Een flinke inhaalslag, zo zie ik de Digital Decade. Eén met alle goede bedoelingen en die ons mogelijk de winst geeft, op alle vlakken (grondrechtelijk) waarin het relevant is. Desalniettemin is het een sprint die wat laat is ingezet.
In een aantal vorige artikelen zetten we de Digital Decade uiteen: welke stukken regelgeving komen eraan, wat zijn de pijlers van die stukken regelgeving, en hoe ga je daarmee om? In dit artikel kijken we naar de tussenstand van de reeds ingezette inhaalslag: wat zit er allemaal achter ons, en waar staan we nu?
De Digital Decade in 2024: een overzicht
Hieronder vind je een overzicht van stukken wetgeving die in 2024 relevant(er) werden op het gebied van technologie en recht (in dit stuk refereren we aan de Europese wetgeving in Engelse termen). De stukken in de vierkanten zijn al geldig. De stukken in de ovalen zijn wel al definitief – daar kan je je al op voorbereiden – maar nog niet geldig. Hieronder gaan we in op ontwikkelingen per onderwerp zoals gecategoriseerd in de afbeelding.
Overzicht wetgeving 2024, ‘ovaal’ is in werking maar nog niet van toepassing, ‘vierkant’ is in werking én van toepassing.
Cyber security: Nieuwe verplichtingen op komst
Op het gebied van cyber security introduceert de Digital Decade veel nieuwe verplichtingen voor een breed scala aan partijen. Zo is de Network en Information Security Directive (NIS2) op veel meer partijen – waaronder IT-dienstverleners – van toepassing. Daar waar er altijd al veel geharmoniseerde verplichtingen waren voor de financiële sector in relatie tot het voorkomen van fraude, worden verplichtingen nu ook geharmoniseerd op het gebied van beveiligen van het netwerk en informatiesystemen. Die verplichtingen vallen niet compleet uit de lucht, aangezien er al uitgebreide verplichtingen voor deze sector golden vanuit bijvoorbeeld de Europese aanbestedingsregels. Meer weten over cyber security? Zie ook dit eerdere overzicht.
Data: van privacy naar bredere databescherming
De AVG is nog steeds de basis waarmee we privacy en gegevensbescherming waarborgen, maar de focus verschuift van persoonsgegevens naar data. Om veiligheid en vertrouwen in digitale samenleving te creëren is meer nodig dan privacy. De stukken wetgeving die we in 2024 zien, borgen het bredere perspectief op veilig delen van data.
De Data Act (DA) introduceert rechten en plichten als het gaat om het opvragen en delen van data gegenereerd met verbonden apparaten. De verplichtingen uit de DA leggen meer controle bij degene bij wie de data zijn verzameld en opent mogelijkheden voor het delen van die data met derden. De Data Governance Act (DGA) zet een gegevensuitwisselingskader op dat het hergebruik (voor altruïstische doeleinden) van bepaalde categorieën van overheidsdata (openbaar bewaard) moet faciliteren. De DGA introduceert ook een kader van databemiddelingsdiensten, die een veilig en betrouwbaar platform voor datadeling moeten realiseren. De wetgever probeert met beide stukken wetgeving de volledige waarde van het (her)gebruik van data veilig te benutten.
Gezondheidszorg en data
De net gepubliceerde European Health Data Space (EHDS) is een initiatief van de EU om de toegang, uitwisseling en gebruik van gezondheidsgegevens tussen landen te vergemakkelijken, met als doel de gezondheidszorg te verbeteren en onderzoek te bevorderen, terwijl de privacy van patiënten wordt gewaarborgd. De EHDS vereist een flinke omschakeling van de huidige gang van zaken voor bijna elke lidstaat, maar opent oneindige mogelijkheden voor de gezondheidszorg.
De Wet gegevensuitwisseling door samenwerkingsverbanden (WGS) is geen onderdeel van de Digital Decade, maar we behandelen de wet hier toch kort. Het is immers wél een nationaal uitwerksel van de Digital Decade principes om meer en veiliger data te delen. Het probeert een oplossing te bieden voor organisaties die data uitwisselen om criminaliteit tegen te gaan, maar geen duidelijk juridische kader hebben waarbinnen ze dat kunnen doen.
De wet biedt een mogelijkheid voor in de wet vastgelegde samenwerkingsverbanden om data uit te wisselen voor bepaalde doeleinden. Er is veel kritiek op de WGS: het is niet helemaal duidelijk wat, wanneer, en waarvoor persoonsgegevens gedeeld mogen worden, wat toch vaak uitmondt in een grotere bevoegdheid dan dat is beoogd. Een soort competence creep, op een manier.
De AI Act en AI-systems
Dan is er nog de koploper van het moment: de AI Act. Veelbesproken en goed gevreesd schudt de AI Act de gemoederen op van technologen die tool na tool uitspuwen. De AI Act introduceert verplichtingen op basis van het risiconiveau van een AI-systeem. Hoe groter het risico voor mens, natuur en maatschappij, hoe meer zorg je moet dragen in de ontwikkeling, aanpassing en uitvoering van het systeem. Meer weten? Lees hier vooral verder.
Products/services to individuals: modernisering van aansprakelijkheid
Op 23 oktober werd de Product Liability Directive (PLD) aangenomen. De PLD moderniseert het reeds bestaande systeem dat aansprakelijkheid inregelt voor producenten, voor schade ontstaan door hun producten. Ook zonder schuld voor het “defect” dat de schade veroorzaakte, is de producent onder de PLD aansprakelijk. Het aantonen van causaliteit, wat nodig is om schade vergoed te krijgen, is erg lastig voor consumenten. Daarom regelt de PLD een aantal bewijsvoordelen voor de consument. Nederlandse critici reageren dat de PLD in feite voor de Nederlandse schadevergoedingsstructuur, weinig aanvullende handvatten biedt die het verkrijgen van schadevergoeding vergemakkelijken.
Tot voor kort vielen alleen persoons- of zaakschade onder de PLD, maar onder de herziene PLD valt ook schade door dataverlies. De PLD is nu ook – expliciet – van toepassing op software, of als software als component in een ander product wordt gebruikt.
De Electronic Identification and Trust Services Regulation (EUDI) verplicht publieke diensten om online identificatie mogelijk te maken. Dat is in principe in Nederland niet nieuw. Wat wel nieuw is, is dat die diensten grensoverschrijdend op elkaar moeten kunnen aansluiten. Daarnaast introduceert de EUDI de digitale portemonnee, die jouw identiteit kan koppelen aan andere persoonlijke informatie. Vanaf 2026 moeten lidstaten dit iedereen aanbieden. Bepaalde private diensten zijn ook verplicht om die digitale portemonnee toe te passen zoals banken, verzekeringsmaatschappijen, VLOPs en energiemaatschappijen.
De European Accessibility Act
De European Accessibility Act (EAA) speelt een belangrijke rol in het streven naar gelijke toegang tot digitale diensten en producten voor iedereen (of je nou burger, of consument bent). De EEA vereist dat producten en diensten die worden aangeboden of geleverd binnen de Europese markt, voldoen aan specifieke toegankelijkheidsvoorschriften. Dit is geen nieuw concept, omdat de overheid al vanuit eerdere toegankelijkheidswetten dit moest realiseren.
Intermediairs
De Digital Services Act (DSA) en Digital Markets Act (DMA), hoewel al een tijdje van toepassing, kregen steeds meer vorm in 2024. De Europese Commissie (EC) informeerde X over zijn voorlopige bevindingen dat X de DSA schendt. De schendingen zien op het gebruik van dark patterns (ruwweg: misleidende ontwerptechnieken om gebruikers onbewust bepaalde acties te laten uitvoeren), het gebrek aan onduidelijkheid over het gebruik van advertenties en toegang tot data voor onderzoekers. Daarnaast startte de EC een formele procedure tegen Temu. Het onderzoek ziet op de verkoop van illegale producten, het verslavend ontwerp van de applicatie, aanbevelingssystemen en de (niet voorziene) toegang tot data voor onderzoekers.
De DSA creëert mogelijkheden voor gecertificeerde onderzoekers om data op te vragen van Zeer Grote Online Platforms (VLOPs) en Zoekmachines (VLOSEs) om systemische risico’s in de EU te onderzoeken. Aan de regels die de procedures en voorwaarden voor deze datatoegang verduidelijken wordt momenteel gewerkt.
Was dit alles?
Er zijn nog legio stukken wetgeving die relevant kunnen zijn maar niet op dit overzicht staan. Denk aan de Right to Repair Directive, die gaat om het kunnen fiksen van gebroken producten, of de AI Liability Act waarmee de wetgever de interne markt wil verbeteren (dat verhaal kennen we..) en uniforme regels wil neerleggen ten aanzien van civiele aansprakelijkheid bij schade veroorzaakt door AI-systemen (nog niet definitief, meer over de visie van de EU op aansprakelijkheid rondom AI-systemen vind je hier). Vergeet vooral ook niet wetten die al van toepassing zíjn.
Let dus goed op: welke stukken regelgeving voor jouw organisatie relevant zijn is afhankelijk van wat je organisatie doet, welke data het heeft en welke rol. Staar je dus niet blind op dit overzicht. Voor een – zo veel mogelijk – volledig overzicht (inclusief oudere wetten), kijk ook even naar ons wetgevingsoverzicht van september 2024. Nog breder? De zogenaamde “blue wall” van Kai Zenner brengt alle regelgeving rondom de Digital Decade in kaart (regelmatig geüpdate).
De implementatie: uitdagingen en vertragingen
De eerste stukken wetgeving van de Digital Decade gelden en lidstaten zijn druk met implementatie. Hoewel we in de praktijk veel bedrijven rap zien reageren op de nieuwe stukken wetgeving en er veel aandacht vanuit gaat, gaat de implementatie toch niet helemaal soepel. Of in ieder geval gaat het niet mee op het tempo waarin de EU de inhaalslag ingezet heeft.
We zien dat bijvoorbeeld doordat we in Nederland te laat zijn met de implementatiewet van de NIS2 en die van de Critical Entities Resilience Directive (CER). Er liggen wel al concepten maar de deadline om deze richtlijnen om te zetten in nationale wetgeving stond op 17 oktober 2024. De uitvoeringswet van de DGA is verder wél net officieel gepubliceerd, maar de Verordening gold al in 2023.
Daarnaast heeft het “toezichthouderskader” dat de implementatie van de Digital Decade moet overzien, nogal wat voeten in de aarde. De Autoriteit Consument en Markt (ACM ) en de Autoriteit Persoonsgegevens (AP) houden bijvoorbeeld allebei toezicht op de naleving van de Digital Services Act (DSA) wat in de praktijk ertoe leidt dat over dezelfde systemen zowel de ACM, als de AP, bevoegd kunnen zijn, maar dan beide voor een ander stukje. Veel toezichthouders krijgen er taken bij door de implementatie van de wetgeving uit de Digital Decade. Zo krijgt de ACM de DGA en DA onder haar hoede. Uiteraard zijn gedeelde en aanvullende taken voor toezichthouders geen nieuw fenomeen, maar een goede uitvoering daarvan kost tijd. En daarvan is er niet zo veel.
Met betrekking tot toezicht op de naleving van de AI Act adviseren de AP en de Rijksinspectie Digitale Infrastructuur (RDI) de overheid alle markttoezichthouders en inspectiediensten te betrekken bij het toezicht, met de AP als coördinerend toezichthouder. Zij adviseren “het toezicht op AI in de verschillende sectoren en domeinen zoveel mogelijk te laten aansluiten bij het reguliere toezicht”.
Daar is alleen nog geen formeel besluit op genomen door de overheid. Tevergeefs vroeg de Nederlandse overheid voor verlenging van implementatieperiode. “Op het voldoen aan de AI-verordening (en daarmee ook de juiste classificatie van AI-systemen) zal toezicht worden gehouden. Momenteel wordt aan de inrichting van het toezicht op de AI-verordening gewerkt.” aldus staatssecretaris Zsolt Szabó in beantwoording van kamervragen. Dit was op 8 november 2024, terwijl vanaf februari 2025 de eerste delen van de AI Act geldig zijn.
De staatssecretaris geeft aan dat AI is toegepast op verschillende vlakken en het daardoor samenwerking van verschillende ministeries vereist om hier een goed kader voor op te zetten. Dit lijkt wel aan te sluiten bij de visie van de AP en de RDI.
Om terug te komen op de inleiding: de sprint is ingezet met alle goede bedoelingen, maar lijkt zelfs íets te snel te gaan. De rest van het team blijft vooralsnog achter terwijl we in deze race juist met z’n allen over de streep moeten.
Wat nemen we mee?
Helaas kan ik dit artikel niet in goed geweten beëindigen met een lijstje tick-the-box verplichtingen om aan alle stukken wet- en regelgeving te voldoen. Zoals eerder gezegd is de toepassing van stukken wetgeving zó afhankelijk van de data, rol en diensten van een organisatie, dat één lijst niet dekkend is. Gezien de nieuwe rechten en plichten die de Digital Decade introduceert en het steeds veranderende tech-landschap, is het noodzaak dat je intern (of extern) zorgt dat iemand binnen je organisatie zich hierop toelegt: waar staan wij binnen die Digital Decade en wat moeten we doen?
Buiten specifieke verplichtingen waar organisaties rekening mee moeten houden, scheelt het als organisatie als je je mindset instelt op het volgende: alle stukken wetgeving die uit de Digital Decade vloeien willen min of meer het volgende bereiken: een florerende techmarkt die kan concurreren met andere grootmachten en die tegelijkertijd onze in de EU afgesproken grondrechten waarborgt.
Die mindset in de praktijk toepassen doe je vooral door:
- zelf te blijven nadenken en vragen te stellen,
- en grondrechten te waarborgen in de toepassing van technologie.
Voorbereiden op de toekomst
Zelfs wanneer AI taken overneemt, is het relevant zelf te blijven nadenken. Gebruik je gezond verstand vóórdat je naar wettelijke verplichtingen kijkt. Is het gebruiken van AI-tool om cv’s te scannen wel logisch? Hoe denken we dat onze klanten daarop reageren, of hoe zou een derde daar überhaupt op reageren gezien onze positie? Misschien moeten we toch even terug naar de tekentafel met de ontwikkelaars, of beperkingen toepassen in de implementatie van de tool.
Misschien wel het belangrijkste: vervlecht het waarborgen van grondrechten in de toepassing van technologie. Het recht op privacy, vrijheid van meningsuiting en non-discriminatie, maar ook het recht om te ondernemen, zijn fundamentele principes die in wetten verder worden uitgewerkt. Wanneer je deze rechten serieus neemt, ben je vaak al op de goede weg voordat je de wet open slaat.
Uiteraard zal je met deze instelling niet magisch alle specifieke verplichtingen weten te herkennen, maar de vraag ‘mogen we dit doen’ of ‘zouden we dit moeten willen doen’ is dan al beantwoord voor je bij je jurist aanklopt.
Het blijft van belang om zowel technologie als ethiek met elkaar te verbinden en voortdurend na te denken over de gevolgen van de keuzes die je maakt. Met zo’n instelling, is je organisatie namelijk altijd klaar voor het volgende jaar.
