Overzicht wet- en regelgeving (Q1-2026)

De EU AI Act is de eerste uitgebreide wet ter wereld die regels stelt aan het ontwikkelen en gebruiken van kunstmatige intelligentie binnen de Europese Unie (EU). Het doel is om:

• AI veiling en betrouwbaar te maken;
• Grondrechten van burgers te beschermen;
• Innovatie te stimuleren;
• En misbruik of schade van toepassingen te voorkomen.

De wet werkt met een risicogebaseerde aanpak: hoe hoger het risico van een AI-toepassing, hoe strenger de eisen. De verplichtingen en regels zijn dus evenredig aan het risico dat een AI-systeem vormt voor de veiligheid, gezondheid of fundamentele rechten van burgers.

Voor wie geldt de AI Act?
De wet is breed van toepassing op vrijwel alle partijen in de AI-keten, zoals:

1. Aanbieders (ontwikkelaars en leveranciers). Organisaties die een AI-systeem ontwikkelen en op de Europese markt brengen, ongeacht of ze in de EU of daarbuiten zijn gevestigd. Maar ook aanbieders van general-purpose AI-modellen zoals ChatGPT.
2. Gebruikers. Organisaties, bedrijven, overheden en instellingen die AI-systemen inzetten voor professionele doeleinden binnen de EU. Dit omvat met name organisaties die AI inzetten in hoog-risico sectoren, zoals de zorg, financiële sector, onderwijs en HR.
3. Importeurs en distributeurs. Bedrijven die AI-systemen van buiten de EU importeren of verhandelen.
4. Fabrikanten. Producenten die AI integreren in hun producten (bijv. in auto’s, medische apparatuur of machines).

Welke eisen stelt de AI Act?
De belangrijkste eisen per risico niveau:

1. Verboden AI (onacceptabel risico). Toepassingen die de veiligheid of grondrechten ernstig schaden worden verboden zoals: manipulatieve technieken, social scoring door overheden, misbruik van kwetsbare groepen en real-time biometrische identificatie op afstand (met enkele uitzonderingen voor politie).
2. Hoog-risico AI. Dit zijn systemen waarvan de output grote impact kan hebben op mensen, zoals: AI in de gezondheidszorg, onderwijs, kredietwaardigheid, kritieke infrastructuur of HR.Aanbieders hiervan moeten aan de slag met:
   • Risicobeheer: een systeem inrichten om risico’s gedurende de hele levenscyclus te identificeren en beperken.
   • Datakwaliteit: trainen met hoogwaardige datasets om discriminatie en vooroordelen (bias) te voorkomen.
   • Documentatie: technische documentatie bijhouden om naleving aan te tonen.
   • Loggen: activiteiten van het systeem automatisch registreren (logs).
   • Transparantie: gebruikers duidelijke informatie geven over de werking.
   • Menselijk toezicht: zorgen dat het systeem kan worden overgenomen of gestopt door mensen.
   • Conformiteitsbeoordeling: het systeem laten certificeren voordat het op de markt komt.
3. Beperkt risico (transparantie eisen).
   Dit gaat om AI-toepassingen zoals chatbots, generatieve AI (tekst, beeld, audio) en emotieherkenning (waar toegestaan). Gebruikers moeten weten dat ze met AI te maken hebben. Bij generatieve AI moet duidelijk zijn dat de output door AI is gemaakt.
4. Laag of minimaal risico. Hiervoor gelden geen verplichtingen, maar worden vrijwillige gedragscodes aangemoedigd. Denk aan AI in videogames en spamfilters.

Inwerkingtreding
De EU AI Act is een Europese verordening. Dat betekent dat deze automatisch geldt in alle EU‑lidstaten, dus ook in Nederland, zonder dat er eerst nationale wetgeving nodig is.

Op 1 augustus 2024 is de wet gefaseerd in werking getreden. Inmiddels gelden de bepaling op verboden AI (februari 2025) en de eisen voor AI voor algemeen gebruik (augustus 2025). Per augustus 2026 is de AI Act volledig van kracht, met uitzondering van hoog risico AI-systemen uit bijlage I. Deze moeten vanaf augustus 2027 ook voldoen.

De Algemene verordening gegevensbescherming (AVG) bestaat sinds 2018, maar de EU en nationale toezichthouders (zoals de Autoriteit Persoonsgegevens in Nederland) hebben aangekondigd dat 2026–2027 een periode wordt van veel strengere handhaving. Dit komt door nieuwe Europese afspraken, extra budgetten voor toezichthouders en de komst van aanvullende wetgeving zoals de Data Act, AI Act en Digital Services Act.

Wat houdt de aanscherping in?
De periode 2026-2027 staat in het teken van:

• Strengere controles op naleving van de AVG.
• Hogere boetes en vaker boetes opleggen.
• Meer toezicht op dataverwerking door AI‑systemen.
• Snellere afhandeling van klachten.
• Meer samenwerking tussen Europese toezichthouders

De EU wil hiermee de kloof dichten tussen de regels op papier en de praktijk.

Voor wie geldt dit?
De aangescherpte handhaving geldt voor alle organisaties die persoonsgegevens verwerken, dus: bedrijven (mkb én grootbedrijf), overheidsinstanties, zorginstellingen, onderwijsinstellingen, techbedrijven en organisaties die AI inzetten die persoonsgegevens verwerkt.

Ofwel, iedereen die onder de AVG valt krijgt te maken met strenger toezicht.

Welke eisen worden strenger gehandhaafd?
De regels zelf veranderen niet, de AVG blijft hetzelfde, maar de handhaving wordt intensiever. De nadruk ligt op:

• Transparantie & informatieplicht
  • Duidelijke privacyverklaringen
  • Begrijpelijke uitleg over dataverwerking
  • Correcte toestemming
• Dataminimalisatie
  • Alleen gegevens verzamelen die echt nodig zijn
  • Regelmatige opschoning van data
• Verwerkersovereenkomsten 
  • Strengere controles op contracten met leveranciers
  • Extra aandacht voor cloud- en AI leveranciers buiten de EU
• Rechten van betrokkenen
  • Snellere en correcte afhandeling van inzage-, verwijderings- en correctieverzoeken
• DPIA’s
  • Verplicht bij risicovolle verwerkingen
  • Toezichthouders gaan actief controleren of DPIA’s aanwezig en kwalitatief goed zijn
• AI-gerelateerde dataverwerking
  • Door de komst van de AI Act wordt de koppeling met de AVG strenger bewaakt, voorbij profilering, geautomatiseerde besluitvorming en gebruik van trainingsdata voor AI-modellen

Inwerkingtreding
De Autoriteit Persoonsgegevens heeft zelf aangekondigd dat 2026–2027 de jaren worden waarin handhaving fors wordt opgevoerd.

De Data Act (Dataverordening) is onderdeel van de Europese datastrategie en richt zich op eerlijke toegang tot en gebruik van data, vooral data afkomstig van IoT‑apparaten, slimme machines en cloud omgevingen. Het doel is om data beter beschikbaar te maken voor gebruikers, bedrijven en overheden, maar zonder de bescherming van persoonsgegevens te verzwakken. De Data Act vult de AVG aan, maar vervangt deze niet.

Voor wie geldt de Data Act?
De Data Act is een EU‑verordening, dus zij geldt automatisch in alle EU‑lidstaten, inclusief Nederland. De wet richt zich op een brede groep organisaties die data genereren, verwerken of opslaan.

• Fabrikanten van verbonden producten (IoT). Deze fabrikanten moeten gebruikers toegang geven tot de data die hun apparaten genereren. Bijvoorbeeld: slimme auto’s, smartwatches, industriële machines en slimme huishoudelijke apparaten.
• Aanbieders van digitale diensten. Zij moeten overstappen tussen providers makkelijker maken en interoperabiliteit ondersteunen. Bijvoorbeeld: cloudproviders (IaaS, PaaS, SaaS), edge-computingdiensten en data-verwerkingsplatformen.
• Bedrijven die data verwerken of delen. Denk aan bedrijven die IoT-data gebruiken voor onderhoud, analyse of optimalisatie, organisaties die data delen met partners of klanten én bedrijven die data beschikbaar stellen aan derden.
• Overheidsinstanties. Zij mogen in bepaalde situaties data opvragen bij bedrijven, bijvoorbeeld bij noodsituaties of publieke taken.
• Consumenten en zakelijke gebruikers. Zij krijgen meer rechten op toegang tot data die door hun apparaten wordt gegenereerd.

Inwerkingtreding
Hoewel de Data Act al vanaf 12 september 2025 grotendeels van toepassing is, worden belangrijke verplichtingen in 2026 pas voelbaar door de overgangsperiode die van toepassing is.

Hieronder de privacy-relevante onderdelen die aankomend jaar spelen.

Verplichtingen voor cloud-providers. 
Vanaf 2026 moeten zij voldoen aan verplichte data-portabiliteit, makkelijke overstap tussen cloudprovides, verbod op lock-in praktijken en interoperabiliteitseisen. De privacy impact:

• Persoonsgegevens moeten veilig en correct worden overgedragen tussen providers.
• Organisaties moeten aantonen dat datadoorgifte voldoet aan de AVG (o.a. beveiliging, dataminimalisatie).
• Meer risico’s in de keten → strengere contracten en beveiligingsmaatregelen nodig.

IoT-apparaten.
Deze apparaten moeten gebruikers toegang geven tot de data die zij genereren, die data veilig kunnen delen met derden en duidelijk informatie geven over welke data wordt verzameld. De privacy impact:

• IoT-data bevat vaak indirect persoongegevens (locatie, gebruikspatronen, gedrag).
• Fabrikanten moeten transparanter worden over dataverwerking.
• Delen van data met derden met AVG-proof zijn.

Regels voor overheidsverzoeken om data (B2G-data-sharing)
Vanaf 2026 mogen overheden in bepaalde situaties data opvragen bij bedrijven, zoals in noodsituaties, voor de uitvoering van publieke taken, statistiek of onderzoek. De privacy impact:

• Overheden moeten aantonen dat zij alleen noodzakelijke persoonsgegevens opvragen.
• Bedrijven moeten beoordelen of het verzoek verenigbaar is met de AVG.
• Extra waarborgen nodig voor gevoelige data.
• Verboden contractuele voorwaarden (vooral relevant voor privacy in de keten)

Verbod op contractvoorwaarden.
Daarnaast verbiedt de Data Act vanaf 2026 contractvoorwaarden die onredelijk zijn voor kleine bedrijven, datadeling onnodig beperken en gebruikersrechten ondermijnen. De privacy impact:

• Verwerkersovereenkomsten moeten worden herzien.
• Privacy‑ en security‑verplichtingen moeten expliciet worden opgenomen.
• Meer transparantie over datastromen in de keten.

De cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2-richtlijn. Deze wet is gericht op het beheersen van cyberrisico’s die netwerk- en informatiesystemen bedreigen en heeft als doel de cyberweerbaarheid binnen de EU te versterken.

Op wie van toepassing?
De wet is van toepassing op organisaties die actief zijn in specifieke sectoren en worden aangemerkt als (afhankelijk van aantal FTE of jaaromzet en balanstotaal). De sectoren zijn onderverdeeld in twee categorieën:

• Hoog kritieke sectoren: energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten en ruimtevaart.
• Andere kritieke sectoren: digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging/manufacturing.

Welke eisen worden gesteld?
Organisaties die onder de Cyberbeveiligingswet vallen moeten voldoen aan verschillende verplichtingen, namelijk:

• Zorgplicht: Het uitvoeren van een risicobeoordeling en op basis van de resultaten technische, operationele en organisatorische maatregelen treffen.
• Meldplicht: Incidenten die aanzienlijke gevolgen (kunnen) hebben voor de verlening van de dienst moeten binnen 24 uur worden gemeld bij de toezichthouder.

Daarnaast geldt een registratieplicht en staan organisaties onder toezicht van de bevoegde autoriteit.

NIS2 raakt ook privacy
Hoewel NIS2 geen privacywet is, heeft de richtlijn grote impact op de bescherming van persoonsgegevens. De zorgplicht zorgt voor beheersmaatregelen op gebied van o.a. toegangsbeheer, encryptie van data en logging. Het treffen van deze maatregelen draagt bij aan de bescherming van persoonsgegevens tegen datalekken, hacks en ongeautoriseerde toegang. Maar denk ook aan inzicht in risico’s en de keten.

Wanneer er een incident is moet er melding gedaan worden. Als er in dit incident ook persoonsgegevens zijn betrokken, betekent dat niet alleen de NIS2 meldplicht maar ook de AVG datalek meldplicht moet worden nageleefd.

Inwerkingtreding
De NIS2-richtlijn trad in werking op 16 januari 2023. Lidstaten moesten deze uiterlijk 17 oktober 2025 omzetten in nationale wetgeving. Nederland heeft deze deadline niet gehaald. De regering streeft naar inwerkingtreding van de Cyberbeveiligingswet in tweede kwartaal 2026.

De Wet weerbaarheid kritieke entiteiten (Wwke) is de Nederlandse implementatie van de Europese Critical Entities Resilience Directive (CER-richtlijn). Waar NIS2 zich richt op cybersecurity, richt de Wwke zich op de bredere weerbaarheid en continuïteit van vitale organisaties. De wet ziet op verstoringen zoals: cyberaanvallen, fysieke sabotage, stroomuitval, geopolitieke dreigingen en natuurrampen.

Op wie van toepassing?
De wet geldt voor kritieke entiteiten in de volgende sectoren: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheid, ruimtevaart en de productie en verwerking en distributie van levensmiddelen.

Elk verantwoordelijk ministerie wijst voor hun sector(en) op basis van de hieronder genoemde wettelijke criteria de kritieke entiteiten aan.

• De organisatie verleent één of meer essentiële diensten, die van cruciaal belang zijn voor het in stand houden van vitale functies.
• De organisatie is actief in Nederland en haar kritieke infrastructuur bevindt zich in Nederland.
• Een incident binnen deze entiteit zou aanzienlijke verstorende effecten hebben op de verlening van de essentiële dienst(en) of via cascade-effecten op andere essentiële diensten.

Welke eisen worden gesteld?
Organisaties die onder de Wwke vallen moeten in ieder geval voldaan aan onderstaande verplichtingen:

• Risicoanalyse: periodieke beoordeling van alle relevante risico’s die de essentiële dienstverlening kunnen verstoren.
• Weerbaarheidsmaatregelen: op basis van de risicoanalyse moeten passende maatregelen worden genomen om incidenten te voorkomen, impact te beperken en herstel te versnellen.
• Meldplicht: significante verstoringen moeten binnen 24 uur worden gemeld bij de bevoegde autoriteit.

Inwerkingtreding
De CER-richtlijn is eind 2022 aangenomen en moest per 17 oktober 2024 nationaal zijn toegepast. Ook deze implementatie is in Nederland vertraagd. De verwachting is dat de Wwke in Q2-2026 in werking treedt, gelijktijdig met de Cyberbeveiligingswet.

De Cyber Resilience Act (CRA) is Europese wetgeving die eisen stelt aan de beveiliging van producten met digitale elementen die in de EU op de markt worden gebracht. Het doel is het verhogen van het algemene cybersecurityniveau van digitale producten.

Voor wie van toepassing?
De CRA is van toepassing op de fabrikanten, importeurs en distributeurs van producten die in verbinding staan met andere apparaten of een netwerk (digitale producten). Dit geldt zowel voor software, hardware als componenten, die direct of indirect op een apparaat of netwerk zijn aangesloten. Met uitzondering van specifieke uitsluitingen, zoals opensourcesoftware of diensten die reeds onder de bestaande regels vallen (bijvoorbeeld medische hulpmiddelen en auto’s).

Welke eisen worden gesteld?
De CRA stelt eisen aan de digitale producten voordat deze op markt gebracht worden. Daarbij worden de meeste eisen gesteld aan de fabrikanten. Zij moeten aan diverse cyberbeveiligingseisen voldoen, zoals:

• Het verstrekken van gratis veiligheidsupdates zodra er kwetsbaarheden worden ontdekt, gedurende de hele te verwachten gebruiksperiode.
• Het ervoor zorgen dat producten voldoen aan de cybersecurityeisen, voordat een product op de markt wordt gebracht.
• In veel gevallen moeten veiligheidsupdates automatisch worden geïnstalleerd, opgeslagen persoonlijke- en financiële gegevens worden beschermd en krijgt de gebruiker de mogelijk geboden om deze data permanent te verwijderen.
• Incidenten en kwetsbaarheden, die worden misbruikt door kwaadwillende, binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid.

Importeurs moeten er onder andere op toezien dat fabrikanten hun verplichtingen zijn nagekomen, bijvoorbeeld dat zij de conformiteitsbeoordeling hebben uitgevoerd. Distributeurs zijn verplicht ervoor te zorgen dat het product is voorzien van een CE-markering. Ook controleren zij of de fabrikant aan bepaalde verplichtingen heeft voldaan, zoals het product voorzien van een element om het te kunnen identificeren.

Inwerkingtreding
Op 10 december 2024 is de CRA in werking getreden. Per 11 september 2026 geldt een meldplicht voor actief misbruikte kwetsbaarheden en incidenten en vanaf 11 december 2026 gaan alle eisen in en moeten alle producten met digitale elementen voldoen aan de CRA.