ACM legt uit hoe bedrijven data van iot-apparaten beschikbaar moeten stellen

De Nederlandse Autoriteit Consument en Markt heeft een leidraad opgesteld waarmee bedrijven kunnen voldoen aan de Europese Dataverordening. De leidraad is bedoeld voor fabrikanten van bijvoorbeeld iot-apparatuur, maar zal er in de praktijk toe leiden dat eindgebruikers meer zeggenschap krijgen over de gegevens die door zulke apparaten worden verzameld.

Dit nieuws in het kort

  • De Autoriteit Consument en Markt geeft met de leidraad invulling aan de Europese Dataverordening.
  • De Dataverordening verplicht fabrikanten de data die een product verzamelt beschikbaar te stellen.
  • Fabrikanten van iot-apparatuur weten nu hoe ze dat specifiek moeten doen.

De ACM heeft de Leidraad Data Delen van verbonden producten en gerelateerde diensten uitgebracht. Die is gericht op bedrijven en fabrikanten die in Nederland actief zijn met 'verbonden apparaten'. Dat zijn in de praktijk iot-apparaten zoals slimme thermostaten, maar ook auto's vallen eronder, naast industriële toepassingen. De ACM noemt melkrobots van boeren als voorbeeld.

De leidraad geeft invulling aan de Europese Dataverordening. Die werd in september 2023 van kracht en treedt in september van dit jaar officieel in werking. De ACM houdt in Nederland toezicht op naleving van die verordening. De Dataverordening is bedoeld om Europese burgers meer controle en inzicht te geven in de gegevens die door slimme apparaten worden verzameld. Ook diensten die daarbij horen, zoals apps of abonnementen, vallen onder de Dataverordening.

De Dataverordening kan worden gezien als een antwoord op veelgehoorde kritiek op de AVG. Daarin staat namelijk beschreven hoe bedrijven en overheden data mogen verwerken. In tegenstelling tot wat vaak wordt gedacht zegt de AVG niets over de zeggenschap die burgers of gebruikers hebben over die gegevens. Ook geldt de AVG alleen voor persoonsgegevens en niet zomaar voor gebruikersdata.

Wat staat er in de leidraad?

In de leidraad staat beschreven wanneer en op welke manier fabrikanten gebruikersdata beschikbaar moeten maken aan eindgebruikers. De leidraad is in drie onderdelen gesplitst:

1. Informatieplicht

Dit bepaalt dat fabrikanten bij de verkoop of huur al duidelijk moeten aangeven welke gegevens er worden verzameld en op welke manier, hoe gebruikers die gegevens kunnen opvragen en met andere diensten kunnen delen, en bijvoorbeeld in welke taal en welk formaat dat moet gebeuren.

2. Toegangsverplichting

De toegangsverplichting heeft de meeste impact op eindgebruikers. Hierin wordt bepaald dat fabrikanten gegevens eenvoudig toegankelijk moeten maken voor gebruikers en welke gegevens fabrikanten precies beschikbaar moeten maken. Daarin staan bijvoorbeeld uitzonderingen voor bedrijfsgeheimen, maar in principe moeten fabrikanten onder dit onderdeel alle gegevens beschikbaar maken.

3. Voorwaarden

In dit onderdeel van de leidraad bepaalt de ACM specifieke voorwaarden voor het verstrekken van al die gegevens. Daarin staat bijvoorbeeld dat gebruikers hun gegevens niet mogen gebruiken voor commerciële doeleinden en wordt beschreven wat de relatie met derde partijen is.

Smarthome stock (bron: Kenneth Cheung/Getty Images)

Wat heb je hier als burger of koper aan?

De ACM legt met de leidraad uit wat bedrijven moeten doen met dataverzameling. Een gemiddelde consument heeft niets aan de leidraad zelf, maar gaat daar in de toekomst wel veel van merken bij het aanschaffen van nieuwe producten. Die nieuwe producten moeten namelijk aan de leidraad voldoen.

De ACM geeft in een persbericht een duidelijk praktijkvoorbeeld van waar de Dataverordening voor bedoeld is. "In de praktijk betekent dit bijvoorbeeld dat de eigenaar van een auto toegang krijgt tot de gegevens die de auto verzamelt en deze kan delen met een garage naar keuze voor reparatie. Of bijvoorbeeld dat een akkerbouwer de gegevens van sensoren in de bodem en zijn oogstmachine makkelijk kan delen met een innovatief bedrijf, dat vervolgens advies geeft over optimale irrigatie en bemesting. Zo kan de akkerbouwer kosten besparen en de milieubelasting terugdringen."

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 15-05-2026 12:20
8 • submitter: CLB

15-05-2026 • 12:20

8

Submitter: CLB

Lees meer

Autoriteit Persoonsgegevens: extra budget is feitelijk juist een verlaging
Autoriteit Persoonsgegevens: extra budget is feitelijk juist een verlaging Nieuws van 17 september 2025
Europees Parlement bereikt voorlopig akkoord met EU-raad over Dataverordening
Europees Parlement bereikt voorlopig akkoord met EU-raad over Dataverordening Nieuws van 28 juni 2023
EU-privacytoezichthouders: Dataverordening is onduidelijk over rol AVG
EU-privacytoezichthouders: Dataverordening is onduidelijk over rol AVG Nieuws van 6 mei 2022
Europese Commissie wil met Dataverordening burgers meer controle geven over data
Europese Commissie wil met Dataverordening burgers meer controle geven over data Nieuws van 23 februari 2022
Meer producten en artikelen
Economie en maatschappij Politiek en recht Smarthome ACM Nederland

Reacties (8)

-Moderatie-faq
8
8
1
0
0
6
Wijzig sortering

Sorteer op:

Weergave:
Piemol 15 mei 2026 12:26
[b]1. Informatieplicht. [/b]

...

Hoe gebruikers die gegevens kunnen opvragen en met andere diensten kunnen delen,
En zonder tussenkomst van (de clouddiensten) van de fabrikant?

[Reactie gewijzigd door Piemol op 15 mei 2026 12:27]

Reageer
Marctraider 15 mei 2026 12:26
Het klinkt voor de normale gebruiker allemaal heel mooi, maar wie niet weet hoe een (router based) firewall werkt, en niet behendig is met Linux, Home Assistant, is dit toch feitelijk niks anders dan je privacy en/of controle afdragen van de big tech (Cloud) naar de EU?
Reageer
enver63 @Marctraider15 mei 2026 12:33
Het biedt de mogelijkheid om niet-cloud based applicaties te maken die de data inzichtelijk maken voor de gebruiker. Er staat niet dat de EU die data moet beheren.
Reageer
Triblade_8472 15 mei 2026 12:35
De voorbeelden zijn alleen voor industriële toepassingen, lekker dan..

En dan nog, bedrijven vinden sensordata bedrijfsgeheimen. Immers kan iemand dan zien hoe nauwkeurig de data is, hoe vaak er wordt gepolst en wat de structuur van de data is. Gaat de ACM hier ook iets van vinden?


Ik ben voornamelijk benieuwd hoe ze de voorwaarden gaan handhaven. "Daarin staat bijvoorbeeld dat gebruikers hun gegevens niet mogen gebruiken voor commerciële doeleinden en wordt beschreven wat de relatie met derde partijen is."

Wat zijn commerciële doeleinden? De boer boert voor commercie, telt dat dan? De garage waar je de telemetrie aan aanlevert werkt niet gratis en doet hier z'n voordeel mee. En mag ik, als burger wel mij eigen data verkopen of reseller?
Reageer
BleghBlarg @Triblade_847215 mei 2026 13:02
Over bedrijfsgeheimen, ik denk dat punt 3. Voorwaarden hiervoor is. Handhaving of niet als de EU eindgebruikers verbied om zelfs hun eigen data te verkopen dan kan de fabrikant niet een grote grondslag leggen op bedrijfsgeheimen.

Tegenover de concurrentie hoeven ze het sowieso niet te verbergen, die zijn pienter genoeg om al hun concurrenten al te hebben uitgeplozen. Ik vermoed dat het vooral bedoeld is om te ontmoedigen dat er niet een partij ontstaat die geld geeft voor jou data en hier zelf op grotere schaal modellen mee bouwt waarvan ze de data op hetzelfde niveau als bijvoorbeeld Samsung kunnen nabootsen.
Reageer
jwillemsen 15 mei 2026 12:49
Ik ben benieuwd hoe dit invloed heeft op bv Daikin devices. Daikin levert geen lokale meer API (die hebben ze verwijderd op een bepaald moment uit hun firmware), maar alles moet via hun cloud. Ze geven dan via hun publieke API maar gedeeltelijke toegang tot je data en je device, niet alles kan via die API, hun eigen app kan meer aansturen dan je via hun publieke API kan. Daarnaast verzamelen ze nog meer data die zelfs niet in hun eigen app zichtbaar is. Hopelijk verplicht dit ze om alle data beschikbaar te maken via hun cloud API of zelfs weer de lokale API beschikbaar te maken.

[Reactie gewijzigd door jwillemsen op 15 mei 2026 12:49]

Reageer
Yongshi @jwillemsen15 mei 2026 13:10
zoals ik het lees zijn ze niet verplicht om op een bepaalde manier data aan te leveren, enkel dat het kan. Dus dat wordt waarschijnlijk gewoon in de app van hen. Verwacht niet dat je opeens de lokale api terugkrijg oid.

ik zou gewoon een alternatief aanschaffen (faikout, espaltherma, p1p2mgtt, whatever fits)
Reageer
Mit-46 15 mei 2026 13:20
Wellicht begrijp ik niet goed, maar ik vind het heel raar dat je als gebruikers de gegevens die over jou gaan niet mag gebruiken voor commerciële doeleinden.

Er staat verder niet vermeld of deze bedrijven dit wel mogen, maar zoals ik het nu lees kan ik niet geloven wat ik lees. Als ik mezelf als voorbeeld neem dan zijn het toch "mijn" gegevens?
Reageer

Om te kunnen reageren moet je ingelogd zijn