Digital decade-regelgeving raakt ieder bedrijf

19 sep 2024

De Europese Unie wil met haar digitale strategie ervoor zorgen dat zowel mensen als bedrijven optimaal profiteren van de digitale technologie die ons leven ingrijpend verandert. Deze strategie omvat meer dan honderd verschillende soorten wet- en regelgeving, die nieuw zijn, herzien of al bestaan. Deze regels hebben impact op vrijwel elke sector en elk bedrijf binnen de EU. Bedrijven ontkomen tegenwoordig niet meer aan onderwerpen zoals privacy en cybersecurity. Hieronder volgt een kort overzicht van de meest relevante regelgeving in het kader van de ‘~~digital decade~~’-strategie van de EU.

Digital Decade

Artificial Intelligence Act (AIA)

Kern: Reguleert ~~AI-systemen~~ door risico’s te beoordelen van ‘minimaal risico’ tot ‘onaanvaardbaar risico’. Strenge regels voor hoog-risico toepassingen zoals gezichtsherkenning en medische apparaten.
Doelgroep: Ontwikkelaars, verkopers, importeurs en gebruikers van AI-systemen in sectoren zoals gezondheidszorg, transport en overheid.
Status: Van kracht sinds 2 augustus 2024. Gefaseerde verplichtingen: 6 maanden (verboden systemen), 12 maanden (GPAI), 24 maanden (hoog-risico Annex III).

Digital Services Act (DSA)

Kern: Zorgt voor een veiligere online omgeving door platformen verantwoordelijk te houden voor schadelijke inhoud en reguleert online marktplaatsen.
Doelgroep: ~~Online platformen~~ (zoals sociale media en e-commerce websites) en consumenten.
Status: Van kracht sinds 16 november 2022. Voor ‘erg grote platformen’ en zoekmachines al langer van kracht. Voor kleinere platformen sinds 17 februari 2024.

European Accessibility Act

Kern: Stelt eisen aan de toegankelijkheid van producten en diensten (zoals smartphones, websites, geldautomaten en e-commerce) voor mensen met een handicap.
Doelgroep: Bedrijven die digitale producten en diensten aanbieden en gebruikers met een handicap.
Status: Van kracht sinds juni 2022. ~~Nationale wetgeving~~ uiterlijk aan te passen op 28 juni 2025.

Data Act

Kern: Bevordert eerlijke toegang tot en gebruik van (vooral niet-persoonlijke) data, tussen bedrijven en overheden, wat innovatie stimuleert.
Doelgroep: Bedrijven die ~~data verzamelen~~, delen of gebruiken, evenals overheden en consumenten.
Status: Van kracht sinds 11 januari 2024. Verplichtingen van kracht vanaf 12 september 2025.

NIS2 Directive

Kern: Verbetering van de ~~cyberveiligheid~~ in essentiële sectoren door striktere beveiligingsvereisten voor bedrijven en overheidsinstanties.
Doelgroep: Kritieke infrastructuursectoren zoals energie, transport, gezondheidszorg en digitale dienstverleners.
Status: Van kracht sinds 16 januari 2023. Om te zetten in nationale regelgeving voor 18 oktober 2024. Op dit moment is van de Cyberveiligheidswet alleen een ontwerptekst beschikbaar.

General Data Protection Regulation (GDPR) (in Nederland bekend als de AVG)

Kern: Beschermt ~~persoonsgegevens~~ met strenge regels over het verzamelen, verwerken en bewaren van data binnen de EU.
Doelgroep: Alle organisaties die persoonsgegevens verwerken, waaronder bedrijven, overheden en non-profitorganisaties.
Status: Van kracht sinds 2018.

Data Governance Act

Kern: Creëert een raamwerk voor datadeling en -beheer, gericht op het verbeteren van transparantie en vertrouwen in ~~data-uitwisselingssystemen~~.
Doelgroep: Overheidsinstanties, bedrijven en data-bemiddelingsdiensten.
Status: Van kracht sinds 2023.

Open Data Directive

Kern: Stimuleert innovatie en ~~economische groei~~ door overheidsdata open te stellen voor hergebruik.
Doelgroep: Overheden, publieke instellingen en bedrijven die overheidsdata gebruiken.
Status: Van kracht sinds 2021 en in Nederland omgezet in de Wet Open Overheid.

Product Liability Directive

Kern: Richt zich op de aansprakelijkheid van producenten voor schade door gebrekkige producten, met speciale aandacht voor ~~technologische ontwikkelingen~~ zoals slimme producten en AI.
Doelgroep: Fabrikanten van consumentengoederen, inclusief AI-gedreven producten.
Status: Voorstel voor herziening gepresenteerd in september 2022, de onderhandelingen lopen nog.

Andere relevante regelgeving in de ‘Digital Decade Package’ zijn:

AI Liability Directive;
Cybersecurity Act (CSA);
Cyber Resilience Act (CRA);
Digital Operational Resilience Act (DORA);
Digital Markets Act (DMA);
E-Privacy Regulation; en
Resilience of Critical Entities Directive (CER).

Van AI tot datagebruik en van cybersecurity tot consumentenbescherming, de EU's 'digital decade'-strategie legt een breed scala aan regelgeving op die elke sector raakt. Bedrijven moeten (bij voorkeur proactief) inspelen op deze veranderingen om boetes te vermijden en hun digitale strategieën te versterken.

Heeft u vragen over de impact van deze ~~regelgeving op uw organisatie~~ of wilt u weten hoe uw bedrijf zich kan voorbereiden op de naleving ervan? Neem dan contact op met Jos van der Wijst.

Jos van der Wijst