Europese wetgeving over AI, data en cyberveiligheid die u als organisatie moet kennen

Overzicht van Europese digitale wetgeving

Sinds een aantal jaar is de Europese Unie (EU) bezig met haar Digitale Agenda. In dat kader zijn onder andere al de AVG, de AI Act en de Digital Services Act (DSA) aangenomen. Het doel is om versnippering te voorkomen, vertrouwen te verbeteren en vendor lock-ins te voorkomen. Dit doet de EU voornamelijk via verordeningen. Dit zijn wetten die rechtstreeks werken, en niet nog door de lidstaten verwerkt te hoeven worden in nationale wetgeving.

Daarnaast worden er 9 “data spaces” opgericht. Hierin wordt data uit 9 verschillende sectoren gebundeld om toegang tot de data en interoperabiliteit te waarborgen. De eerste data space die voorgesteld door de EU is die voor gezondheid. Later volgen ook data spaces voor bijvoorbeeld energie, landbouw en financiën. 

Het zou te ver gaan om in één blogpost alle wetgeving uit de Digitale Agenda te behandelen. Ik bespreek achtereenvolgens:

• AI Act
• Data Act
• Data Governance Act (DGA)
• Cyber Resilience Act (CRA)
• Payment Service Directive 2 (PSD2)
• Network and Information Security Directive 2 (NIS2)
• Digital Operations and Resilience Act (DORA)
• Digital Markets Act (DMA)
• Digital Services Act (DSA)
• Interoperable Europe Act
• Digital Euro
• AI Liability Directive
• European Health Data Space
• Overige Data Spaces

Dit blog wordt structureel aangevuld met nieuwe wetgeving en aanvullende informatie.

AI Act: Europese regels voor kunstmatige intelligentie

De Wet op de Artificiële Intelligentie (2024/1689) streeft ernaar veilige AI-systemen te garanderen die de grondrechten en waarden van de EU respecteren. Op deze manier wenst de EU investeringen en innovatie te vergemakkelijken. De AI Act is relevant voor een breed scala aan betrokkenen: consumenten, overheden en bedrijven die AI-producten gebruiken of ermee in aanraking komen. 

Wat moet ik weten over de inhoud?

In de AI Act worden alle AI-toepassingen opgedeeld naar risico. Systemen voor onaanvaardbaar risico, zoals social scoring en real-time gezichtsherkenning, worden verboden. AI-systemen met een hoog risico zijn onder de AI Act toegestaan, maar worden gereguleerd. Zo worden deze systemen onderworpen aan een verplichte conformiteitsbeoordeling, moet de trainingsdata voldoen aan bepaalde kwaliteitseisen en moeten beslissingen van de AI uitlegbaar zijn. Een “hoog risico” hebben AI-systemen die bedoeld zijn om gebruikt te worden als veiligheidscomponent, zoals medische hulpmiddelen, en AI-systemen met implicaties op het gebied van de grondrechten, zoals op het gebied van onderwijs. Voor AI-systemen met een laag of minimaal risico gelden slechts transparantieverplichtingen. Deepfakes moeten daardoor bijvoorbeeld worden aangemerkt als AI-gegenereerd. 

Wat betekent dit voor mij?

Voor producenten van AI komen er veel nieuwe regels. Voor afnemers komen er weinig nieuwe plichten. De rechten van afnemers worden wel beter geborgd: door meer transparantie- en veiligheidsplichten voor producenten, weten afnemers beter wat ze kopen en/of gebruiken. De afnemer heeft wel de plicht om de AI ook correct te gebruiken, conform de instructies die de producenten verplicht moet aanleveren.

Hoe nu verder?

De AI Act is op 1 augustus 2024 in werking getreden. De wet wordt in fases van toepassing:

• Februari 2025: bepalingen voor verboden AI.
• Augustus 2025: Eisen voor AI voor algemeen gebruik (general purpose AI, zoals ChatGPT).
• Augustus 2026: Eisen voor hoog-risico AI-toepassingen en transparantieverplichtingen.
• Augustus 2027: Eisen voor hoog-risico AI-producten: volledige AI-verordening is dan van toepassing.
• Augustus 2030: Eisen voor hoog-risico AI-systemen bij overheidsorganisaties die vóór augustus 2026 op de markt zijn gebracht. 

In december 2023 is een politiek akkoord bereikt over de tekst van de wet. Dit betekent niet direct dat de Act ook op korte termijn geldig zal worden; het Europees Parlement moet er namelijk ook nog over stemmen. In de praktijk kan dit lang duren.

Meer weten? Ken de amendementen op AI Act wat deze betekenen voor uw bedrijf. 

Data Act: regels voor data inzicht en cloudtransparantie

De Dataverordening (2023/2854) is een zeer uitgebreid voorstel over uiteenlopende onderwerpen. Het geeft transparantierechten en -plichten over de data die een product verzamelt, geeft het recht op overstappen tussen clouddiensten en legt verplichte contractbepalingen op. Deze regels gelden voor ieder bedrijf dat data verzamelt of slimme apparaten verkoopt.

Wat moet ik weten over de inhoud?

Onder de Data Act moeten producten zoals slimme koelkasten, telefoons en clouddiensten inzicht gaan bieden in de gegenereerde data. Verkopers hiervan moeten de klant duidelijk voorlichten over deze datastromen. Ook hebben klanten het recht op overstap, zoals van Google Drive naar iCloud.

Wat betekent dit voor mij?

Zogeheten vendor lock-ins, waarbij het overstappen naar een andere provider heel moeilijk of niet rendabel is, worden door de Data Act tegengewerkt. Voor consumenten is dat goed nieuws. Voor de fabrikanten, aanbieders en verkopers van technologie komen er wel zeer vérgaande plichten die veel actieve handelingen voorschrijven. Bedrijven die data verzamelen moeten duidelijk communiceren welke gegevens verzameld worden, of deze real-time gegenereerd worden, wie de data gebruikt en hoe gebruikers toegang kunnen krijgen tot hun gegevens. Ook moeten bijvoorbeeld bepaalde bepalingen in de Algemene Voorwaarden worden opgenomen, en moeten klanten worden voorgelicht bij de koop van een product.

Hoe nu verder?

De Data Act is op 11 januari 2024 in werking getreden. Ze is van toepassing per 12 september 2025. Meer weten? Bekijk ook dit blog over de Data Act. 

Data Governance Act: overheidsdata en databemiddeling

De Datagovernanceverordening (2022/868) is net als de Data Act veelomvattend. Allerlei regelingen over toegang tot overheidsdata worden in één verordening gebundeld. Tegelijkertijd worden kaders gesteld voor databrokers en wordt het Europees Comité voor gegevensinnovatie opgericht.

Wat moet ik weten over de inhoud?

Overheden mogen onder de Data Governance Act hun data niet exclusief met één partij delen. Data moet in beginsel vrij beschikbaar zijn, zelfs als het om bedrijfsgeheimen of intellectueel eigendom gaat. Mag de data niet gedeeld worden omdat het om persoonsgegevens gaat? Dan is het overheidsorgaan verplicht om hergebruikers bij te staan bij het opvragen van toestemming bij betrokkenen.

Er wordt een centraal informatiepunt opgericht, waarbij ieder overheidsorgaan zijn hergebruikbeleid moet aanmelden. Daarbij staan transparantie en non-discriminatie voorop.

Daarnaast zijn regels gesteld voor databemiddelingsdiensten en erkende organisaties voor data-altruïsme. Het lijkt erop dat dit gaat om organisaties waar mensen vrijwillig gegevens mee kunnen delen, zoals voor onderzoeksdoeleinden. Ook wordt een comité opgericht om hierop toe te zien. Op deze regels bestaat veel kritiek, omdat onduidelijk is om wat voor organisaties dit gaat en in hoeverre er een maatschappelijke behoefte is aan deze organisaties.

Wat betekent dit voor mij?

Het opvragen van overheidsdata wordt steeds makkelijker. Met een combinatie van de Wet Open Overheid, de AVG en de Data Governance Act zijn de inzagemogelijkheden ruim. Voor bedrijven en burgers worden eigenlijk geen extra plichten opgelegd. Tegelijkertijd legt de Data Governance Act wel een extra grote last op overheidsorganen: het verstrekken van data kan veel tijd en moeite vergen, en de vergoeding die gevraagd mag worden is vrij gering. Ook betekent de Data Governance Act dat beschermde data van bedrijven ook opgevraagd kan worden, iets waar niet ieder bedrijf onverminderd enthousiast over zal zijn.

Hoe nu verder?

De Data Governance Act is op 24 september 2023 in werking getreden en kan dus al benut worden. 

Cyber Resilience Act: cybersecurity verplichtingen voor digitale producten

De Verordening betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen (2024/2847) beoogt producten met digitale elementen beter te beveiligen. Door één geharmoniseerd kader voor cyberveiligheid te creëren, worden de eisen aan software en hardware meer inzichtelijk. Ook wordt de Internet of Things (IoT) gereguleerd.

Wat moet ik weten over de inhoud?

De Cyber Resilience Act (CRA) richt zich voornamelijk op de producenten van hardware en software. Het gaat daarbij om ieder product met digitale elementen, met een aantal uitzonderingen voor bijvoorbeeld Software-as-a-Service (SaaS) en medische hulpmiddelen. De CRA geeft minimumeisen aan de cyberbeveiliging van producten, waardoor producten geleverd moeten worden zonder bekende kwetsbaarheden: cybersecurity-by-design. Producenten moeten ook een risicobeoordeling maken voor hun producten. Is er een hoog risico, dan gelden er aanvullende eisen. Na het verkopen van de producten moeten producenten waar nodig beveiligingsupdates uitbrengen.

Importeurs en distributeurs van producten moeten controleren of de fabrikant en de voorafgaande importeurs en distributeurs aan de eisen van de Cyber Resilience Act voldoet en moeten zij contactgegevens aanbrengen op het product of de verpakking daarvan. Kwetsbaarheden moeten worden gemeld aan de fabrikant en aan de toezichthouder. Voldoen bedrijven niet aan de CRA, dan kan de toezichthouder flinke boetes opleggen.

Wat betekent dit voor mij?

De CRA is voornamelijk relevant voor fabrikanten, maar op verkopers en importeurs rust ook een zekere verplichting. Controle op elkaars naleving van de CRA betekent dat er goed over en weer gerapporteerd zal moeten worden, en dat ook de importeurs en distributeurs verstand moeten hebben van de CRA en de implicaties daarvan. Zeker voor kleinere bedrijven zonder technici in dienst kan dit ervaren worden als een hoge eis. Ook open source-producenten en startups hebben kritiek geuit op de strenge eisen.

Hoe nu verder?

De CRA is op 10 december 2024 in werking getreden, en de belangrijkste verplichtingen zijn van toepassing vanaf 11 december 2027. De rapportageverplichting en de conformiteitsbeoordelingen zijn echter al vanaf medio 2026 van toepassing. 

PSD2: toegang tot betaalgegevens en innovatie

De Richtlijn betreffende betalingsdiensten in de interne markt (2015/2366) is bedoeld om de betaalmarkt te vernieuwen, stimuleren en de concurrentie te bevorderen. Met de komst van de richtlijn krijgen consumenten de mogelijkheid om derde partijen toegang te geven tot hun betaalgegevens.

Wat moet ik weten over de inhoud?

Onder de Payment Service Directive 2 richtlijn (PSD2) kan men zelf kiezen wie toegang krijgt tot betaalgegevens. Deze informatie blijft dus niet langer tussen de bank en de afnemer, maar kan ook met derden gedeeld worden. Deze derden moeten hier wel een vergunning voor hebben.

Wat betekent dit voor mij?

De PSD2-richtlijn wakkert concurrentie en innovatie aan. Concurrentie omdat de betaalmarkt verder wordt geopend, en innovatie omdat smart contracting makkelijker wordt gemaakt. Het is expliciet de bedoeling dat geautomatiseerd bestellen bijvoorbeeld mogelijk wordt. Zo kunnen apps voor budgetbeheer of online betaaldiensten ook deelnemen aan het betaalverkeer.

Hoe nu verder?

De PSD2-richtlijn is in 2019 verwerkt in Nederlandse wetgeving en is dus al van kracht. 

NIS2: Europese wetgeving voor cyberbeveiliging

De Richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (2022/2555) is de opvolger van een richtlijn uit 2016. NIS2 stelt eisen aan de cybersecurity van een grote lijst aan sectoren. Waar de Cyber Resilience Act de producten aanpakt, ziet NIS2 op de diensten. Organisaties moeten extra beveiligingsmaatregelen nemen, cyberincidenten moeten melden en rapporten moeten schrijven over cyberincidenten en hoe zij deze hebben opgelost. In Nederland wordt deze richtlijn geïmplementeerd in de Cyberbeveiligingswet.

Wat moet ik weten over de inhoud?

De Network and Information Systems Directive (NIS2) geldt voor (middel)grote en/of kritieke entiteiten die werkzaam zijn in een sector die genoemd is in de Richtlijn. Het gaat dan bijvoorbeeld om zorg, energie, vervoer, drinkwater en digitale diensten. Er komen 3 grote verplichtingen: een zorgplicht, waardoor organisaties een risicobeoordeling moeten doen en maatregelen treffen om cyberincidenten te voorkomen, een onderwerping aan toezicht van een onafhankelijke toezichthouder en een meldplicht bij deze toezichthouder. De specifieke eisen die worden gesteld worden grotendeels overgelaten aan nationale overheden.

Wat betekent dit voor mij?

Bedrijven die onder NIS2 vallen kunnen strengere eisen over cyberveiligheid verwachten. Dat gaat niet alleen over de veiligheid van de systemen die zij gebruiken, maar ook over de interne processen. Zo moet aan risicoanalyse worden gedaan, moeten kwetsbaarheden in beeld worden gebracht en moeten incidenten binnen 24 uur gemeld worden. Dit kan een grote last opleveren, zeker voor bedrijven zonder technici in huis. Bij twijfel is het devies om een expert in te schakelen: de toezichthouder kan flinke boetes opleggen als een bedrijf haar cyberveiligheid niet op orde heeft.

Hoe nu verder?

De richtlijn is eind 2022 aangenomen, waarna het aan de lidstaten is om de specifieke regels vast te stellen. Dit moest uiterlijk op 17 oktober 2024 zijn gebeurd, maar dit is niet gelukt. De verwachting is dat de Nederlandse uitwerking van de regels, de Cyberbeveiligingswet, in 2025 in werking zal treden. In de tussentijd adviseert de Nederlandse overheid om alvast te gaan voldoen aan de Baseline Informatiebeveiliging Overheid (BIO).

Meer weten? Bekijk op welke sectoren de NIS2 van toepassing is en wat dat betekent. 

DORA: digitale veerkracht in de financiële sector

De Verordening Digitale operationele veerkracht (2022/2554) is gericht op financiële entiteiten. Kredietinstellingen, handelsplatformen, verzekeraars en andere financiële entiteiten worden verplicht om vérgaande cyberweerbaarheid aan te brengen in hun organisatie.

Wat moet ik weten over de inhoud?

De Digital Operational Resilience Act (DORA) brengt een aantal grote verplichtingen voor financiële entiteiten met zich. Ten eerste moeten entiteiten intern aan de slag: ze moeten aan risicobeheer gaan doen, inclusief risicobeheer voor ICT van derden en ze moeten hun digitale weerbaarheid testen. Daarnaast moet informatie worden uitgewisseld: ICT-incidenten en cyberdreigingen moeten worden gemeld bij de autoriteiten, en entiteiten moeten informatie over cyberdreigingen en cyberkwetsbaarheid uitwisselen. Ten slotte stelt de DORA een aantal eisen aan contracten tussen entiteiten en IT-leveranciers.

Wat betekent dit voor mij?

Als financiële instelling is er werk aan de winkel. Niet alleen moet een systeem van risicobeheer, analyse en rapportage worden opgesteld, maar het is ook goed mogelijk dat de contracten met ICT-leveranciers herzien moeten worden. Voor ICT-aanbieders betekent dit dat de lat omhoog gaat. De ICT moet aan hogere standaarden gaan voldoen, en bijvoorbeeld mogelijkheden voor rapportage en testen bieden. Ook kunt u verwachten dat veel klanten nieuwe contracten nodig hebben.

Hoe nu verder?

Eind 2022 is de DORA aangenomen. Bedrijven moeten sinds 17 januari 2025 voldoen aan de DORA. 

Meer weten? Bekijk de checklist voor IT-contracten onder de DORA om te weten aan welke strenge eisen u moet voldoen.

Digital Markets Act: toezicht op machtige digitale platforms

De Digitalemarktenverordening (2022/1925) vormt een pakket met de DSA (zie hierna). De Digital Markets Act (DMA) beschermt Europese consumenten en ondernemers op het gebied van digitale markten, zorgt voor meer concurrentie en keuzevrijheid op digitale markten en regelt beter toezicht bijvoorbeeld op fusies en overnames. Zo wordt het ondernemingsklimaat voor bedrijven die afhankelijk zijn van zogeheten “poortwachters” eerlijker.

Wat moet ik weten over de inhoud?

De DMA reguleert de digitale markt en beschermt gebruikers tegen de macht van een aantal grote marktpartijen, de zogeheten “poortwachters”, ook wel bekend als gatekeepers. Deze poortwachters mogen bepaalde oneerlijke voorwaarden niet gebruiken en de afhankelijkheid van hun diensten niet uitbuiten.

De regels gelden dus voor 7 organisaties: Alphabet, Amazon, Apple, Booking, ByteDance, Meta en Microsoft. Zij zijn gatekeepers op de volgende markten:

• Sociale netwerken: TikTok (Bytedance), Facebook en Instagram (Meta) en LinkedIn (Microsoft)
• Intermediation: Google Maps, Play en Shopping (Alphabet), Amazon Marketplace (Amazon), App Store (Apple), Booking.com (Booking) en Meta Marketplace (Meta)
• Advertenties: Google, Amazon en Meta
• Browsers: Safari (Apple) en Chrome (Google)
• Operating systems: Android (Google), iOs en iPadOS (Apple) en Windows PC (Windows)
• Chats: Whatsapp en Messenger (Meta)
• Video’s: Youtube (Alphabet)
• Zoekmachines: Google (Alphabet)

Wat betekent dit voor mij?

De regels uit de DMA gelden voor poortwachters. Bent je geen poortwachter, dan gelden de regels niet voor jouw bedrijf. Nieuwe poortwachters worden door de Europese Commissie aangewezen. Wel kun je je voordeel halen uit de DMA. Persoonsgegevens mogen bijvoorbeeld niet zomaar door grote marktpartijen worden gebruikt voor advertenties en zij moeten interoperabiliteit faciliteren.

Hoe nu verder?

De Digital Markets Act is in 2022 in werking getreden en is reeds van toepassing vanaf 2023. De grote spelers in de digitale wereld moeten zich zodoende al zo’n twee jaar aan de DMA houden. 

Digital Services Act (DSA)Digital Services Act: verantwoordelijkheden bij online content

De Digitaledienstenverordening (2022/2065) vormt een pakket met de DMA (zie hiervoor). Waar de DMA zich alleen focust op de allergrootste marktpartijen, gelden de regels van de Digital Services Act (DSA ook voor kleinere organisaties. Bied je een zoekmachine aan of kunnen personen content plaatsen op jouw website, dan van je onder de DSA.

Wat moet ik weten over de inhoud?

Bedrijven die online content delen, worden onder de DSA verplicht om meer in te staan voor die content. Krijgen zij een melding van illegale inhoud, dan moeten ze daartegen optreden (notice-and-take-down). En vraagt de overheid om informatie over de werking van de website, dan moet je aan dat verzoek voldoen. Daarnaast moeten er wettelijke vertegenwoordigers worden aangewezen en moeten algemene voorwaarden bijvoorbeeld informatie bevatten over een klachtafhandelingssysteem.

Verder gelden transparantieregels. Over reclame moeten platforms transparant zijn, em zoekmachines moeten transparant zijn over de wijze waarop de volgorde van zoekresultaten worden bepaald.

Zogeheten zeer grote onlineplatforms en zeer grote onlinezoekmachines (VLOP’s en VLOSE’s) worden aan strenger toezicht onderworpen.

Wat betekent dit voor mij?

Het is belangrijk om vast te stellen of jouw bedrijf een zogeheten tussenhandeldienst is. Zodra je content van anderen publiceert, ben je bijvoorbeeld al een tussenhandeldienst. Veel websites vallen hier onder. Dit betekent onder andere dat jouw bedrijf transparantieplichten heeft, dat je op moet treden tegen illegale inhoud en dat je bepaalde zaken in je algemene voorwaarden moet vastleggen.

Hoe nu verder?

De Digital Services Act is van toepassing sinds februari 2024. Voldoe je op dit moment niet aan de DSA, dan is het mogelijk dat er handhavend wordt opgetreden. Het is dus zaak om dit te controleren en het interne beleid hierop af te stemmen. 

Interoperable Europe Act: grensoverschrijdende samenwerking tussen overheden

De Verordening Interoperabel Europa (2024/903) heeft als doel de samenwerking en digitale uitwisseling tussen overheidsorganisaties in de hele EU te verbeteren. De verordening moet het makkelijker maken voor burgers en bedrijven om online diensten te gebruiken, ongeacht in welk EU-land ze zich bevinden.

Wat moet ik weten over de inhoud?

De kern van de Interoperable Europe Act zijn de verplichte interoperabiliteitsbeoordelingen. Een interoperabiliteitsbeoordeling is een gestructureerde evaluatie van een digitale overheidsdienst, waarbij wordt nagegaan of deze voldoet aan de interoperabiliteitseisen zoals vastgelegd in de Act en de bijbehorende normen en specificaties. Het fungeert als een kwaliteitscontrole om te waarborgen dat nieuwe digitale diensten geen belemmeringen vormen voor grensoverschrijdende samenwerking tussen overheden. Verder is de Interoperable Europe Act een vrij formalistisch document, waar een en ander in wordt geregeld over EU-regelgeving en de oprichting van de Interoperabel Europa-raad

Wat betekent dit voor mij?

De Interoperable Europe Act is met name relevant voor de publieke sector, omdat het als doel heeft de samenwerking en digitale uitwisseling tussen overheidsorganisaties in de hele EU te verbeteren.

Hoe nu verder?

De Interoperable Europe Act is sinds januari 2025 volledig van toepassing. 

Digital Euro: een nieuw Europees betaalmiddel

De Verordening betreffende de vaststelling van de digitale euro (2023/369) is een controversieel en atypisch wetsvoorstel. De Europese Centrale Bank onderzoekt mogelijkheden om de digitale versie van de euro te gebruiken, waarbij het doel is om een digitaal betaalmiddel aan te bieden dat veilig, efficiënt en privacyvriendelijk is. Dit zou een nieuw wettig betaalmiddel worden, naast bijvoorbeeld contant geld, cheques en girale betalingen.

Wat moet ik weten over de inhoud?

De Verordening is een relatief formalistisch wetsvoorstel, met bepalingen over de wijze van distributie van de digitale euro en de manier waarop de financiële stabiliteit gewaarborgd kan worden. De bedoeling is niet om een nieuwe cryptocurrency te realiseren, maar om het beheer bij de ECB te leggen.

Wat betekent dit voor mij?

De komst van de digitale euro is van belang voor verschillende groepen, zoals consumenten, betalingsdienstverleners, overheden en financiële instellingen. Omdat er nog weinig bekend is over de praktische uitwerking van de digitale euro, is lastig in te schatten welke impact ze precies zal hebben.

Hoe nu verder?

Er is nog veel onduidelijkheid over de digitale euro, en het voorstel kon op allerlei fronten op veel kritiek rekenen. Zodoende is nog onbekend of en wanneer het wetsvoorstel aangenomen zal worden. 

AI Liability Directive: aansprakelijkheid bij schade door AI

De Richtlijn inzake niet-contractuele civielrechtelijke aansprakelijkheid aan artificiële intelligentie (2022/0303) is een richtlijn om de aansprakelijkheid van en voor AI vast te leggen. Zo kunnen slachtoffers een schadevergoeding vorderen voor schade die AI-systemen hebben veroorzaakt.

Het voorstel voor de AI Liability Directive is begin 2025 ingetrokken. Dat betekent dat deze niet verder in behandeling genomen wordt. Het is wel mogelijk dat een aangepaste versie van de richtlijn opnieuw ingediend zal worden, maar ook dan zal het nog jaren duren voordat dit geldend recht is. 

European Health Data Space: datadeling in de zorgsector

De Verordening betreffende de Europese ruimte voor gezondheidsgegevens (2025/327) heeft als doel om datagebruik in de zorgsector te vergemakkelijken. Dit ziet op twee niveaus: het gebruik door burgers, en het gebruik tussen bedrijven en instellingen onderling. Zo krijgen burgers makkelijk inzage in hun patiëntgegevens, en worden drempels weggenomen voor het doen van onderzoek. Ook worden eisen gesteld aan elektronische patiëntendossiers (EPD’s).

Wat moet ik weten over de inhoud?

Voor burgers is de European Health Data Space (EHDS) als het ware een verlengstuk van de AVG. De EHDS creëert een recht op toegang tot persoonlijke elektronische gezondheidsgegevens. Dit moet onmiddellijk, gratis en makkelijk te lezen zijn.

Voor zorginstellingen betekent de EHDS dat zij veel gegevens (al dan niet anoniem) moeten gaan delen. Zo worden wetenschappelijk onderzoek, innovatie en beleidsvorming eenvoudiger. Door een EU-brede infrastructuur voor gezondheidsgegevens, krijgen zorgverleners ook makkelijker toegang tot de zorgdata, bijvoorbeeld als de gegevens uit een ander land komen.

Waar de AVG expliciete toestemming als uitgangspunt neemt, neemt de EHDS uitwisseling als uitgangspunt. Dit zorgt voor een zeker spanningsveld. Ook het medisch beroepsgeheim speelt parten. Het is nog niet geheel duidelijk hoe deze uitgangspunten zich tot elkaar moeten verhouden.

EPD’s moeten gaan voldoen aan certificeringseisen. Zo moeten systemen beter met elkaar gaan communiceren. Ook zaken als wellnessapps en slimme horloges kunnen interoperabel worden gemaakt met EPD’s en hier een label voor krijgen.

Wat betekent dit voor mij?

Voor patiënten betekent dit dat toegang tot data makkelijker wordt. Ook kan de patiënt voor sommige zorgverleners de toegang beperken, het dossier aanvullen en de gegevens controleren. Zorgverleners komen in een wat onduidelijker staat terecht: aan de ene kant kunnen zij makkelijker gegevens uitwisselen en onderzoek doen, aan de andere kant komen zij wellicht in de knel met hun beroepsgeheim en kan het verplicht delen van gegevens een grote werklast opleveren. Leveranciers van EPD’s krijgen echter de grootste werklast: zij moeten hun systemen interoperabel maken en toegang door patiënten mogelijk maken. Dit kan tot grote wijzigingen in de systemen leiden.

Hoe nu verder?

De EHDS-verordening is in januari 2025 aangenomen door de instanties van de Europese Unie. De verordening wordt gefaseerd van toepassing tussen 2027 en 2031. 

Overige Data Spaces: toekomstplannen voor sectorale datastructuren

De EU is van plan om, naast de EHDS, ook andere data spaces in te richten. Deze staan op moment van schrijven nog in de kinderschoenen. Het gaat om de volgende 9 dataruimten:

Gezondheid

De EHDS is aangenomen en wordt gefaseerd van toepassing. Daarnaast zullen infrastructuren worden gebouwd in de vorm van HealthData@EU, MyHealth@EU, EU4Health, de Europese federatie voor kankerbeelden en de Europese Genomische Data-Infrastructuur.

Productie

De basis is gelegd voor de uitrol van een dataruimte voor de productie, bijvoorbeeld in de vorm van een netwerk van belanghebbenden, blauwdruk, governance-modellen en prioriteitsdatasets. In de toekomst wordt toegewerkt naar twee operationele dataruimten voor assetbeheer.

Financiën

Er zijn voorstellen gedaan voor de oprichting van een European Single Access Point (ESAP), een algemeen kader voor toegang tot financiële gegevens (FIDA) en algemene bepalingen om dubbele rapportage-eisen op het gebied van financiële diensten en investeringsondersteuning te voorkomen. De ESAP moet nog worden geïmplementeerd.

Overheidsdiensten

Standaarden voor wetsontwerpen en de verslaglegging van parlementaire activiteiten zijn uitgebreid, en er wordt een prototype ontwikkeld voor een gezamenlijk wetgevingsportaal en een EU-brede zoekmachine voor nationale wetgeving. Daarnaast wordt aanbestedingsprocedures geharmoniseerd en is voorbereidend werk verricht voor eGovernment-systemen.

Green deal

Er zijn voorstellen gedaan voor een digitaal productpaspoort en een data space voor slimme gemeenschappen, maar deze zijn nog niet uitgewerkt.

Energie

Er zijn voorstellen gedaan voor digitalisering van het energiesysteem en toegang tot elektriciteitsmeter- en verbruiksdata, maar deze zijn nog niet gelanceerd.

Mobiliteit

Er zijn eerste aanbevelingen gedaan voor bouwstenen van een data space voor mobiliteit, maar deze bestaat nog niet.

Landbouw

Een data space voor landbouw bestaat nog niet, maar hier wordt wel naartoe gewerkt.

Vaardigheden

Een data space voor vaardigheden bestaat nog niet, maar hier wordt wel naartoe gewerkt. 

De nieuwe Europese digitale wetgeving brengt grote veranderingen met zich. Bent u actief in de ICT-branche en heeft u juridische vragen over de aankomende wetten? Of bent u een verkoper van technische producten en wilt u meer weten over uw rechten en plichten? Neem dan gerust contact op met mij of een van mijn collega’s IT-recht. We denken graag met u mee.