Data en de nieuwe EU wet- en regelgeving: een overzicht

Voor bestuurders en commissarissen is het belangrijk op de hoogte te zijn van de laatste ontwikkelingen op het gebied van wet- en regelgeving. Wat betekenen deze ontwikkelingen voor uw bestuur en organisatie? Welke sectorspecifieke ontwikkelingen zien we, zoals de samenhang tussen de AI Act, de MDR en de impact van de DORA wetgeving voor de financiële sector? Dit blog informeert u over de laatste stand van zaken.

De visie van de EU achter veel van de nieuwe wet- en regelgeving is het mogelijk maken van een Europese digitale samenleving en economie. De EU digital single market heeft als basis: wat offline geldt moet ook online gelden.

Wat offline geldt moet ook online gelden

Deze wet- en regelgeving is actueel en urgent. De ontwikkelingen gaan immers razendsnel en brengen risico’s op het gebied van privacy schending, desinformatie en misbruik van AI met zich mee. Met de AVG als basis worden daarom veel nieuwe wetten ingevoerd rondom thema’s als platforms, data, AI en cybersecurity.

Voor bestuurders en commissarissen is het van belang een voldoende goed beeld te hebben van wat er speelt in de eigen sector en te leren van andere sectoren. Er zijn 126 wetten in aantocht, waarvan er op dit moment ruim 20 in werking zijn.

Er zijn 126 wetten in aantocht

De EU wil AI veilig en betrouwbaar maken maar wel ruimte bieden voor innovatie. De AI Act richt zich bijvoorbeeld op de bescherming van het individu. De risico’s zijn evident. Denk aan deepfakes, privacy schending en inbreuk op het intellectueel eigendom. Op de Europese risicoschaal worden deze gezien als onaanvaardbaar.

Medical devices, kritieke infrastructuur en het terrein van werving en selectie worden gezien als een hoog risico. Bij chatbots en het genereren van content gaat het vooral om transparantie. Dit wordt gezien als een bepekt risico. En bij bijvoorbeeld games en spamfilters gaat het om een minimaal risico.

Zie de wet- en regelgeving in samenhang

Voor bestuurders is het ook van belang de wet- en regelgeving in samenhang te bezien. En om te beseffen dat bijvoorbeeld de AI Act van toepassing is op hele productieketen, van aanbieder, importeur, distributeur tot gebruiker.

De Nederlandse overheid heeft het algoritmeregister ingevoerd, waarin alle hoog risico systemen zijn opgenomen. Het doel is om transparantie te bieden. De AI liability directive moet slachtoffers hulp bieden. Burgers kunnen hiermee organisaties aansprakelijk stellen.

Balans tussen bescherming en benutten van kansen

Al met al is de EU op zoek naar balans tussen bescherming van burgers en bedrijven het benutten van alle kansen die de ontwikkelingen de maatschappij bieden. Een duidelijk verschil met de US, die data makkelijker ter beschikking stelt aan commerciële bedrijven. Of met Azië, waar de nationale veiligheid voorop staat. 

De Network and information security directive (NIS2) richt zich op cybersecurity en trad in januari 2023 in werking in Europa. Begin 2025 zal het in de Nederlandse wet worden opgenomen. Hierbij gaat het om het verbeteren van beveiliging bij organisaties en bedrijven. Ten opzichte van NIS1 betreft het nu meer sectoren en zijn er meer verplichtingen. Het aantal organisaties waarop de wet betrekking heeft stijgt van 300 naar 5000 en ook toeleveranciers worden hierin meegenomen.

Voor cyberstrategie wordt verantwoordelijkheid gelegd bij bestuurders

Het gaat dan om registratie-, meldings- en zorgplicht. Een bijzondere verantwoordelijkheid wordt gelegd bij bestuurders waar het gaat om cyberstrategie. Er moeten maatregelen worden genomen en opleidingen worden gevolgd. Daarom is het voor bestuurders en commissarissen zo belangrijk om op de hoogte te zijn van actuele dreigingen en hoe daarop te reageren.

Naast algemene wet- en regelgeving zijn er ook zaken die specifiek voor sectoren gelden. We lichten er enkele sectoren uit.

De overheid wil hier het goede voorbeeld geven, daarom zijn er onder meer regels voor het (her)gebruik van data:

• De Wet Hergebruik Overheidsinformatie beschrijft welke data er beschikbaar moeten zijn, bijvoorbeeld omgevingsinformatie. Deze metadata moet elektronisch aangeleverd worden. Alleen dan kunnen partijen er echt mee aan de slag.
• De Wet Digitale Overheid behelst het veilig en betrouwbaar inloggen door burgers. Dat doel wordt onder andere bereikt door het instellen van open standaarden en systemen voor veilig e-mailen. DigID en E-herkenning voor bedrijven zijn hier al voorbeelden van.
• De Wet Open Overheid geeft informatie omtrent waar de overheid zich mee bezighoudt. Het gaat om openbaarmaking van besluitvorming en budgettering.  

De uitdaging hier is om data zoals in EPD’s en lokale apps te ontsluiten. Dat stuit echter op praktische bezwaren, zoals hoge kosten. Er ligt een juridische grondslag, maar tussen willen en kunnen gaapt vaak nog een groot gat. Doel is in elk geval om een goede infrastructuur voor digitale zorg te realiseren, waardoor gegevensuitwisseling eenvoudiger wordt.

• De Wet Kwaliteitsregistratie is een stelsel dat de zorgkwaliteit meet. Bescherming van persoonsgegevens staat centraal. Data governance is belangrijk. Ook hier geldt: wees als bestuurder goed voorbereid op wat er komen gaat.
• De Wet Digitale Identificatie en Authenticatie in de Zorg moet het veilig en makkelijk maken om gegevens uit te wisselen. In de praktijk zijn er echter nog maar weinig veilige middelen voor communicatie tussen zorgprofessional en patiënt.
• De European Health Data Spaces (EHDS) gaat over grensoverschrijdende uitwisseling van gezondheidsgegevens. En over secundaire uitwisseling en rechten aan individuen, bijvoorbeeld elektronische toegang tot gegevens. Dit heeft grote impact op IT-systemen.
• Wat betreft AI in de zorg geldt onder meer dat medische hulpmiddelen zoals een smartwatch aan strenge eisen moeten voldoen. Deze wet zal voorlopig niet worden ingevoerd, maar ook hier wordt de rol van de bestuurder belangrijk.

In deze sector bevindt de regulering van digitalisering zich echt op een kookpunt.

• De Ditigal Operational Resilience Act (DORA) vraagt organisaties en toeleveranciers digitaal weerbaarder te worden. Alle contracten moeten bijvoorbeeld voor 2025 herijkt worden.
• De Payment Service Regulation en Payment Services Directive 3 vragen om meer informatie van financiële instellingen en delen boetes uit wanneer dat niet gebeurt.
• De Markets In Crypto-Assets Regulation (MICAR) is de eerste wet op het gebied van crypto. De wet richt zich op markt integriteit en schept randvoorwaarden om markt en houders te beschermen.

Bedrijven en organisaties zullen proactief moeten zijn in het aanpassen van hun processen en systemen om te voldoen aan de nieuwe eisen. Dat vraagt om investering in technologie, training van personeel en het opzetten van robuuste compliance-programma's.

De nieuwe regels zijn ontworpen om een veilige, transparante en eerlijke digitale markt te creëren binnen de EU. Voor organisaties betekent dit dat ze zich moeten aanpassen aan strikte nalevingseisen en zich moeten voorbereiden op intensief toezicht. Door proactief te handelen en te investeren in compliance, kunnen bedrijven niet alleen boetes vermijden maar ook profiteren van de voordelen van een goed gereguleerde digitale markt

Het zal duidelijk zijn van bestuurders en commissarissen in actie moeten komen om zich te informeren over de nieuwe wet- en regelgeving en de juridische gevolgen daarvan. Dat begint met inzicht verkrijgen in de eigen rol en verplichtingen. Wat wordt de strategie op dit terrein, wat is het onderlinge verband tussen alle wet- en regelgeving? Wees dus op de hoogte van wat er speelt. Kijk hoe andere sectoren het oppakken. Laat u waar nodig adviseren door externe experts. Zie het onderscheid tussen willen en kunnen, tussen de theorie en de praktijk. En vergeet niet: de Europese digitale samenleving en economie biedt ook enorme kansen aan innovatieve bedrijven en organisaties.

Via de volgende link is dit webinar terug te kijken: RAAD Webinar: Data en de nieuwe EU wet en regelgeving - KPMG Nederland