vrijheid om mijn eigen pad uit te stippelen”

    In the Spotlight: Enzo | “Ik vond bij CRANIUM de vrijheid om mijn eigen pad uit te stippelen”

    20 mei 2025 Careers
    Werken bij CRANIUM
  • Over
    Over
Contact