Uitvoeringswet EU AI Act in consultatie
Het kabinet heeft de uitvoeringswet voor de EU AI Act in consultatie gebracht. In deze wet wordt geregeld welke toezichthouders in Nederland toezicht gaan houden op AI-systemen en welke handhavingsbevoegdheden zij krijgen. De EU AI Act, officieel de Europese AI-verordening, werkt rechtstreeks in alle EU-lidstaten, maar de nationale uitvoering moet per lidstaat worden vastgelegd.
De AI-verordening kent een risicogebaseerde aanpak. Voor verboden AI-praktijken gelden de strengste beperkingen, terwijl hoog-risico AI-systemen moeten voldoen aan eisen rond onder meer datakwaliteit, risicobeheer, menselijk toezicht en transparantie. Ook moeten gebruikers in bepaalde gevallen duidelijk kunnen zien dat zij met AI communiceren, bijvoorbeeld bij chatbots of AI-gegenereerde content.
Het kabinet kiest voor een toezichtstelsel waarin meerdere bestaande toezichthouders binnen hun eigen domein toezicht houden. De Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur krijgen daarbij een coördinerende rol. Daarnaast worden onder meer de Inspectie Gezondheidszorg en Jeugd, de Nederlandse Voedsel- en Warenautoriteit, de Autoriteit Financiële Markten en De Nederlandsche Bank genoemd als beoogde markttoezichtautoriteiten.
Belanghebbenden kunnen tot en met 1 juni 2026 reageren via de internetconsultatie over de Uitvoeringswet AI-verordening.
AP controleert beveiliging ICT-leveranciers
De Autoriteit Persoonsgegevens (AP) controleert in de zorgsector hoe organisaties patiëntgegevens beschermen en beveiligen. Cyberbeveiliging is daarbij een belangrijk aandachtspunt. In datzelfde kader gaat de toezichthouder nu ook kijken naar ICT-leveranciers, die vaak systemen en digitale infrastructuur beheren waarin persoonsgegevens van meerdere organisaties worden verwerkt.
Volgens de AP kan een beveiligingsprobleem bij één ICT-leverancier gevolgen hebben voor veel klanten tegelijk. Leveranciers beheren bijvoorbeeld applicaties, hostingomgevingen, koppelingen en andere digitale voorzieningen die essentieel zijn voor de dagelijkse verwerking van persoonsgegevens. Wanneer daarbij gevoelige gegevens betrokken zijn, kunnen de risico’s voor betrokkenen groot zijn.
De toezichthouder kiest nadrukkelijk voor een preventieve aanpak. Door vooraf te controleren hoe leveranciers hun digitale beveiliging hebben ingericht, wil de AP cyberaanvallen en datalekken helpen voorkomen. Waar nodig kan de toezichthouder leveranciers aanspreken of adviseren over verbetermaatregelen.
Organisaties blijven zelf verantwoordelijk voor een zorgvuldige omgang met persoonsgegevens, ook wanneer zij werkzaamheden uitbesteden. De controles onderstrepen dat gegevensbescherming niet ophoudt bij de eigen organisatie, maar ook afhankelijk is van de beveiliging in de digitale keten.
Tweede Kamer stemt in met Cyberbeveiligingswet
De Tweede Kamer heeft ingestemd met de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Met deze wetsvoorstellen worden de Europese NIS2-richtlijn en CER-richtlijn omgezet in Nederlandse wetgeving. De wetten richten zich op organisaties die belangrijk zijn voor het functioneren van economie en samenleving.
De Cyberbeveiligingswet vervangt straks de huidige Wet beveiliging netwerk- en informatiesystemen. Organisaties die onder de nieuwe wet vallen, krijgen onder meer verplichtingen op het gebied van risicobeheersing, incidentmelding en registratie. Daarmee moeten zij beter voorbereid zijn op digitale dreigingen en verstoringen.
De Wet weerbaarheid kritieke entiteiten heeft een bredere insteek en ziet op de bescherming van organisaties die essentiële diensten leveren. Daarbij gaat het niet alleen om digitale risico’s, maar ook om fysieke en organisatorische weerbaarheid. Welke organisaties onder deze wet vallen, wordt door de verantwoordelijke vakminister bepaald.
Volgens het kabinet is het belangrijk dat organisaties zich nu al voorbereiden op de nieuwe regels. Hoewel de wetten nog niet in werking zijn getreden, kunnen organisaties alvast nagaan of zij onder de reikwijdte vallen en welke maatregelen nodig zijn om aan de verplichtingen te voldoen.
Europese DPIA-template in consultatie
De European Data Protection Board (EDPB) heeft een Europese template voor een gegevensbeschermingseffectbeoordeling, in het Engels Data Protection Impact Assessment (DPIA), opgesteld en in consultatie gebracht. De DPIA-template moet organisaties helpen om zulke beoordelingen gestructureerd vast te leggen en beter vergelijkbaar te maken binnen Europa.
Een DPIA is verplicht wanneer een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Organisaties moeten dan vooraf beschrijven welke persoonsgegevens worden verwerkt, waarom de verwerking nodig is en welke maatregelen worden genomen om risico’s te beperken.
De template bevat vaste onderdelen voor de beschrijving van de verwerking, de beoordeling van noodzaak en proportionaliteit en de analyse van risico’s en maatregelen. Volgens de EDPB kunnen organisaties hun eigen DPIA-methodiek blijven gebruiken, maar kan de template helpen om relevante informatie vollediger en consistenter vast te leggen.
De consultatie loopt tot 9 juni 2026. Na afloop beoordeelt de EDPB de reacties en wordt de template definitief gemaakt. Daarna moeten Europese privacytoezichthouders stappen zetten om de template te gebruiken als eigen standaard of als basis waaraan nationale templates kunnen worden gekoppeld.
Europese controle op transparantie AVG
Europese privacytoezichthouders gaan dit jaar extra kijken of organisaties betrokkenen voldoende duidelijk informeren over het gebruik van hun persoonsgegevens. De actie richt zich op de transparantieverplichtingen uit de Algemene verordening gegevensbescherming (AVG), zoals de informatie die organisaties moeten geven bij het verzamelen of verder gebruiken van gegevens.
Aan de handhavingsactie over transparantie en informatieverplichtingen doen 25 toezichthouders mee. De actie is opgezet door de European Data Protection Board (EDPB), die jaarlijks een gezamenlijk toezichtsthema kiest om de toepassing van de AVG binnen Europa consistenter te maken.
Transparantie is een basisvoorwaarde voor gegevensbescherming. Betrokkenen moeten kunnen begrijpen welke gegevens over hen worden verwerkt, voor welke doelen dat gebeurt, met wie gegevens worden gedeeld en welke rechten zij hebben. Onduidelijke, onvolledige of moeilijk vindbare informatie kan ertoe leiden dat mensen hun rechten niet goed kunnen uitoefenen.
De deelnemende toezichthouders kunnen onderzoeken starten en informatie verzamelen over de manier waarop organisaties aan hun informatieplichten voldoen. De bevindingen worden later gebundeld in een gezamenlijk rapport. Daarmee moet duidelijker worden waar organisaties in de praktijk tegenaan lopen en waar naleving tekortschiet.
Noyb dient klacht in tegen LinkedIn
De Oostenrijkse privacyorganisatie noyb heeft een klacht ingediend tegen LinkedIn. Volgens noyb houdt het platform informatie over profielbezoekers achter een betaald Premium-abonnement, terwijl gebruikers op grond van de Algemene verordening gegevensbescherming (AVG) recht hebben op inzage in hun persoonsgegevens.
LinkedIn laat gebruikers tegen betaling zien wie hun profiel heeft bezocht. Een gebruiker die dezelfde informatie via een inzageverzoek opvroeg, kreeg die gegevens volgens noyb echter niet. LinkedIn zou zich daarbij hebben beroepen op de privacy van andere gebruikers. Volgens noyb is dat moeilijk te rijmen met het feit dat dezelfde informatie wel aan betalende Premium-gebruikers wordt getoond.
De klacht draait om artikel 15 AVG, dat betrokkenen het recht geeft om inzage te krijgen in persoonsgegevens die over hen worden verwerkt. Noyb stelt dat informatie over profielbezoekers ook persoonsgegevens kan zijn van de gebruiker van wie het profiel is bekeken. Als LinkedIn die informatie verwerkt en commercieel beschikbaar stelt, moet het bedrijf volgens noyb ook kunnen uitleggen waarom die informatie niet via een inzageverzoek wordt verstrekt.
Noyb heeft de klacht tegen LinkedIn ingediend bij de Oostenrijkse privacytoezichthouder. De organisatie vraagt de toezichthouder om vast te stellen dat LinkedIn het inzagerecht heeft geschonden en om het bedrijf te verplichten alsnog volledige inzage te geven.
Defensie bouwt Nederlandse staatsgeheime cloud
Defensie werkt aan een eigen cloudomgeving voor staatsgeheime gegevens. De zogenoemde staatsgeheime cloud wordt ontwikkeld met KPN en Thales en moet draaien in een datacenter van Defensie zelf. Staatssecretaris Boswijk heeft de Tweede Kamer hierover geïnformeerd via een aanbiedingsbrief over het project.
Met de cloud wil Defensie gevoelige informatie kunnen verwerken in een omgeving die beter aansluit bij de eisen voor staatsgeheime gegevens. Cloudvoorzieningen kunnen volgens het kabinet bijdragen aan flexibiliteit, continuïteit en weerbaarheid, doordat digitale systemen schaalbaar zijn en beter bestand tegen uitval.
De keuze voor Nederlandse partijen hangt samen met de wens om meer grip te houden op de onderliggende infrastructuur en gegevensverwerking. Defensie wil minder afhankelijk zijn van buitenlandse cloudleveranciers en zelf zeggenschap houden over de gegevens en systemen die voor militaire toepassingen worden gebruikt.
De staatsgeheime cloud wordt onderdeel van een bredere multicloudstrategie. Defensie gebruikt daarbij verschillende cloudomgevingen naast elkaar en bekijkt per toepassing welke omgeving het meest geschikt is. Als proef worden twee militaire toepassingen op de nieuwe cloud getest.
