compliance8 min læsning

EU Data Act — Datadeling og Dine Rettigheder i 2026

Komplet guide til EU Data Act og de nye regler for datadeling, cloud-skift og tilsluttede produkter for danske virksomheder

EU Data Act — Datadeling og Dine Rettigheder i 2026

Hvad er EU Data Act?

EU Data Act er en ny forordning, der regulerer adgang til og deling af data genereret af tilsluttede produkter og relaterede tjenester[1]. Forordningen blev vedtaget i december 2023 og er en central del af EU's datastrategi, der skal skabe et indre marked for data og sikre, at værdien af data fordeles mere retfærdigt.

Data Act handler ikke kun om persondata (det gør GDPR allerede) — den regulerer adgang til alle typer data, herunder industrielle data, IoT-data og maskindata. For danske virksomheder betyder det nye rettigheder, men også nye forpligtelser i forhold til data fra tilsluttede produkter og cloud-tjenester.

Vigtige datoer:

  • 11. januar 2024: Forordningen trådte i kraft[1]
  • 12. september 2025: Cloud-skift og portabilitetsregler gælder
  • 12. september 2026: "Access by Design"-krav til tilsluttede produkter
  • 12. september 2027: Udvidede krav til eksisterende cloud-kontrakter

Tidslinje for Data Act implementering

Data Act implementeringsfaser (2024–2027)

Jan 2024: Ikrafttrædelse
Sep 2025: Cloud-regler
Sep 2026: Access by Design
Sep 2027: Udvidede krav

Hvem er omfattet?

Data Act har et bredt anvendelsesområde og påvirker flere typer aktører[1][2]:

RolleBeskrivelseEksempler
ProducenterProducerer tilsluttede produkterIoT-producenter, smart device-virksomheder, industrielle maskinproducenter
DataholdereKontrollerer data fra tilsluttede produkterVirksomheder der opsamler data via IoT-sensorer
BrugereVirksomheder eller personer der bruger tilsluttede produkterFabrikker med IoT-udstyr, forbrugere med smart home-produkter
Cloud-udbydereTilbyder cloud- og SaaS-tjenesterAWS, Azure, danske og europæiske cloud-udbydere
DatamodtagereModtager data på brugerens anmodningTredjepartstjenester, reparatører, konkurrenter

Vigtigt for danske virksomheder: Uanset om I producerer smart devices, bruger IoT i jeres produktion, eller bare er afhængige af cloud-tjenester, er I sandsynligvis berørt af Data Act på mindst én måde.

Adgang til data fra tilsluttede produkter

En af de mest banebrydende dele af Data Act er reglerne om dataadgang fra tilsluttede produkter[1][2].

Hvad er et "tilsluttet produkt"?

Tilsluttede produkter er fysiske genstande, der indsamler eller genererer data via sensorer, software eller netværksforbindelser. Eksempler inkluderer:

Typer af tilsluttede produkter berørt af Data Act

  • Industrielt udstyr: CNC-maskiner, robotter, sensorer i produktionslinjer
  • Smarte bygninger: HVAC-systemer, energimålere, adgangskontrol
  • Tilsluttede køretøjer: Biler med telematik, flådestyringssystemer
  • Smart home: Termostater, alarmsystemer, husholdningsapparater
  • Wearables: Fitnessure, medicinsk monitoreringsudstyr
  • Landbrugsudstyr: GPS-styrede traktorer, droner, jordsensorer

Brugerens ret til data

Under Data Act har brugeren af et tilsluttet produkt ret til[1]:

  • Gratis adgang til data genereret af produktet
  • At få data leveret i et struktureret, maskinlæsbart format
  • At dele data med tredjeparter efter eget valg
  • Realtidsadgang til data, hvor det er teknisk muligt

Producenten må ikke bruge data fra tilsluttede produkter til at:

  • Konkurrere med brugeren baseret på brugerens data
  • Profilere brugeren uden samtykke
  • Begrænse brugerens adgang til egne data

💡 Tip: Har jeres virksomhed IoT-udstyr eller tilsluttede maskiner? Under Data Act har I ret til alle data disse enheder genererer — også selvom producenten hidtil har begrænset adgangen.

"Access by Design" — krav fra september 2026

Fra 12. september 2026 skal alle nye tilsluttede produkter på EU-markedet opfylde "access by design"-princippet[1][2]. Dette er den mest betydningsfulde deadline for producenter.

Kravene indebærer:

  • Design til dataadgang: Produkter skal designes og fremstilles, så brugeren som standard har direkte, sikker og gratis adgang til de data, produktet genererer
  • Standardiserede formater: Data skal gøres tilgængeligt i et standardiseret, maskinlæsbart format
  • Metadata: Producenten skal levere tilstrækkelig metadata til at fortolke og bruge dataene
  • Brugerinformation: Brugeren skal inden køb informeres om typen, mængden og hyppigheden af data, produktet genererer
  • Tredjepartsadgang: Det skal være teknisk muligt for brugeren at dele data med tredjeparter

Konsekvenser for producenter: Virksomheder der producerer tilsluttede produkter skal allerede nu redesigne deres produkter og dataarkitektur for at opfylde disse krav. Produkter der bringes på markedet efter september 2026 uden access by design vil overtræde forordningen.

Cloud-skift og portabilitet

Cloud-portabilitetsreglerne i Data Act er allerede gældende siden september 2025 og adresserer et af de mest frustrerende problemer for virksomheder: vendor lock-in[1][3].

Nye rettigheder for cloud-kunder

Cloud-skift: Tidsfrister og gebyrer under Data Act (dage)

Ret til at skifte cloud-udbyder:

  • Maksimalt 30 dages opsigelsesvarsel for cloud-tjenester
  • Gradvis afskaffelse af skiftgebyrer:
    • Fra september 2025: Reducerede gebyrer
    • Fra september 2027: Skiftgebyrer helt afskaffet[1]

Funktionel ækvivalens: Cloud-udbydere skal arbejde mod at sikre funktionel ækvivalens, så data og applikationer fungerer tilsvarende hos en ny udbyder. Dette reducerer den tekniske barriere for skift.

Interoperabilitet: Cloud-tjenester skal understøtte åbne standarder og interoperabilitet, så data kan flyttes mellem udbydere uden tab af funktionalitet.

Kontraktgennemsigtighed: Cloud-kontrakter skal indeholde klar information om:

  • Hvilke data der kan eksporteres og i hvilke formater
  • Tidsramme og proces for dataudtræk
  • Eventuelle gebyrer (som gradvist afskaffes)
  • Minimumsperiode for dataopbevaring efter opsigelse

⚠️ Vigtigt: Gennemgå jeres eksisterende cloud-kontrakter nu. Mange kontrakter indeholder klausuler der er i strid med Data Act's nye regler. Cloud-udbydere er forpligtet til at tilpasse deres vilkår.

SMV-beskyttelse

Data Act indeholder særlige beskyttelser for SMV'er[1][3]:

Fair kontraktvilkår: Forordningen indfører regler mod urimelige kontraktvilkår i data-delings-aftaler. Klausuler der ensidigt pålægger en part alle risici, eller som giver ensidig ret til at fortolke data, kan erklæres ugyldige.

Omkostningsbeskyttelse:

  • Kompensation for datadeling skal være rimelig og ikke-diskriminerende
  • SMV'er skal ikke pålægges uforholdsmæssige omkostninger for at stille data til rådighed
  • Specifikke lofter for hvad der kan opkræves for at opfylde dataanmodninger

Undtagelser:

  • Mikrovirksomheder og små virksomheder er fritaget fra forpligtelsen til at stille data til rådighed som dataholdere (medmindre de er producenter af tilsluttede produkter)
  • Undtagelser for at beskytte forretningshemmeligheder, dog med begrænsninger

Forholdet til GDPR

Data Act og GDPR eksisterer side om side og supplerer hinanden[1][4]:

AspektGDPRData Act
DatatypePersondataAlle data (personlige og ikke-personlige)
FokusDatabeskyttelseDataadgang og -deling
RetsgrundlagSamtykke, kontrakt, m.v.Brugerrettigheder til produktdata
PortabilitetArtikel 20 (persondata)Bredere cloud-portabilitet
Bøder€20M / 4% af omsætningFastsat af medlemsstater

Vigtige principper for sameksistens:

  • GDPR har altid forrang når der er tale om persondata[4]
  • Data Act kan ikke bruges til at omgå GDPR-beskyttelser
  • Retten til dataadgang under Data Act gælder ikke for andres persondata
  • Dataholdere skal implementere passende tekniske foranstaltninger til at adskille persondata fra ikke-personlige data

💡 Tip: Hvis jeres tilsluttede produkter indsamler både persondata og ikke-personlige data (det gør de fleste), skal I have klare procedurer for at håndtere de to datatyper under deres respektive lovgivninger.

5 praktiske skridt for danske virksomheder

Skridt 1: Kortlæg jeres dataflows

  • Identificér alle tilsluttede produkter I producerer eller bruger
  • Kortlæg hvilke data der genereres, af hvem, og hvor de opbevares
  • Klassificér data som persondata, ikke-personlige data, eller blandede datasæt
  • Dokumentér alle nuværende data-delingsaftaler

Skridt 2: Kategorisér jeres rolle

  • Er I producent af tilsluttede produkter? → Access by design-krav
  • Er I bruger af tilsluttede produkter? → Ret til dataadgang
  • Er I dataholder? → Forpligtelse til at dele data på anmodning
  • Er I cloud-udbyder? → Portabilitets- og interoperabilitetskrav
  • I kan have flere roller samtidigt

Skridt 3: Definér roller og ansvar

  • Udpeg en ansvarlig for Data Act-compliance
  • Etablér klare processer for håndtering af dataanmodninger
  • Sørg for samarbejde mellem juridisk, teknisk og forretningsafdelinger
  • Definér SLA'er for besvarelse af dataanmodninger

Skridt 4: Gennemgå cloud-kontrakter

  • Gennemgå alle eksisterende cloud- og SaaS-aftaler
  • Identificér klausuler der kan være i strid med Data Act
  • Forhandl nye vilkår der afspejler de nye rettigheder
  • Overvej om I er låst ind hos en udbyder, og planlæg eventuel migration

Skridt 5: Forbered produkter til access by design

Hvis I producerer tilsluttede produkter:

  • Redesign dataarkitekturen til at understøtte brugeradgang
  • Implementér standardiserede dataformater og API'er
  • Opret brugerinformation om datagen erering
  • Test adgangsmekanismer grundigt inden september 2026

Sanktioner

Til forskel fra GDPR og AI Act fastsætter Data Act ikke specifikke EU-bødeniveauer[1]. I stedet overlades håndhævelsen til de enkelte medlemsstater:

  • Medlemsstater skal fastsætte effektive, proportionale og afskrækkende sanktioner
  • Danmark skal udpege en eller flere kompetente myndigheder til håndhævelse
  • Bøder forventes at ligge i niveau med andre EU-datareguleringer
  • Overtrædelse af cloud-portabilitetsregler og access by design-krav forventes at medføre de største sanktioner

⚠️ Vigtigt: Selvom de præcise danske bødeniveauer endnu ikke er fastsat, viser erfaringen fra GDPR, at danske myndigheder tager EU-dataregulering alvorligt. Forbered jer i god tid.

Sådan kan Infobits hjælpe

Infobits kan hjælpe dig med:

  • Kortlægning af dataflows og Data Act-compliance
  • Rådgivning om cloud-skift og portabilitet
  • EU-baseret hosting og cloud-løsninger uden vendor lock-in
  • Teknisk implementering af access by design-krav
  • GDPR og Data Act-compliant dataarkitektur

Data Act skaber nye muligheder for danske virksomheder, der ønsker bedre kontrol over deres data og frihed til at vælge de bedste cloud-løsninger. Kontakt Infobits for rådgivning om, hvordan I bedst forbereder jer — send en email til [email protected].

Kilder og Referencer

  1. EU Data Act - Forordning (EU) 2023/2854https://eur-lex.europa.eu/eli/reg/2023/2854
  2. Europa-Kommissionen - Data Acthttps://digital-strategy.ec.europa.eu/en/policies/data-act
  3. Clifford Chance - EU Data Act Analysishttps://www.cliffordchance.com/insights/resources/blogs/talking-tech/en/articles/2024/01/the-eu-data-act-ten-things-you-need-to-know.html
  4. EDPB Guidelines on Data Act and GDPR interactionhttps://www.edpb.europa.eu/our-work-tools/our-documents/guidelines_en
Sidst opdateret: 12. februar 2026
Nøgleord: data act, datadeling, cloud, portabilitet, iot, tilsluttede produkter, access by design, cloud-skift, vendor lock-in, interoperabilitet, smart devices, eu-lovgivning