Het einde van het jaar nadert en daarom blikken we graag met u terug op de belangrijkste gebeurtenissen in ICT- en privacyrecht. Wat waren de meest impactvolle ontwikkelingen op deze gebieden in 2025? Ook kijken we graag vooruit naar 2026. Wat staat ons te wachten in het nieuwe jaar?

AI Act

Dit was met recht het jaar van AI en de AI Act. Dat kunstmatige intelligentie onze wereld verandert, is inmiddels meer dan duidelijk. De AI-toepassingen schieten als paddenstoelen uit de grond en worden met de dag geavanceerder. Fantastisch en riskant tegelijkertijd. Daarom kwam Europa in 2024 met de eerste AI-wetgeving ter wereld, de AI Act.

Sinds 2 februari 2025 zijn op grond van de AI Act de AI-systemen uit de categorie ‘onaanvaardbaar risico’ verboden. Deze systemen mogen niet op de Europese markt beschikbaar zijn. Op diezelfde datum ging ook de AI-kennisplicht in. Organisaties moeten zorgen voor een toereikend niveau van AI-geletterdheid bij werknemers en personen die namens hen AI-systemen gebruiken. Zeker als het gaat om systeem in de categorie ‘hoog risico’.

Vanaf 2 augustus 2025 zijn de regels voor AI-modellen voor algemene doeleinden ingegaan, hiertoe behoort onder meer ChatGPT. Deze modellen staan ook wel bekend als 'general purpose AI'.

NIS2-richtlijn

Binnen Europa kregen we ook echt te maken met de NIS2-richtlijn voor cybersecurity. De NIS2-richtlijn is de opvolger van de NIS1-richtlijn en in het leven geroepen om de cyber- en informatiebeveiliging in Europa naar een hoger niveau te tillen. Op 17 oktober 2024 moesten alle Europese lidstaten deze richtlijn hebben geïmplementeerd in hun nationale wetgeving. De NIS2-richtlijn brengt 3 verschillende verplichtingen met zich mee: de zorgplicht, de registratieplicht en de meldplicht. Op de website van het Nationaal Cyber Security Centrum (NCSC) kunt u nu al een vrijwillige melding maken van een NIS2-incident.

In Nederland wachten we nog steeds op de implementatie van de richtlijn in de Cyberbeveiligingswet. Maar landen om ons heen, zoals België, hebben de richtlijn wel op tijd geïmplementeerd. Nederlandse organisaties ontkomen er niet aan om zich volop voor te bereiden op de inwerkingtreding van de Cyberbeveiligingswet. Ook als een organisatie zelf niet onder de regelgeving valt, maar wel in de leveranciersketen zit waardoor toch aan verschillende vereisten moet worden voldaan.

Data Act

Op 12 september 2025 is de Data Act (Dataverordening) ingegaan. Deze verordening brengt nieuwe regels voor bedrijven die binnen de EU Internet of Things (IoT)-oplossingen aanbieden of clouddiensten leveren, zoals SaaS-, PaaS- of IaaS-diensten. De Data Act geeft regels over wie data mag gebruiken en onder welke voorwaarden. De Data Act richt zich nadrukkelijk op B2B-situaties, en wil met name machtsmisbruik en vendor lock-in tegengaan. De Data Act wil de zwakkere zakelijke partij beschermen door een verbod op oneerlijke/eenzijdige contractvoorwaarden. In de Data Act is een lijst met bedingen opgenomen die altijd als oneerlijk worden aangemerkt en een lijst met bedingen die vermoedelijk oneerlijk zijn. Ter voorkoming van vendor lock-in zijn verschillende verboden in de Data Act opgenomen, zoals een verbod op een beding dat gebruik of toegang tot data verhindert of ernstig beperkt. Ook is een exit-regeling verplicht gesteld. Zo moet de leverancier de klant ondersteunen bij het overstappen, inclusief het verstrekken van alle relevante informatie en het bieden van redelijke assistentie aan de klant of door de klant gemachtigde derden.

AVG

Hoewel de privacywetgeving (AVG) al sinds 2018 geldt, blijft het onderwerp actueel. Ook dit jaar zijn weer impactvolle uitspraken gedaan, waarmee we de AVG nog beter kunnen interpreteren. Door de Autoriteit Persoonsgegevens zijn er verschillende opvallende besluiten genomen. Waaronder een verlaagde boete voor de KNLTB, na een jarenlange juridische strijd over het gebruik van ledengegevens voor commerciële doeleinden.

Daarnaast was de combinatie AVG en AI geregeld onderwerp van gesprek. Afgelopen zomer stuurde de Autoriteit Persoonsgegevens een waarschuwing uit vanwege het toenemende aantal datalekken door het gebruik van ChatGPT. Datalekken vinden vaak plaats door het onbewust of per ongeluk invoeren van persoonsgegevens in ChatGPT. Bijvoorbeeld bij het laten samenvatten van een lijvig dossier. Medewerkers zien vooral het gemak van AI-tools als ChatGPT en verliezen de mogelijke risico’s al snel uit het oog. Ook kwam de European Data Protection Board (EDPB) met een advies over het gebruik van persoonsgegevens bij het ontwikkelen en in gebruik nemen van AI-modellen. Streven naar anonimiteit is het advies.

NLdigital 2025

Tot slot verscheen afgelopen najaar ook een nieuwe versie van de ICT-branchevoorwaarden: de NLdigital Voorwaarden 2025. Wat brengt de nieuwe set? Best veel. Sinds de vorige versie uit 2020 zijn er ontwikkelingen geweest die herziening dringend nodig maakten.

De opkomst van AI en een veelheid aan de hiervoor besproken nieuwe wet- en regelgeving vanuit Europa, zoals DORA, NIS2, Data Act en AI Act, heeft een flinke impact op ICT-contracten. De NLdigital Voorwaarden zijn erop aangepast, met meer aandacht voor compliance, cybersecurity en datadeling.

Wat kunnen we verwachten in 2026?

Het is de verwachting dat halverwege 2026 dan echt de Cyberbeveiligingswet in werking gaat treden. Een grote groep bedrijven zal onder de Cyberbeveiligingswet als essentiële of belangrijke entiteit worden aangemerkt en daardoor aan verschillende eisen moeten voldoen op het gebied van cybersecurity. Ook bedrijven in de keten krijgen hiermee te maken en contracten zullen hierop dienen te worden aangepast. Bestuurders zijn verantwoordelijk en kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheden. Cybersecurity wordt expliciet een board-level responsibility.

In augustus 2026 treden ook nieuwe onderdelen van de AI Act in werking. Zo start vanaf dat moment het toezicht op de verplichtingen voor AI met een hoog risico (omschreven in Bijlage III van de verordening). Daarnaast start het toezicht op transparantieverplichtingen voor bepaalde AI-systemen. Gebruikers moeten weten dat zij te maken hebben met een AI-systeem of door AI gegenereerde content.

De Cyber Resilience Act (CRA) is een Europese wet die vanaf september 2026 gefaseerd ingaat. Het doel van deze wetgeving is zorgen dat alle digitale producten in Europa veiliger worden. Producten met een digitale functie moeten straks aan nieuwe beveiligingseisen voldoen. Vanaf 11 september 2026 zullen ernstige beveiligingsproblemen dienen te worden gemeld bij het Nationaal Cyber Security Centrum (NCSC). Per 11 december 2027 geldt dat producten veilig ontworpen moeten zijn (security by design) en moeten fabrikanten gedurende de levenscyclus van hun producten bepaalde zorg leveren. Ook komt er een verplichte CE-markering.

Vragen?

Mocht u na het lezen van dit jaaroverzicht nog vragen hebben, bel (010-229 06 46) of mail ons dan. Geheel vrijblijvend, want wij helpen u graag verder. Ook in 2026.