Neem contact op
Neem contact op

Aankomende wetten en verplichtingen

16-12-2024

Wat kunnen we verwachten in 2025?

In 2025 staan belangrijke veranderingen op het gebied van Data Privacy, Data Security en QHSE op de agenda. Het aantal wet- en regelgeving neemt toe, en daarnaast krijgen organisaties te maken met belangrijke normherzieningen. Dit maakt het essentieel om te begrijpen wat deze verplichtingen voor jouw organisatie betekenen en hoe je je optimaal kunt voorbereiden. Maar waar begin je?

Bij Cuccibu begrijpen we de complexiteit van deze uitdaging. In onderstaande afbeelding zetten we de belangrijkste wet- en regelgeving voor je op een rijtje. We leggen uit wat deze wetten inhouden. Daarnaast gaan we in op de aankomende normherzieningen, zodat je precies weet wat er van je verwacht wordt.

 

Data Privacy

De AI Act

De AI Act is een reguleringskader voor Artificiële Intelligentie (AI) binnen de Europese Unie (EU). Het doel van de verordening is om een veilig en ethisch kader te creëren voor de ontwikkeling, implementatie en het gebruik van AI-systemen binnen de EU.

Voor wie van toepassing?
De AI Act is van toepassing op aanbieders, gebruikers, importeurs en distributeurs van AI-systemen.

Welke eisen worden gesteld?
De AI Act stelt eisen afhankelijk van het risiconiveau dat het AI-systeem met zich meebrengt. Er zijn vier risiconiveaus gedefinieerd: onaanvaardbaar risico (verboden), hoog risico (gereguleerd), beperkt risico (voorwaarden) en minimaal/geen risico (vrijwillig).

De meeste eisen worden gesteld aan AI-systemen met een hoog risico. Zij moeten o.a. een adequaat systeem voor risicomanagement inrichten, technische documentatie opstellen en transparant zijn naar de gebruikers over hoe het AI-systeem werkt.

Inwerkingtreding
De AI Act is op 1 augustus 2024 in werking getreden. De volgende belangrijke stappen op de tijdlijn zijn:

  • Februari 2025: Verbod op AI-systemen met een onaanvaardbaar risico.
  • Augustus 2025: Aanbieders van General-Purpose AI moeten zich houden aan de opgestelde gedragscode. Daarnaast zijn de nationale toezichthouders opgericht en is hun handhavingsbeleid gepubliceerd.
  • Augustus 2026: De volledige AI Act is van toepassing, met uitzondering van hoog risico AI-systemen uit bijlage I.
  • Augustus 2027: De AI Act is ook van kracht voor hoog risico AI-systemen uit bijlage I.
European Health Data Space (EHDS)

De European Health Data Space (EHDS) is een initiatief van de Europese Unie dat gericht is op het bevorderen van de uitwisseling van gezondheidsgegevens binnen de EU. De EHDS beoogt de patiëntenzorg te verbeteren en wil wetenschappelijk onderzoek, zorginnovatie en beleidsontwikkeling in Europa bevorderen. Het geeft burgers meer regie over gezondheidsgegevens die over hen zijn opgeslagen en zorgverleners meer tijd voor patiëntenzorg.

Voor wie van toepassing?
De EHDS is relevant voor verschillende belanghebbenden:

  • Patiënten krijgen meer controle over hun gezondheidsgegevens en kunnen deze gemakkelijker delen met zorgverleners, zowel nationaal als grensoverschrijdend.
  • Zorgverleners en zorginstellingen krijgen toegang tot de gezondheidsgegevens van patiënten uit andere EU-landen, wat de kwaliteit en continuïteit van de zorg ten goede komt.
  • Onderzoekers en beleidsmakers kunnen onder strikte voorwaarden gebruikmaken van gezondheidsgegevens voor onderzoek, innovatie en beleidsontwikkeling.

Welke eisen worden gesteld?
De inwerkingtreding van de EHDS zal leiden tot strengere eisen voor het beheer van gezondheidsdata, met nadruk op privacy en beveiliging van deze gegevens. Daarbij wordt onderscheid gemaakt tussen primair en secundair gebruik van gezondheidsgegevens:

  • Primair gebruik betreft het delen van gezondheidsgegevens tussen zorgverleners en hun patiënten, evenals het delen van gegevens tussen zorgaanbieders in verschillende EU-lidstaten, uitsluitend ten behoeve van zorgverlening. Patiënten krijgen meer controle over wie toegang heeft tot hun gegevens.
  • Secundair gebruik betreft het hergebruik van gezondheidsgegevens voor onderzoek, innovatie, beleidsvorming en regelgeving. Hierbij wordt gezorgd voor een consistente en betrouwbare benadering van het gebruik van gegevens voor deze doeleinden.

De EHDS stelt ook eisen aan systemen voor elektronische patiëntendossiers (EPD’s) en de fabrikanten van deze systemen, die moeten voldoen aan Europese normen om de interoperabiliteit en veiligheid van de gegevensuitwisseling tussen lidstaten te waarborgen.

Inwerkingtreding
De EHDS-verordening werd op 14 maart 2024 goedgekeurd door het Europees Parlement en de Raad van de EU. De verordening wordt naar verwachting in het eerste kwartaal van 2025 van kracht. Binnen 6 jaar na inwerkingtreding dient de EHDS volledig te zijn geïmplementeerd in alle lidstaten.

Externe Wpg-audit

De Wet politiegegevens (Wpg) verplicht werkgevers van buitengewoon opsporingsambtenaren (boa’s) die persoonsgegevens verwerken voor opsporingstaken, om periodiek audits uit te voeren. Deze audits waarborgen dat de verwerking van politiegegevens voldoet aan de wettelijke eisen en dat de privacy van betrokkenen wordt gerespecteerd.

Voor wie van toepassing?
De auditverplichting geldt voor werkgevers van boa’s die persoonsgegevens verwerken in het kader van hun opsporingstaken. Dit betreft onder andere gemeenten.

Welke eisen worden gesteld?
Elke vier jaar dient er een externe Wpg-audit uitgevoerd te worden over hoe het verwerken van politiegegevens is georganiseerd, de maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures. De externe auditor moet onafhankelijk zijn en de audit moeten aangeleverd worden bij de Autoriteit Persoonsgegevens (AP).

Inwerkingtreding
De verplichting voor de externe Wpg-audit is per 1 januari 2019 ingevoerd. De AP moet tussen 1 maart 2025 en 1 maart 2026 weer de Wpg-rapportage hebben ontvangen.

Data Security

De NIS2 richtlijn

De NIS2 richtlijn is gericht op de cyberrisico’s die netwerk- en informatiesystemen bedreigen en heeft als doel de cyberbeveiliging en weerbaarheid in de EU-staten te verbeteren.

Voor wie van toepassing?
De NIS2-richtlijn is van toepassing op organisaties die actief zijn in een bepaalde sector en volgens criteria worden gekenmerkt als een essentiële of belangrijke entiteit (afhankelijk van aantal FTE of jaaromzet en balanstotaal). De sectoren zijn onderverdeeld in twee bijlagen:

  • Bijlage 1 (hoog kritieke sectoren): energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten en ruimtevaart.
  • Bijlage 2 (andere kritieke sectoren): digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging/manufacturing.

Welke eisen worden gesteld?
Organisaties die onder de NIS2 vallen moeten voldoen aan verschillende verplichtingen, namelijk:

  • Zorgplicht: Het uitvoeren van een risicobeoordeling en op basis van de resultaten technische, operationele en organisatorische maatregelen treffen.
  • Meldplicht: Incidenten die aanzienlijke gevolgen (kunnen) hebben voor de verlening van de dienst moeten binnen 24 uur worden gemeld bij de toezichthouder.

Daarnaast moeten deze organisaties zich registreren en komen ze onder toezicht te staan voor het naleven van de verplichtingen.

Inwerkingtreding
De NIS2 richtlijn werd op 16 januari 2023 in werking gesteld. Alle lidstaten dienden voor 17 oktober 2025 de richtlijn om te zetten in nationale wetgeving. Nederland heeft deze deadline niet gehaald. Naar verwachting treedt de Cyberbeveiligingswet (nationale wetgeving NIS2) in het derde kwartaal van 2025 in werking.

Data Governance Act (DGA)

De Data Governance Act (DGA) is een verordening gericht op het bevorderen en reguleren van vrijwillige gegevensuitwisseling binnen de Europese Unie. Het doel is het creëren van een veilige en betrouwbare omgeving waarin data tussen bedrijven, overheden en burgers gedeeld kan worden.

Voor wie van toepassing?
De DGA is van toepassing op aanbieders van databemiddelingsdiensten, ook wel gegevensbemiddelaars genoemd, en organisaties die zich bezighouden met data-altruïsme (het verwerken van gegevens voor algemeen belang). Daarnaast stelt de DGA eisen aan de publieke sector om het hergebruik van openbare en beschermde gegevens veilig en volgens wetgeving te laten verlopen. Zowel persoonsgegevens als niet-persoonsgegevens vallen onder de reikwijdte van de DGA.

Welke eisen worden gesteld?
De DGA stelt diverse eisen aan de betrokken partijen bij het hergebruik van publieke data.

  • Gegevensbemiddelaars moeten voldoen aan beveiligings- en interoperabiliteitseisen. Zij mogen gegevens niet voor andere doeleinden gebruiken of op eigen initiatief verhandelen en moeten voldoen aan strenge eisen om neutraliteit te garanderen.
  • Organisaties die zich bezighouden met data-altruïsme moeten o.a. voldoen aan eisen om de privacy en overige belangen van personen en bedrijven die gegevens beschikbaar stellen te beschermen. Daarnaast moeten deze organisaties een non-profitkarakter hebben en voldoen aan transparantievereisten.
  • De publieke sector moet voldoen aan technische vereisten zodat privacy en vertrouwelijkheid van gegevens bij hergebruik volledig worden nageleefd. Denk aan technische oplossingen als anonimisering pseudonimisering of toegang tot gegevens in beveiligde verwerkingsomgevingen.

Inwerkingtreding
De DGA is sinds 24 september 2023 van kracht in alle lidstaten van de EU. Aanbieders van databemiddelingsdiensten hebben tot 24 september 2025 om aan hun verplichtingen uit de DGA te voldoen.

De DGA heeft rechtstreekse werking, wat betekent dat de regels directe doorwerking hebben in de lidstaten. Lidstaten kunnen middels een Uitvoeringswet bepaalde normen en regels uit de verordening zelf invullen. In Nederland heeft het Ministerie van Economische Zaken en Klimaat op 17 oktober 2023 een wetsvoorstel ingediend voor de Uitvoeringswet van de DGA. Op 1 oktober 2024 is gestemd, met als resultaat dat de wet is aangenomen.

Digital Operational Resilience Act (DORA)

De Digital Operational Resilience Act (DORA) is een Europese verordening die financiële instellingen verplicht om hun digitale operationele veerkracht te versterken en IT-risico’s beter te beheersen. Het doel is om de weerbaarheid van de financiële sector tegen cyberdreigingen te vergroten.

Voor wie van toepassing?
DORA is van toepassing op financiële instellingen, zoals banken, verzekeringsmaatschappijen, handelsplatformen en beleggingsinstellingen. Daarnaast geldt de DORA ook voor ICT-leveranciers die diensten leveren aan deze financiële instellingen, evenals (ICT) bedrijven die zelf financiële diensten verlenen.

Welke eisen worden gesteld?
Organisaties moeten een uitgebreid raamwerk voor risicobeheer op het gebied van informatie- en communicatietechnologie (ICT) implementeren. Belangrijke vereisten zijn onder ander:

  • Het implementeren van maatregelen om operationele risico’s te voorkomen en te beperken.
  • Het inrichten van een kader voor gecoördineerde incidentrespons en informatie-uitwisseling tussen financiële instellingen en toezichthoudende autoriteiten.
  • Het melden van ernstige ICT-gerelateerde incidenten aan de bevoegde autoriteiten.

Inwerkingtreding 
De wetgeving is op 16 januari 2023 in werking getreden. Vanaf 17 januari 2025 moeten financiële instellingen en hun ICT-leveranciers ook daadwerkelijk compliant zijn aan de verordening.

QHSE

Energy Efficiency Directive (EED)

De Energy Efficiency Directive (EED) is een Europese richtlijn die bedrijven en instellingen aanmoedig om energiebesparende maatregelen te treffen, met als doel de energie-efficiëntie binnen de EU te verbeteren.

Voor wie van toepassing?
Organisaties hebben een EED-auditplicht wanneer zij 250 FTE of meer hebben OF een jaaromzet van meer dan €50 miljoen én een jaarlijks balanstotaal van meer dan €43 miljoen hebben.

Daarnaast kunnen organisaties die een economische activiteit uitvoeren, zoals gemeenten of onderwijsinstellingen, ook onder de EED-auditplicht vallen. Een economische activiteit is het aanbieden van goederen of diensten aan derden op de markt. Als het totaal aantal werknemers of de gegenereerde omzet en het bijbehorende balanstotaal van deze activiteiten boven de grenswaarde van een grote onderneming liggen, is de instelling EED-auditplichtig voor de inrichtingen waar deze activiteiten plaatsvinden.

Welke eisen worden gesteld?
Organisaties die aan de EED moeten voldoen dienen een EED energie-audit uit te voeren, waarbij het actuele energieverbruik en de mogelijke energiebesparende maatregelen in kaart worden gebracht. Daarnaast moeten zij de rapportage van de EED energie-audit indienen bij de Rijksdienst voor Ondernemend Nederland (RVO).

Inwerkingtreding
De EED trad inwerking op 1 juli 2019. Elke vier jaar dienen EED-auditplichtige organisaties een EED energie-audit rapportage in bij de RVO. De derde ronde is gestart op 1 juli 2023, met een deadline voor indiening op 31 december 2024. Mocht je deze deadline niet halen, dan is het mogelijk om uitstel aan te vragen bij de RVO.

Corporate Sustainability Reporting Directive (CSRD)

De Corporate Sustainability Reporting Directive (CSRD) is een EU-richtlijn met strenge eisen voor duurzaamheid en niet-financiële rapportage voor bedrijven. Het doel? Het verbeteren en harmoniseren van duurzaamheidsrapportages.

Voor wie van toepassing?
De aankomende jaren zullen steeds meer ondernemingen moeten voldoen aan de CSRD. In eerste instantie is de CSRD is van toepassing op grote beursgenoteerde bedrijven en bedrijven met openbaar belang (o.a. banken en verzekeringsmaatschappijen). Het betreft ondernemingen die op dit moment reeds aan de NFRD onderworpen zijn. Zij moeten rapporteren in 2025 over het jaar 2024.

Daarna volgen:

  • Andere grote ondernemingen die momenteel niet onder de NFRD vallen. Zij moeten rapporteren in 2026 over het jaar 2025.
  • Beursgenoteerde MKB-ondernemingen (kleine en middelgrote ondernemingen), kleine en niet-complexe kredietinstellingen en bepaalde verzekeringsentiteiten. Zij rapporteren in 2017 over het jaar 2026.
  • Non-EU ondernemingen met significante activiteiten in de EU. Zij rapporteren in 2029 over het jaar 2028.

Welke eisen worden gesteld?
Bij deze duurzaamheidsverslaglegging conform de CSRD worden de volgende principes aangehouden:

  • Het rapporteren over materiële duurzaamheidsontwikkelingen die leiden tot mogelijke financiële risico’s voor het bedrijf en ecologische en sociale materiële impact van het bedrijf op mens en milieu. Deze rapportage is op basis van het dubbele materialiteitsprincipe.
  • Het meten van lange termijn doelstellingen.
  • Het meenemen van niet-financiële indicatoren zoals sociaal kapitaal.
  • Het laten uitvoeren van een verplichten ‘limited assurance’ door een externe accountant.

Inwerkingtreding
De CSRD trad in werking op 5 januari 2023. De implementatie is gefaseerd, afhankelijk van de grootte en het type onderneming.

Herziening normenkaders

Naast de wet- en regelgeving zijn er ook belangrijke normherzieningen die in 2025 op de planning staan. De volgende normen worden onder andere herzien.

NEN 7510: Informatiebeveiliging in de zorg 
De NEN 7510:2024 is op 1 december 2024 gepubliceerd. Met deze herziening sluit de norm nog beter aan op de onderliggende ISO-normen voor informatiebeveiliging (zoals ISO 27001:2022) en actuele wetgeving (zoals de NIS2). Er volgt een transitieperiode van twee jaar.

BIO 2.0: Informatiebeveiliging voor overheden  
De BIO 2.0 is in ontwikkeling en wordt aangepast om beter in lijn te zijn met ISO 27001:2022. Er wordt meer nadruk gelegd op risicomanagement. Tot de officiële publicatie kan gebruik gemaakt worden van de ‘Handreiking BIO 2.0 Op Maat’.

ISO 9001: De norm voor Kwaliteitsmanagement  
De ISO 9001 norm wordt herzien met extra aandacht voor thema’s als duurzaamheid, digitalisatie, change management en supply chain management. De herziene versie wordt naar verwachting december 2025 gepubliceerd, gevolgd door een overgangsperiode.

ISO 14001: De norm voor Milieumanagement
De herziening van ISO 14001 wordt naar verwachting medio 2025 gepubliceerd. De bedoeling is dat alleen enkele inhoudelijke wijzigingen worden aangebracht als gevolg van de toepassing van de nieuwe Harmonized Structure.

Hulp nodig?

Heeft jouw organisatie hulp nodig bij bovenstaande wet- en regelgeving of normherzieningen? Onze consultants staan klaar om jou te ondersteunen. Neem vrijblijvend contact met ons op voor de mogelijkheden.

Reduce Risk, Create Value!

Contact

Deel deze pagina! Kies je platform
Naar overzicht