Onze visie op nieuws en actualiteiten in ICT-recht. Wilt u onze blogs maandelijks in uw mailbox ontvangen? Meldt u zich dan aan voor onze nieuwsbrief
De Europese Commissie heeft eind mei 2026 concept-richtlijnen gepubliceerd voor zogenaamde Trusted Flaggers onder de Digital Services Act (DSA). Hoewel het onderwerp op het eerste gezicht vooral relevant lijkt voor sociale media en online marktplaatsen, kunnen de nieuwe richtlijnen ook grote gevolgen hebben voor aanbieders van AI-systemen, generatieve AI-platforms en AI-gestuurde zoekmachines.
Voor veel bedrijven is een Instagram- of LinkedIn-account meer dan een marketingkanaal. Het vertegenwoordigt klantbereik, advertentiehistorie en soms een aanzienlijk deel van de omzet. Een plotselinge blokkade kan dan grote commerciële gevolgen hebben. De vraag die wij in de praktijk steeds vaker tegenkomen: kun je juridisch herstel afdwingen?
De Nederlandse overheid heeft een uitzonderlijke stap gezet door de overname van IT-dienstverlener Solvinity door het Amerikaanse Kyndryl te verbieden. Volgens staatssecretaris Willemijn Aerdts brengt de transactie risico’s mee voor het publieke belang, omdat Solvinity betrokken is bij onderdelen van de digitale infrastructuur rondom DigiD.
Dat een overname daadwerkelijk wordt verboden op basis van nationale veiligheids- en infrastructuurbelangen gebeurt zelden. Juist daarom is deze zaak juridisch en (geo)politiek interessant. De beslissing laat zien dat discussies over cloud, Amerikaanse techbedrijven en data-soevereiniteit inmiddels veel verder gaan dan alleen AVG-compliance.
In arbeidsconflicten wordt steeds vaker het inzagerecht uit de Algemene Verordening Gegevensbescherming (AVG) gebruikt om toegang te krijgen tot informatie van de werkgever. Regelmatig rijst daarbij de vraag: moet een werkgever ook correspondentie tussen de werkgever en diens advocaat verstrekken?
In deze blog gaan wij nader in op het inzagerecht onder de AVG en de reikwijdte hiervan.
Afgelopen donderdag kwam er nieuws uit Brussel: het Europees Parlement en de Raad bereikten een akkoord over de zogeheten AI Omnibus. Vanuit Europa wordt ingezet op minder regeldruk, meer werkbaarheid en ruimte voor innovatie. De belangrijkste wijziging is het uitstel van de regels voor hoog-risico AI-systemen.
De oorspronkelijke deadline van augustus 2026 bleek voor veel organisaties simpelweg onhaalbaar. De benodigde standaarden en richtsnoeren zijn daarnaast nog niet klaar.
Formeel akkoord door Parlement en Raad is nog wel nodig, en wordt een dezer dagen (rond 12 mei) verwacht. In deze blog lees je meer.
Het kabinet heeft op 20 april 2026 de uitvoeringswet AI-verordening bekend gemaakt. Daarmee wordt eindelijk duidelijk hoe het toezicht op de Europese AI-verordening in Nederland wordt georganiseerd. De uitvoeringswet is nu nog in consultatie, maar belangrijke delen zijn al van kracht. De toezichtcapaciteit wordt de komende periode verder opgebouwd.
De Nederlandse implementatie van de NIS2-richtlijn komt in een stroomversnelling. De Tweede Kamer heeft afgelopen 15 april ingestemd met de Cyberbeveiligingswet (Cbw), die de Europese regels uit NIS2 omzet in nationaal recht. Tegelijkertijd is ook de Wet weerbaarheid kritieke entiteiten (Wwke) aangenomen, die zich richt op fysieke en organisatorische weerbaarheid van essentiële diensten.
De Europese Commissie werkt aan een nieuw wetgevend kader dat de digitale markt opnieuw gaat opschudden: de Digital Fairness Act (DFA). Het doel is om consumenten nog beter te beschermen tegen misleidende, verslavende en niet- transparante digitale praktijken. Een wetsvoorstel wordt in het 4e kwartaal van dit jaar verwacht.
De rechtbank Den Haag heeft een duidelijk signaal afgegeven aan aanbestedende diensten die software inkopen. Door een uitspraak in kortgeding moeten de ministeries van Justitie en Veiligheid en Defensie meerdere aanbestedingen stilleggen. Opnieuw, want eerder ging het al mis om vergelijkbare redenen.
De kern van het probleem? De manier waarop de staat software wil inkopen, sluit niet aan op hoe de IT-markt in de praktijk werkt. En dat wringt met het proportionaliteitsbeginsel.
De Autoriteit Persoonsgegevens (AP) is een formeel onderzoek gestart naar Odido. Aanleiding is het vermoeden dat de telecomaanbieder persoonsgegevens van klanten — en met name ex-klanten — te lang heeft bewaard. Dat vermoeden ontstond na het grootschalige datalek waarbij ook mensen werden getroffen die al lange tijd geen klant meer waren.
Een “target date” is geen fatale termijn. Dat blijkt uit een uitspraak van het Gerechtshof ’s-Hertogenbosch, waarin een opdrachtgever tevergeefs een overeenkomst voor de ontwikkeling van een app buitengerechtelijk ontbond. De kern van de uitspraak: zonder fatale termijn is geen rechtsgeldige ontbinding van de overeenkomst mogelijk.
De continuïteit van software en IT-systemen is cruciaal voor de bedrijfsvoering van veel organisaties. Maar wat gebeurt er als de softwareleverancier failliet gaat? Of als de software niet meer wordt onderhouden of er geen toegang meer is tot kritieke broncode? Voor bedrijven is het belangrijk dat software onder alle omstandigheden blijft werken. Hier komt de escrow-regeling in beeld: een juridische en technische oplossing die bedrijven beschermt tegen risico’s in hun IT-landschap.
Escrow dient in de regel als een beschermingsmechanisme voor klanten. Maar wat zijn de voordelen voor de IT leverancier? En waar moet de IT leverancier op letten bij het aangaan van een escrow regeling? In deze blog gaan wij hier nader op in.
In een recente uitspraak heeft het Gerechtshof Amsterdam het kort geding-vonnis van 3 december 2024 in een zaak tussen een metaalbedrijf en een IT-dienstverlener vernietigd. De voorzieningenrechter kende het metaalbedrijf eerder een voorschot op schadevergoeding toe van ruim 5 ton, vanwege het ontbreken van back-ups van een nieuwe server waar het ERP-systeem op stond. Volgens het hof is de claim in deze fase echter onvoldoende aannemelijk en moet het voorschot worden terugbetaald. In deze blog gaan wij nader in op de uitspraak van het hof.
Nieuwe Europese regelgeving verandert het speelveld voor de inkoop en levering van IT-producten en diensten. Denk aan de AI Act, de NIS2-richtlijn (met implementatie via de Cyberbeveiligingswet), de Data Act en – voor de financiële sector – de Digital Operational Resilience Act (DORA).
Afgelopen vrijdag 13 februari jl. werd onze collega Isabella de Roode beëdigd tot advocaat…Lees verder.
Steeds meer organisaties besteden IT-diensten uit aan externe leveranciers. Of het nu gaat om cloudservices, softwareontwikkeling, support of beheer van bedrijfsapplicaties: outsourcing biedt efficiëntie en toegang tot specialistische kennis. Het brengt echter ook juridische risico’s met zich mee. In dit artikel leggen we op praktische wijze uit waar u op kunt letten en hoe u deze risico’s effectief beperkt.
Misbruik van een domeinnaam kan aanzienlijke reputatieschade en een financieel verlies veroorzaken. Voor organisaties en ondernemers is het goed om te weten welke juridische stappen mogelijk zijn en welke instantie bevoegd is. In deze blog geven wij een overzicht van de relevante instanties en procedures.
Met de inwerkingtreding van de NIS2-richtlijn en de implementatie daarvan in de Nederlandse Cyberbeveiligingswet (Cbw) worden organisaties verplicht hun digitale weerbaarheid structureel te organiseren. Voor organisaties met complexe bedrijfsmodellen – zoals concerns, holdings, franchiseorganisaties en internationale groepen – is naleving extra uitdagend.
Om deze organisaties te ondersteunen heeft de overheid een specifieke Handreiking voor organisaties met complexe bedrijfsmodellen gepubliceerd. De handreiking biedt hulp bij het bepalen of deze organisaties onder de Cyberbeveiligingswet vallen óf dat zij onder de nationale wetgeving van een andere Europese lidstaat vallen. Deze handreiking geeft praktische richting aan vragen zoals, wie waarvoor verantwoordelijk is en welke stappen moeten worden gezet.
De rechtbank Overijssel heeft op 24 december 2025 een interessante uitspraak gedaan. In deze uitspraak staat onder meer de klantdata na beëindiging van een softwareovereenkomst centraal. Wat dient er met de klantdata te gebeuren en wie is verantwoordelijk als er niets is afgesproken in het contract?
De wetgever zet opnieuw een stap in de bescherming van consumenten tegen ongewenste commerciële communicatie. Met een aangekondigde wijziging van de Telecommunicatiewet (Tw) komt per 1 juli 2026 een einde aan de zogenoemde soft opt-in voor telemarketing. Bedrijven mogen bestaande klanten dan niet langer zonder expliciete toestemming telefonisch benaderen met commerciële aanbiedingen. In deze blog gaan wij nader in op de juridische achtergrond en de praktische gevolgen voor organisaties.
