Wet- en regelgeving
Voor jou als ondernemer is er veel wet- en regelgeving waar je je aan dient te houden. Zo is er de Algemene verordening gegevensbescherming (AVG) waarin is vastgelegd hoe je om moet gaan met persoonsgegevens. Of bijvoorbeeld de Telecommunicatiewet waarin staat beschreven wat je allemaal moet doen en laten als je cookies gebruikt op bedrijfswebsites. Ook de Wet beveiliging netwerk- en informatiesystemen (Wbni), de Europese NIS2-richtlijn en het implementatiebesluit van de herziene richtlijn betaaldiensten (PSD2) kan voor jouw bedrijf of organisatie van belang zijn. Daarnaast kunnen ook enkel bestaande of aankomende Europese wet- en regelgevingen op jouw bedrijf van toepassing zijn.
De lijst met wet- en regelgeving die mogelijk van toepassing is op jou als ondernemer is lang. Voor specifieke branches geldt ook weer specifieke wet- en regelgeving. Deze pagina stipt een aantal van de relevante wet- en regelgeving voor ondernemers aan. Zorg er zelf voor dat je op de hoogte bent of raakt van de wet- en regelgeving die op jouw bedrijf van toepassing zijn.
Algemene verordening gegevensbescherming (AVG)
De Algemene verordening gegevensbescherming (AVG) is een privacywet die geldt in de hele Europese Unie (EU) waarin is vastgelegd hoe je om moet gaan met persoonsgegevens. Dankzij de AVG is de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier geregeld en gelden dus in elke lidstaat dezelfde regels.
PSD2: Herziene Europese richtlijn voor betalingsverkeer
De Payment Service Directive (PSD2) is een Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven. De richtlijn moet onder meer zorgen voor meer concurrentie en innovatie, betere bescherming van consumenten en het verhogen van de veiligheid van betalingen.
Telecommunicatiewet
De Telecommunicatiewet regelt diverse zaken. Aanbieders van openbare elektronische communicatienetwerken en – diensten moeten voldoen aan een zorgplicht om passende technische en organisatorische maatregelen te nemen ten behoeve van de veiligheid en de beveiliging van de door hen aangeboden netwerken en diensten. Bepalingen in de Telecommunicatiewet over spam en cookies zijn met name relevant voor ondernemers. Daarnaast regelt de Telecommunicatiewet ook het Bel-me-niet register. Lees hier meer over het gebruik van cookies.
Wet beveiliging netwerk- en informatiesystemen (Wbni)
De Wet beveiliging netwerk- en informatiesystemen (Wbni) geldt sinds 9 november 2018 en is erop gericht om de digitale weerbaarheid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en zo maatschappelijke ontwrichting te voorkomen. De Wbni verplicht aanbieders van essentiële diensten en digitale dienstverleners om maatregelen te nemen om hun ICT te beveiligen tegen incidenten.
Wet bevordering digitale weerbaarheid voor bedrijven (Wbdwb)
Met de inwerkingtreding van de Wet bevordering digitale weerbaarheid voor bedrijven (Wbdwb) per 1 oktober 2024, ontstaat er een wettelijke taak voor de minister van Economische Zaken om het bedrijfsleven te voorzien van bij de overheid bekende bedrijfsspecifieke ernstige dreigingsinformatie. Voor de vitale organisaties is dit geregeld in de Wbni, voor het niet-vitale bedrijfsleven is dit nu geregeld in de Wbdwb. Voor het zogenoemde 'notificeren' over digitale kwetsbaarheden en beveiligingslekken, is vaak nodig persoonsgegevens te gebruiken zoals IP-adressen en e-mailgegevens van medewerkers. De nieuwe wet zorgt voor de wettelijke grondslag om deze gegevens te verwerken bij het uitvoeren van deze wettelijke taak.
Gevolgen niet tijdig omzetten NIS2- en CER-richtlijn naar nationale wetgeving
Het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet (Cbw) en de CER-richtlijn in de Wet weerbaarheid kritieke entiteiten (Wwke) vraagt meer tijd dan verwacht. Dit komt doordat het een omvangrijk en complex traject is dat zorgvuldigheid vereist. Nederland haalde het dan ook niet om voor de deadline van 17 oktober 2024 deze richtlijnen om te zetten naar nationale wetgeving. De verwachting is dat deze wetten in het derde kwartaal van 2025 in werking treden.
Wat in de periode tussen 17 oktober 2024 en de inwerkingtreding van Cbw en Wwke de rechten en verplichtingen zijn voor de organisaties die onder de werking van de wetten vallen, lees je op de website van de NCTV.
Geldende wetten vanuit de Europese Unie
NIS2-richtlijn
Network and Information Security (NIS2) directive: De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Het doel van de richtlijn is om een hoger niveau van cybersecurity bij bedrijven en organisaties en meer Europese harmonisatie te bereiken. De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB (netwerk- en informatiebeveiliging), die in Nederland in 2016 is opgenomen in de Wbni. Momenteel worden de NIS2-bepalingen doorvertaald naar Nederlandse wetgeving; de Cyberbeveiligingswet (Cbw). Het toezicht, de zorgplicht, meldplicht, registratieplicht gaan met de verwachte inwerkingtreding van dit wetsvoorstel in het derde kwartaal van 2025 voor een groep van tussen de 8.000 en 10.000 bedrijven en organisaties gelden. Check of ook jouw organisatie onder de Cbw gaat vallen.
Gedurende de periode van 17 oktober 2024 tot de datum van inwerkingtreding van de Cbw gelden voor organisaties die onder de richtlijn vallen, nog geen daaruit voortvloeiende verplichtingen. Wel hebben NIS2-organisaties in bepaalde gevallen bepaalde rechten vanwege rechtstreekse werking van sommige bepalingen in de NIS2-richtlijn. Denk hierbij bijvoorbeeld aan het ontvangen van bijstand bij een incident door een Computer Security Incident Response Team (CSIRT).
Digitale Dienstenwet (DSA)
Alle digitale diensten moeten vanaf 17 februari 2024 aan de Digital Services Act (DSA) voldoen. De diensten moeten daarmee de rechten van gebruikers beter beschermen, online misleiding en illegale informatie aanpakken en transparantie verbeteren. Zo moeten digitale diensten bijvoorbeeld:
- Regels voor het verwijderen van informatie of gebruikersaccounts uitgebreider aan gebruikers uitleggen;
- Voor toegankelijke en gebruikersvriendelijke klachtenprocedures zorgen.
Ook mogen online platforms advertenties niet meer personaliseren op grond van bijvoorbeeld geloofsovertuiging of seksuele geaardheid. Daarnaast worden minderjarigen met de DSA extra beschermd tegen gepersonaliseerde en ongepaste advertenties.
Digital Market Act (DMA)
De DMA beschermt Europese consumenten en ondernemers, zorgt voor meer concurrentie en ook keuzevrijheid op digitale markten en regelt beter toezicht op bijvoorbeeld fusies en overnames.
Door de DMA mogen appontwikkelaars niet meer worden gedwongen om het betaalsysteem te gebruiken van appstores en mogen platforms eigen producten of diensten niet bevoordelen, bijvoorbeeld door ze bovenaan de zoekresultaten te zetten. Ook regelt de DMA de mogelijkheid om eigen data van een platform naar een ander platform mee te nemen en de mogelijkheid om vooraf geïnstalleerde apps te kunnen verwijderen. Ook kunnen gebruikers van digitale platforms straks individuele berichten sturen van de ene naar de andere berichtendienst. Verder komt er een ruimere meldingsplicht om fusies en overnames in de digitale economie te kunnen beoordelen.
Data Governance Act (DGA)
De DGA regelt de betrouwbaarheid, toegang en neutraliteit van data. Bijvoorbeeld bij het gebruiken van geanonimiseerde medische gegevens voor nieuw medicijnonderzoek. Ook regelt de DGA het delen van gegevens door bedrijven en consumenten via zogenaamde databemiddelingsdiensten. Deze diensten moeten zich voortaan registreren en mogen ontvangen gegevens niet voor andere doeleinden gebruiken. Zo probeert de DGA gegevens te beschermen en tegelijkertijd een alternatief te bieden voor een beperkt aantal grotere bedrijven die nu nog de datamarkt domineren.
Cyber Resilience Act (CRA)
De CRA zorgt voor beter toezicht op digitale producten. Op 10 december 2024 treedt de CRA in werking. De CRA gaat gefaseerd van kracht zodat fabrikanten de tijd krijgen om aan de nieuwe eisen te voldoen. Vanaf 10 december 2027 moeten alle digitale producten – zowel software, hardware als componenten – voldoen aan uitgebreide eisen en standaarden op het gebied van cyberveiligheid. Eisen betreffen onder meer het verplicht en gratis leveren van veiligheidsupdates voor de gehele verwachte levensduur van het product, maar minimaal voor een periode van vijf jaar.
Cybersecurity Act (CSA)
De Cybersecurity Act (CSA) is een Europees certificeringstelsel voor de beveiliging van ICT-producten, -diensten en -processen. Hiermee kunnen bedrijven op gestandaardiseerde wijze aantonen dat hun producten voldoen aan bepaalde cybersecurity-eisen. De certificeringen zijn bedoeld om de veiligheid van digitale producten te vergroten en het vertrouwen bij gebruikers te versterken. ENISA, het Europese agentschap voor cyberbeveiliging, is verantwoordelijk voor het ontwikkelen van deze certificeringsschema’s en houdt toezicht op de naleving ervan. Hiermee ondersteunt de CSA een veiliger digitaal ecosysteem binnen de Europese Unie.
AI Act
De AI Act omvat eisen en kaders voor ontwikkeling en gebruik van AI-systemen door overheden en marktpartijen. Zo krijgen innovatie en economische ontwikkelingen ruim baan, terwijl publieke waarden worden geborgd.
De Data Act
De Data Act gaat ervoor zorgen dat je in de gehele EU grip houdt op je eigen gegevens. Zo komen er regels over wie er toegang heeft tot en gebruik mag maken van data uit slimme apparaten. Hierdoor krijgen consumenten en bedrijven meer regie en zeggenschap. Ook kunnen ze makkelijker overstappen tussen clouddiensten en diensten van verschillende cloudaanbieders met elkaar verbinden. De wet is eind 2023 aangenomen en heeft een lange implementatietijd. Het duurt tot 2026 voordat alle regels in deze wet verplicht zijn.