NGB Extra
Is jouw SaaS-leverancier straks een 'dataverwerkingsdienst'? De verrassende reikwijdte van de EU Data Act
Robbert Santifort, partner en Ilham Ezzamouri, associate IT/Privacy bij Eversheds Sutherland

Stel: je onderneming gebruikt een online boekhoudpakket, een HR-platform en een CRM-systeem. Op het eerste gezicht zijn dit allemaal SaaS-diensten. Sinds 12 september 2025 is de EU Data Act van toepassing, en daarmee rijst de vraag: vallen deze diensten onder het regime van hoofdstuk VI, met alle verplichtingen rond overstappen, interoperabiliteit en contractuele voorwaarden van dien? Het antwoord is minder eenvoudig dan je zou verwachten.
In dit artikel nemen wij de positie van Software-as-a-Service (SaaS) onder het begrip 'dataverwerkingsdienst' (Data Processing Service, hierna: DPS) in de Data Act onder de loep. We bespreken de wettelijke definitie, de twee interpretatiescholen die in de literatuur zijn ontstaan en vertalen dit naar concrete handvatten voor de contractpraktijk.
De Data Act en 'dataverwerkingsdiensten': achtergrond
Hoofdstuk VI van de Data Act bevat een uitgebreid regime dat het overstappen tussen dataverwerkingsdiensten moet vergemakkelijken. Het politieke doel is duidelijk: de dominantie van (met name Amerikaanse) cloudaanbieders doorbreken en de Europese concurrentie bevorderen. Vendor lock-in, belemmeringen bij het overstappen en een gebrek aan interoperabiliteit werden als de te bestrijden obstakels aangemerkt.
Eerder, bij de Verordening inzake vrije gegevensstroom, waren aanbieders aangespoord tot zelfregulering, maar die bleef volgens de EU-wetgever “terughoudend”. Dat was de aanleiding om in hoofdstuk VI minimale wettelijke verplichtingen vast te leggen.
De wettelijke definitie: veel elementen, weinig houvast
De definitie van 'dataverwerkingsdienst' in artikel 2, lid 8, van de Data Act luidt: "een digitale aan een klant aangeboden dienst die alomtegenwoordige en on-demand netwerktoegang mogelijk maakt tot een gedeelde pool van configureerbare, schaalbare en elastische computercapaciteit van gecentraliseerde, gedistribueerde of sterk gedistribueerde aard, die snel ter beschikking kan worden gesteld en kan worden vrijgegeven met minimale beheersinspanningen of tussenkomst van een dienstverlener".
In deze definitie zitten meerdere elementen waarop overweging 80 van de Data Act een nadere toelichting geeft. Kort samengevat:
- Computingmiddelen omvatten onder meer netwerken, servers, virtuele of fysieke infrastructuur, software, opslagruimte, toepassingen en diensten.
- Alomtegenwoordig verwijst naar computercapaciteit die via het netwerk wordt aangeboden en toegankelijk is via heterogene platforms, van webbrowsers tot werkstations.
- Schaalbaar verwijst naar computingmiddelen die, ongeacht de geografische locatie, op flexibele wijze door de aanbieder worden toegewezen om schommelingen in de vraag op te vangen.
- Elastisch verwijst naar computingmiddelen die, afhankelijk van de vraag, ter beschikking worden gesteld en worden vrijgegeven om de beschikbare middelen snel te kunnen verhogen of verlagen naargelang het werkvolume.
- Gedeelde pool verwijst naar computingmiddelen die ter beschikking worden gesteld aan meerdere gebruikers met een gemeenschappelijke toegang, maar waarbij de verwerking voor elke gebruiker afzonderlijk plaatsvindt.
- Minimale beheersinspanningen verwijst naar het vermogen van de klant om eenzijdig en zelfvoorzienend computercapaciteit toe te wijzen zonder menselijke interactie van de aanbieder.
De wetgever heeft deze definitie grotendeels ontleend aan de cloudcomputing-definitie van het Amerikaanse National Institute of Standards and Technology (NIST) uit 2011. Het belangrijkste verschil is dat de Data Act-definitie bovendien vereist dat de netwerktoegang 'schaalbaar' en 'elastisch' moet zijn. Dat een technische NIST-definitie, oorspronkelijk bedoeld voor systeemplanners en technologen, is overgenomen in een Europese verordening, is opmerkelijk, aangezien Europese definities doorgaans gericht zijn op technologische openheid en een functionele benadering.
SaaS als voorbeeld: overweging 81
Overweging 81 van de Data Act noemt uitdrukkelijk drie leveringsmodellen: Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) en Software-as-a-Service (SaaS), naast Storage-as-a-Service en Database-as-a-Service.
Op het eerste gezicht lijkt SaaS daarmee onder de DPS-definitie te vallen. Maar zoals M. Kool van The Data Lawyers opmerkt: "Omgekeerd denken wij dat dit niet betekent dat alle aanbieders van een online SaaS-dienst een dataverwerkingsdienst zijn". De vermelding van SaaS in een overweging is illustratief, maar creëert geen onweerlegbaar vermoeden. De definitie in artikel 2 kent immers cumulatieve vereisten waaraan de concrete dienst moet voldoen.
Twee interpretatiescholen: technisch versus contractueel-functioneel
In de juridische literatuur zijn inmiddels twee interpretaties van het begrip ‘dataverwerkingsdienst’ uitgekristalliseerd, met ingrijpend verschillende consequenties.
De technische interpretatie
Bij een technische benadering wordt uitsluitend gekeken naar de technologie die ten grondslag ligt aan een dienst. Als een dienst technisch op cloudinfrastructuur wordt geëxploiteerd, zou er sprake zijn van een dataverwerkingsdienst, ongeacht het doel van de dienst of wat de klant koopt.
Deze benadering leidt tot moeilijk te rechtvaardigen resultaten. Neem website-hosting, dat kan worden geleverd op (i) een dedicated server, (ii) een gevirtualiseerde conventionele server, of (iii) cloudinfrastructuur. Bij een puur technische interpretatie zou alleen optie (iii) als dataverwerkingsdienst kwalificeren, terwijl de dienst voor de klant in alle drie de gevallen identiek is.
De contractueel-functionele interpretatie
Overtuigender is de contractueel-functionele benadering, waarbij de klant zélf de mogelijkheid moet hebben om de rekenkracht te configureren, schaalbaar te maken en flexibel in te zetten. De literatuur wijst er terecht op dat de afzonderlijke kenmerken rechtstreeks bij de dienst aanwezig moeten zijn én dat de klant daar ook van moet kunnen profiteren. Dit wordt ondersteund door de eis van minimale administratieve rompslomp in overweging 80 en door de bewoordingen van artikel 2, lid 8 zelf.
Deze "zelfbediening" wordt ook in normen en andere EU-rechtshandelingen erkend als doorslaggevend criterium voor clouddiensten. De opvatting sluit bovendien aan bij het doel van de wetgever om lock-in-effecten bij cloudproviders te voorkomen, niet om alle IT-diensten die potentieel lock-in veroorzaken onder de regelgeving te brengen. Hoofdstuk VI reguleert clouddiensten "as-a-service", niet alle "as-a-service"-diensten.
Deze lezing wordt bevestigd door de Duitse wetgever bij de omzetting van de NIS-2-richtlijn. Bij het nagenoeg identiek gedefinieerde begrip 'clouddiensten’ is uitdrukkelijk toegevoegd: "Diensten waarbij de beschikbare middelen vooraf worden vastgelegd zonder mogelijkheid tot wijziging, zoals gebruikelijk bij eenvoudige webhostingaanbiedingen, vallen dus niet onder deze regeling." Hoewel dit een Duits omzettingsbesluit betreft, biedt het een indicator voor de functionele interpretatie.
Het resultaat is dat voor een dataverwerkingsdienst aan twee elementen cumulatief moet worden voldaan: (1) de onderliggende infrastructuur moet een cloudinfrastructuur zijn die configureerbaarheid, schaalbaarheid en elasticiteit van de gebruikte rekenbronnen mogelijk maakt, en (2) de daarop gebaseerde dienst moet ook voor de klant configureerbaar, schaalbaar en elastisch zijn wat betreft de rekenkracht. Het is niet voldoende dat de onderliggende rekenkracht automatisch wordt aangepast door het gebruik, bijvoorbeeld omdat er meer klanten bijkomen.
Wanneer valt SaaS wél en wanneer niét onder de DPS-definitie?
De praktijk laat zich het beste illustreren aan de hand van concrete scenario's.
SaaS met sizing door de klant
Als de klant een toepassing gebruikt waarbij een van de belangrijkste voordelen de flexibele schaalbaarheid van afzonderlijke functionaliteiten en middelen is, bijvoorbeeld de hoeveelheid verwerkte gegevens, opslagruimte, bandbreedte of beveiligingsfuncties, kan worden uitgegaan van een dataverwerkingsdienst. De klant wil in een dergelijk geval juist profiteren van de voordelen van een cloudoplossing en direct profiteren van het feit dat de toepassing met minimale administratieve inspanningen flexibel kan worden geconfigureerd en geschaald naar zijn behoeften. Denk bijvoorbeeld aan SAP RISE of vergelijkbare enterprise-cloudplatformen.
Relevant is overigens dat de marktstructuur in de SaaS-sector fundamenteel verschilt van die in de IaaS/PaaS-sector. In de IaaS/PaaS-markt hebben AWS, Microsoft Azure en Google Cloud samen circa 63% marktaandeel, terwijl er in de SaaS-sector wereldwijd ongeveer 30.800 aanbieders zijn, zonder dat één bedrijf meer dan 1% marktaandeel heeft. Dit plaatst vraagtekens bij de noodzaak om het strenge switchingregime onverkort op de SaaS-markt toe te passen.
Functiegerichte SaaS-toepassingen
Bij functiegerichte SaaS-toepassingen, zoals Office-suites, vergadertools of loonbelastingprogramma's, heeft de klant niet de mogelijkheid om middelen flexibel te schalen; de kern is het gebruik van functionaliteiten, niet de schaalbaarheid van de daarvoor gebruikte middelen. Een toepassing wordt niet automatisch een dataverwerkingsdienst louter omdat deze als "SaaS" via internet toegankelijk is en op cloudinfrastructuur draait. Als het enige wezenlijke verschil met een on-premise applicatie is dat de dienst online draait, kan men de toepasselijkheid van hoofdstuk VI met goede redenen afwijzen.
SaaS-toepassingen die wél als dataverwerkingsdienst kunnen kwalificeren, zijn toepassingen waarbij het toepassingsniveau in wezen dient om de onderliggende infrastructuur flexibel te orkestreren, bijvoorbeeld voor data-analyse, data-engineering of app-ontwikkeling. Dergelijke toepassingen worden door aanbieders vaak aangeprezen als "datacloud".
SaaS die geen SaaS is: de dedicated single tenant
Het is ook opletten geblazen omdat sommige diensten wel worden verkocht als 'SaaS', maar dat niet per definitie zijn. Een voorbeeld is een dedicated single tenant die niet gedeeld, elastisch of schaalbaar is. Software die via die weg als dienst wordt aangeboden, is dan weliswaar niet 'on-prem' geïnstalleerd, maar valt ook niet onder het begrip 'cloud computing' omdat daar altijd een gedeeld, elastisch en schaalbaar element in zit. Vergelijkbaar worden diensten die eerder kwalificeren als Application Service Providing ('ASP'), op speciale servers, zonder de voor de cloud typische kenmerken zoals virtualisatie en pooling, in de literatuur overwegend niet als dataverwerkingsdienst beschouwd.
De grijze zone en het risico voor aanbieders
Ondanks de overtuigingskracht van de functionele benadering wijzen Siglmüller en Żdanowiecki er terecht op dat ook aanbieders van functiegerichte SaaS-diensten rekening moeten houden met het risico dat rechtbanken en toezichthouders geen onderscheid maken tussen toepassing en infrastructuur, en SaaS-toepassingen met verwijzing naar overweging 80 e.v. globaal als dataverwerkingsdienst 1 classificeren.
Hoe meer een toepassing 'op de cloud lijkt', hoe groter de kans op kwalificatie als dataverwerkingsdienst. In grensgevallen zal het aankomen op een totaalbeeld van de dienst en hoe deze wordt aangeboden. Een aanbieder kan en moet zijn prestatiebeschrijvingen controleren om na te gaan of "flexibiliteit", "schaalbaarheid" en "eenvoud" niet overdreven worden aangeprezen. Er bestaat een niet onaanzienlijke "grijze zone", waarvan aanbieders kunnen proberen te profiteren door middel van zorgvuldig ontwerp en argumentatie.
Doorverkoop: een verborgen valkuil
Een aspect dat vaak over het hoofd wordt gezien, is de doorverkoop van dataverwerkingsdiensten. Wanneer een SaaS-aanbieder cloudcapaciteit van een hyperscaler inkoopt en als onderdeel van zijn dienst aan klanten aanbiedt, zijn de verplichtingen van hoofdstuk VI van toepassing op de doorverkoper. De definitie van 'klant' in artikel 2, lid 30, en de artikelen 25, 28 en 29 van de Data Act verwijzen ondubbelzinnig naar de contractuele relatie. Alleen bij 'onechte doorverkoop', waarbij de klant rechtstreeks contracteert met de technische aanbieder, rust de verplichting op die aanbieder. Voor in-house juristen betekent dit dat zij bij distributiemodellen voor SaaS-diensten goed moeten nagaan waar de contractuele relatie met de eindklant ligt.
Wat betekent dit concreet voor de contractpraktijk?
Als een SaaS-dienst als dataverwerkingsdienst kwalificeert, zijn de gevolgen aanzienlijk. De contractjurist moet hier doorgaans goed afstemmen met de cliënt of de definitie van toepassing is op de dienst waarover gecontracteerd wordt.
Verplichte contractinhoud
Het contract moet onder meer bevatten: bepalingen op grond waarvan de klant kan overstappen of gegevens kan overdragen naar on-premises-ICT-infrastructuur, een verplichting tot ondersteuning van de exitstrategie, een maximale opzegtermijn van twee maanden voor het overstapproces, een volledige specificatie van alle overdraagbare gegevenscategorieën en digitale activa, en een minimumtermijn van 30 kalenderdagen voor het opvragen van gegevens.
Overstapkosten
Op termijn mogen er geen overstapkosten als zodanig meer in rekening worden gebracht.2 Wel mag de aanbieder kosten in rekening brengen voor aanvullende ondersteuning bij het overstapproces die verder gaat dan de wettelijke overstapverplichtingen, mits de klant vooraf met de prijs instemt.
Standaardcontractbepalingen
De Europese Commissie heeft via een Expert Group standaardcontractbepalingen (SCC's) laten opstellen. Het gebruik ervan is niet verplicht, maar volgens de Data Act zijn ze "nuttig" voor rechtszekerheid en vertrouwen. De SCC's bestaan uit modules voor onder meer switching & exit, termination, security & business continuity, liability en non-amendment. Niet alle SCC's zijn één op één te herleiden tot concrete wettelijke verplichtingen. Een aanbieder kan ten aanzien van een deel ervan het standpunt innemen dat hij niet verplicht is ze overeen te komen, in ieder geval niet zoals de Expert Group ze heeft bedacht.
Informatieverplichtingen op de website
Aanbieders moeten op hun website of in een online register informatie beschikbaar stellen over onder meer overstapmogelijkheden, dataformaten, restricties, gegevensstructuren, interoperabiliteitsspecificaties en transparantieverplichtingen inzake internationale doorgifte. De websites moeten bovendien worden vermeld in de overeenkomsten met klanten. Dit wordt in de praktijk snel over het hoofd gezien, maar vergt ook voor SaaS-aanbieders die als dataverwerkingsdienst kwalificeren een concrete compliance-actie.
Uitzonderingen
Ten eerste: als het merendeel van de belangrijkste kenmerken van een dienst is afgestemd op de specifieke behoeften van de klant en de dienst niet op grote schaal wordt aangeboden ('maatwerk'), geldt het regime voor opheffing van de overstapkosten niet. Ten tweede: de verplichtingen gelden niet voor diensten die gedurende een beperkte periode als test- en evaluatieversie worden verleend. Wie een beroep wil doen op een uitzondering, moet de klant voorafgaand aan het sluiten van de overeenkomst informeren.
Takeaways
De positie van SaaS onder de Data Act laat zich samenvatten in zes praktische aanbevelingen:
1. Niet elke SaaS-dienst is een dataverwerkingsdienst. De vermelding van SaaS in overweging 81 creëert geen automatische kwalificatie. De cumulatieve vereisten van artikel 2, lid 8 moeten bij de concrete dienst aanwezig zijn, en de klant moet daar ook van kunnen profiteren.
2. Stel de juiste vraag: kan de klant zelf schalen? Het doorslaggevende criterium is of het concrete SaaS-aanbod de klant de mogelijkheid biedt om afzonderlijke resources, rekencapaciteit, opslagcapaciteit, databaseresources, netwerk, flexibel te schalen, en of juist daarin de kern van het SaaS-aanbod ligt.
3. Beoordeel de dienst samen met de technische collega's. De contractjurist zal goed met de cliënt (of IT-afdeling) moeten afstemmen of de definitie van 'dataverwerkingsdienst' van toepassing is op de dienst waarover gecontracteerd wordt.
4. Review de commerciële beschrijvingen. Een aanbieder die in marketinguitingen rept over flexibiliteit, schaalbaarheid en eenvoud, kan zichzelf onbedoeld onder het regime van hoofdstuk VI brengen. Hoe meer een toepassing 'op de cloud lijkt', hoe groter de kans op kwalificatie als dataverwerkingsdienst.
5. Maak gebruik van de SCC's, maar niet blindelings. De door de Expert Group opgestelde standaardcontractbepalingen zijn een nuttig vertrekpunt, maar ze zijn niet verplicht en gaan op onderdelen verder dan de Data Act zelf vereist. Het loont om per clausule te bezien wat wettelijk vereist is en wat een onderhandelbaar 'extra' is.
6. Houd het Digital Omnibus-voorstel in de gaten. De Europese Commissie stelde in november 2025 wijzigingen aan de Data Act voor die de switchingverplichtingen kunnen beïnvloeden. Formuleer contractuele bepalingen zo dat zij toekomstbestendig zijn en meebewegen met eventuele aanpassingen in het regelgevend kader.
Blik vooruit: het Digital Omnibus-voorstel en de FAQs van de Commissie
De Europese Commissie publiceerde in 2025 meerdere versies van haar FAQs over de Data Act, die nadere toelichting geven op de verplichtingen uit hoofdstuk VI. Deze FAQs zijn niet juridisch bindend, maar bieden een indicatie van de interpretatie door de Commissie. Het is raadzaam ze bij te houden, aangezien zij regelmatig worden bijgewerkt.
Minstens zo relevant is het Digital Omnibus-voorstel dat de Commissie op 26 november 2025 publiceerde, dat onder meer wijzigingen aan het switchinghoofdstuk van de Data Act beoogt. Het Omnibus-pakket is onderdeel van de bredere strategie om digitale regelgeving te vereenvoudigen. Hoewel het wetgevingsproces nog loopt, is het voor in-house juristen van belang de voorgestelde wijzigingen te volgen, met name omdat deze de reikwijdte van de switchingverplichtingen en mogelijk de definitie van ‘dataverwerkingsdienst’ kunnen beïnvloeden. Contractuele bepalingen rond switching dienen daarom toekomstbestendig te worden geformuleerd.
De grijze zone rond het begrip ‘dataverwerkingsdienst’ zal de komende jaren worden ingevuld door rechtspraak, de verdere ontwikkeling van het Omnibus-voorstel en eventuele nadere guidance van de Commissie. Tot die tijd verdient een zorgvuldige analyse van de individuele dienst de voorkeur boven een categorische kwalificatie op basis van het label 'SaaS'.
iNHOUDSOPGAVE

