Kort version

Tre deadlines, inte en. IoT-datatillgång och B2B-avtalsregler gäller redan. Molninteroperabilitet och bytesrätt den 12 september 2026. Full dataportabilitet med tekniska standarder den 12 september 2027. Den som förhandlar molnavtal i dag utan att referera till förordningens kapitel VIII — som reglerar molnbyte och dataportabilitet — förlorar förhandlingsläge. Bytesavgifter ska vara helt avskaffade senast 12 januari 2027.

Vad som redan gäller och som många har missat

Sedan 12 september 2025 är fyra regelblock skarpa:

  1. IoT-datatillgång. Uppkopplade produkter ska designas så att användaren får tillgång till sin användningsdata direkt. Användaren kan dela datan med tredje part, exempelvis en oberoende verkstad. Det gäller alla produkter som släpps på marknaden, inte bara nya modeller.
  2. Förbud mot oskäliga B2B-datadelningsvillkor. Artikel 13 listar klausultyper som är direkt otillåtna i avtal som ensidigt påtvingats. Det handlar om ansvarsbegränsningar, ensidiga ändringsrätter och klausuler som hindrar datatillgång. Avtal ingångna efter 12 september 2025 omfattas.
  3. Förskottsinformation. Innan avtal om uppkopplad produkt tecknas ska kunden veta vilka datatyper som genereras, hur de nås och om tredje part har tillgång.
  4. Företagshemligheter. Regelverket erkänner att affärshemligheter kan motivera att viss data inte delas, men kräver specifika konfidentialitetsklausuler. En generell sekretessklausul räcker inte som skäl att vägra datatillgång.

Molnbytet: kapitel VIII

Kapitel VIII träder i tillämpning 12 september 2026 och är den kommersiellt mest betydelsefulla delen. Reglerna gör tre saker:

  • Molnleverantörer ska möjliggöra byte till annan leverantör inom 30 dagar. Öppna API:er för dataexport ska finnas.
  • Bytesavgifter reduceras stegvis och ska vara helt avskaffade senast 12 januari 2027. Det inkluderar tidiga uppsägningsavgifter och dataexportavgifter.
  • Kommissionen ska ta fram standardavtalsklausuler för molntjänster. Det minskar förhandlingsfriktion men ger också kunder en referenspunkt att jämföra sina befintliga avtal mot.

Fullständig dataportabilitet med tekniska standarder för specifika dataformat börjar tillämpas 12 september 2027.

Myndigheters datatillgång vid nödläge

Myndigheter kan begära åtkomst till privata datalager vid exceptionella behov: folkhälsokriser, naturkatastrofer eller uppfyllande av offentliga åtaganden. Begäran ska vara proportionerlig, motiverad och tidsbegränsad. I praktiken är tröskeln hög och det kräver ett formellt beslut. Men bolag som hanterar stora datamängder bör ha en intern process för att hantera en sådan begäran, särskilt i sektorer som hälso- och sjukvård och energi.

Vad bolag bör göra

  1. IoT-tillverkare: Kontrollera att produkter på marknaden har en fungerande datatillgångskanal som fungerar i dag, inte bara en roadmap-punkt. Skriv en kundtjänstinstruktion för hur användare begär ut data och till vilken tredje part den kan delas.
  2. Molnkunder: Granska befintliga avtal mot kapitel VIII nu, inte i september. Identifiera uppsägningsavgifter, dataexportklausuler och lock-in-perioder. Avtala bort dem i nästa förnyelse eller hänvisa till att de blir otillåtna. Förhandlingsläget är bäst innan deadline.
  3. B2B-datadelning: Granska alla datadelningsavtal ingångna efter 12 september 2025 mot artikel 13. Fokusera på tre klausultyper: ensidiga ändringsrätter, oproportionerliga ansvarsbegränsningar och villkor som begränsar datatillgång utan saklig grund.
  4. Företagshemligheter: Definiera konkret vilken data som är skyddad och varför, innan en begäran om datatillgång kommer in. Det räcker inte att ha en generell NDA. Specifikationen behöver finnas i avtalet, inte bara i en intern policy.

Källor