Wet- en regelgeving
Voor jou als ondernemer is er veel wet- en regelgeving waar je je aan dient te houden. Zo is er de Algemene verordening gegevensbescherming (AVG) waarin is vastgelegd hoe je om moet gaan met persoonsgegevens. Of bijvoorbeeld de Telecomwet waarin staat beschreven wat je allemaal moet doen en laten als je cookies gebruikt op bedrijfswebsites. Ook de Wet beveiliging netwerk- en informatiesystemen (Wbni), de NIS2 en het implementatiebesluit van de herziene richtlijn betaaldiensten (PSD2) kan ook voor jou van belang zijn. Daarnaast kunnen ook enkel bestaande of aankomende Europese wet- en regelgevingen op jouw bedrijf van toepassing zijn.
De lijst met wet- en regelgeving die mogelijk van toepassing is op jou als ondernemer is lang. Voor specifieke branches geldt ook weer specifieke wet- en regelgeving. Deze pagina stipt een aantal van de relevante wet- en regelgeving voor ondernemers aan. Zorg er zelf voor dat je op de hoogte bent of raakt van de wet- en regelgeving die op jouw bedrijf van toepassing zijn.
Algemene verordening gegevensbescherming (AVG)
De Algemene verordening gegevensbescherming (AVG) is een privacywet die geldt in de hele Europese Unie (EU) waarin is vastgelegd hoe je om moet gaan met persoonsgegevens. Dankzij de AVG is de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier geregeld en gelden dus in elke lidstaat dezelfde regels.
PSD2: Herziene Europese richtlijn voor betalingsverkeer
De Payment Service Directive (PSD2) is een Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven. De richtlijn moet onder meer zorgen voor meer concurrentie en innovatie, betere bescherming van consumenten en het verhogen van de veiligheid van betalingen.
Telecommunicatiewet
De Telecommunicatiewet regelt diverse zaken. Aanbieders van communicatienetwerken en – diensten moeten voldoen aan een zorgplicht om passende technische en organisatorische maatregelen te nemen ten behoeve van de veiligheid en de beveiliging van de door hen aangeboden netwerken en diensten. Bepalingen in de Telecommunicatiewet over spam en cookies zijn met name relevant voor ondernemers. Daarnaast regelt de Telecommunicatiewet ook het Bel-me-niet register. Lees hier meer over het gebruik van cookies.
Wet beveiliging netwerk- en informatiesystemen (Wbni)
De Wet beveiliging netwerk- en informatiesystemen (Wbni) geldt sinds 9 november 2018 en is erop gericht om de digitale weerbaarheid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en zo maatschappelijke ontwrichting te voorkomen. De Wbni verplicht aanbieders van essentiële diensten en digitale dienstverleners om maatregelen te nemen om hun ICT te beveiligen tegen incidenten.
NIS2-richtlijn
Network and Information Security (NIS2) directive: De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Het doel van de richtlijn is om een hoger niveau van cybersecurity bij bedrijven en organisaties en om meer Europese harmonisatie te bereiken. De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB (netwerk- en informatiebeveiliging), die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Momenteel worden de NIS2-bepalingen doorvertaald naar Nederlandse wetgeving. Het toezicht, de zorgplicht, meldplicht, registratieplicht gaan met de inwerkingtreding van dit wetsvoorstel voor een veel grotere groep van bedrijven en organisaties gelden.
Geldende wetten vanuit de Europese Unie
Digitale Dienstenwet (DSA)
Alle digitale diensten moeten vanaf 17 februari 2024 aan de Digital Services Act (DSA) voldoen. De diensten moeten daarmee de rechten van gebruikers beter beschermen, online misleiding en illegale informatie aanpakken en transparantie verbeteren. Zo moeten digitale diensten bijvoorbeeld:
- Regels voor het verwijderen van informatie of gebruikersaccounts uitgebreider aan gebruikers uitleggen;
- Voor toegankelijke en gebruikersvriendelijke klachtenprocedures zorgen.
Ook mogen online platforms advertenties niet meer personaliseren op grond van bijvoorbeeld geloofsovertuiging of seksuele geaardheid. Daarnaast worden minderjarigen met de DSA extra beschermd tegen gepersonaliseerde en ongepaste advertenties.
Wet Digitale Markten (DMA)
De DMA beschermt Europese consumenten en ondernemers, zorgt voor meer concurrentie en ook keuzevrijheid op digitale markten en regelt beter toezicht op bijvoorbeeld fusies en overnames.
Door de DMA mogen appontwikkelaars niet meer worden gedwongen om het betaalsysteem te gebruiken van appstores en mogen platforms eigen producten of diensten niet bevoordelen, bijvoorbeeld door ze bovenaan de zoekresultaten te zetten. Ook regelt de DMA de mogelijkheid om eigen data van een platform naar een ander platform mee te nemen en de mogelijkheid om vooraf geïnstalleerde apps te kunnen verwijderen. Ook kunnen gebruikers van digitale platforms straks individuele berichten sturen van de ene naar de andere berichtendienst. Verder komt er een ruimere meldingsplicht om fusies en overnames in de digitale economie te kunnen beoordelen.
Data Governance Act (DGA)
De DGA regelt de betrouwbaarheid, toegang en neutraliteit van data. Bijvoorbeeld bij het gebruiken van geanonimiseerde medische gegevens voor nieuw medicijnonderzoek. Ook regelt de DGA het delen van gegevens door bedrijven en consumenten via zogenaamde databemiddelingsdiensten. Deze diensten moeten zich voortaan registreren en mogen ontvangen gegevens niet voor andere doeleinden gebruiken. Zo probeert de DGA gegevens te beschermen en tegelijkertijd een alternatief te bieden voor een beperkt aantal grotere bedrijven die nu nog de datamarkt domineren.
Europese wet- en regelgevingen die in onderhandeling zijn
Cyber Resilience Act (CRA)
Vanaf naar verwachting 2027 moeten alle digitale producten – zowel software, hardware als componenten – voldoen aan uitgebreide eisen en standaarden op het gebied van cyberveiligheid. Eisen betreffen onder meer het verplicht en gratis leveren van veiligheidsupdates, zolang je mag verwachten dat het product gebruikt kan worden. Voor micro- en kleine fabrikanten komen er voorzieningen die deze bedrijfjes helpen bij de implementatie van de eisen.
AI Act
De AI Act omvat eisen en kaders voor ontwikkeling en gebruik van AI-systemen door overheden en marktpartijen. Zo krijgen innovatie en economische ontwikkelingen ruim baan, terwijl publieke waarden worden geborgd.
De Data Act
De Data Act gaat ervoor zorgen dat je in de gehele EU grip houdt op je eigen gegevens. Zo komen er regels over wie er toegang heeft tot en gebruik mag maken van data uit slimme apparaten. Hierdoor krijgen consumenten en bedrijven meer regie en zeggenschap. Ook kunnen ze makkelijker overstappen tussen clouddiensten en diensten van verschillende cloudaanbieders met elkaar verbinden. De wet is eind 2023 aangenomen en heeft een lange implementatietijd. Het duurt tot 2026 voordat alle regels in deze wet verplicht zijn.