Nieuwe spelregels voor datatoegang

In dit artikel:

In juli 2025 heeft de Europese Commissie de Delegated Act on Data Access vastgesteld om artikel 40 van de Digital Services Act (DSA) concreet te maken. Een deel van die regeling trad op 29 oktober 2025 in werking: onderzoekers kunnen nu formeel verzoeken indienen om toegang tot data van de grootste online platforms en zoekmachines, en platforms moeten technische en procedurele stappen zetten om die toegang mogelijk en veilig te maken.

Wie en voor welke diensten
De verplichtingen gelden uitsluitend voor zeer grote online platforms (VLOPs) en zeer grote online zoekmachines (VLOSEs) met meer dan 45 miljoen maandelijkse gebruikers in de EU — voorbeelden zijn Google Search, Instagram, TikTok, X en YouTube. Toezichthouders (zoals de nationale Digital Services Coordinators of de Europese Commissie) hebben al langer recht op gegevens voor nalevingstoezicht; de nieuwe gedelegeerde handeling richt zich op onafhankelijke onderzoekers.

Onder welke voorwaarden onderzoekers toegang krijgen
Toegang is niet openlijk voor iedereen: alleen zogeheten vetted researchers — onderzoekers die eerst door een toezichthouder zijn goedgekeurd — mogen een gemotiveerd verzoek indienen. De Delegated Act specificeert de toelatingscriteria, beschermingsmaatregelen en procedurele stappen. Platforms mogen aanvragen alleen afwijzen wanneer zij de gevraagde data niet bezitten of als toegang onaanvaardbare beveiligings- of vertrouwelijkheidsrisico’s zou creëren. Daarmee ontstaat een gecontroleerd mechanisme om systemische risico’s en platformdynamieken wetenschappelijk te onderzoeken.

Wat platforms concreet moeten doen
Sinds eind oktober 2025 dienen VLOPs/VLOSEs technische omgevingen en processen beschikbaar te stellen die veilige, gecontroleerde toegang tot relevante datasets mogelijk maken. Dit omvat bijvoorbeeld toegangsprotocollen, logging van data-extracties, beveiligings- en privacymaatregelen, en afspraken over welke data gedeeld worden en onder welke waarborgen. Platforms moeten ook procedures inrichten voor de behandeling van verzoeken en voor samenwerking met toezichthouders.

Effecten voor andere organisaties
Hoewel de verplichtingen direct bij VLOPs/VLOSEs liggen, raakt dit veel meer partijen: leveranciers van data, integratiepartners, ontwikkelaars die platform-API’s gebruiken en organisaties die afhankelijk zijn van platformdata moeten mogelijk hun contracten, security- en governance-structuren aanpassen. Veranderingen in datastromen of strengere toegangseisen kunnen downstream impact hebben.

Praktische aanbevelingen
Organisaties wordt aangeraden nu al inventaris te maken van datastromen met grote platforms, contractuele afspraken en beveiligingsmaatregelen te toetsen, en interne teams (marketing, IT, security, legal) te informeren zodat zij voorbereid zijn op gewijzigde processen en compliance-eisen.

Tess Mulder (legal counsel bij ICTRecht) concludeert dat de Delegated Act artikel 40 daadwerkelijk uitvoerbaar maakt: onderzoekers kunnen verzoeken indienen en platforms moeten een werkbare, veilige toegangsomgeving bieden — een ontwikkeling met brede gevolgen voor de digitale keten.