Met de inwerkingtreding van de NIS2-richtlijn en de implementatie daarvan in de Nederlandse Cyberbeveiligingswet (Cbw) worden organisaties verplicht hun digitale weerbaarheid structureel te organiseren. Voor organisaties met complexe bedrijfsmodellen – zoals concerns, holdings, franchiseorganisaties en internationale groepen – is naleving extra uitdagend.
Om deze organisaties te ondersteunen heeft de overheid een specifieke Handreiking voor organisaties met complexe bedrijfsmodellen gepubliceerd. De handreiking biedt hulp bij het bepalen of deze organisaties onder de Cyberbeveiligingswet vallen óf dat zij onder de nationale wetgeving van een andere Europese lidstaat vallen. Deze handreiking geeft praktische richting aan vragen zoals, wie waarvoor verantwoordelijk is en welke stappen moeten worden gezet.
De rechtbank Overijssel heeft op 24 december 2025 een interessante uitspraak gedaan. In deze uitspraak staat onder meer de klantdata na beëindiging van een softwareovereenkomst centraal. Wat dient er met de klantdata te gebeuren en wie is verantwoordelijk als er niets is afgesproken in het contract?
De wetgever zet opnieuw een stap in de bescherming van consumenten tegen ongewenste commerciële communicatie. Met een aangekondigde wijziging van de Telecommunicatiewet (Tw) komt per 1 juli 2026 een einde aan de zogenoemde soft opt-in voor telemarketing. Bedrijven mogen bestaande klanten dan niet langer zonder expliciete toestemming telefonisch benaderen met commerciële aanbiedingen. In deze blog gaan wij nader in op de juridische achtergrond en de praktische gevolgen voor organisaties.
Een goede prompt is essentieel voor het verkrijgen van relevante en nuttige antwoorden van AI-systemen. Een korte zin, vraag of afbeelding dient als input voor AI-tools om tot een specifiek antwoord of resultaat te komen. Op basis van de ingevoerde input, genereert de AI-tool output.
Maar wat mag de AI-leverancier met de data die u invoert? In deze blog gaan wij in op deze vraag.
Het einde van het jaar nadert en daarom blikken we graag met u terug op de belangrijkste gebeurtenissen in ICT- en privacyrecht. Wat waren de meest impactvolle ontwikkelingen op deze gebieden in 2025? Ook kijken we graag vooruit naar 2026. Wat staat ons te wachten in het nieuwe jaar?
Met de invoering van NIS2, de herziene Europese richtlijn voor netwerk- en informatiebeveiliging, verandert er veel voor bedrijven die essentiële en belangrijke diensten leveren. Niet alleen de technische afdelingen, maar ook het bestuur en de directie krijgen een duidelijke verantwoordelijkheid in het kader van cyberbeveiliging. Dit betekent dat bestuurders zich actief moeten bezighouden met het risicobeheer van digitale systemen, compliance en het naleven van de meldplicht. Bestuurders kunnen zelfs persoonlijk aansprakelijk worden gesteld bij cyberincidenten.
De Europese Commissie presenteerde onlangs de´Digitale Omnibus´: een pakket aan aanpassingen, met als doel het vereenvoudigen van bestaande digitale wetgeving. Europese bedrijven moeten zo minder administratieve lasten en duidelijkere regels krijgen.
Maar waar de Europese Commissie inzet op vereenvoudiging en innovatie, klinken er ook kritische geluiden. De Autoriteit Persoonsgegevens (AP) waarschuwt dat deze ’vereenvoudiging’ niet ten koste mag gaan van fundamentele rechten, privacy en rechtszekerheid.
In deze blog zetten we uiteen wat de Digitale Omnibus inhoudt, wat de mogelijke voordelen zijn voor organisaties én waarom het ook nodig is om waakzaam te blijven.
ICT-dienstverleners zijn een aantrekkelijk doelwit voor cyberaanvallen. Zij werken namelijk vaak voor tientallen of zelfs honderden organisaties tegelijk. Een datalek bij één leverancier kan daardoor enorme gevolgen hebben voor duizenden organisaties en miljoenen betrokkenen. Uit een onderzoek van de Autoriteit Persoonsgegevens (AP) dat deze maand werd gepubliceerd, blijkt dat zwakke verwerkersovereenkomsten de schade kunnen vergroten. Voor IT-leveranciers is dit een duidelijke waarschuwing: de verwerkersovereenkomst is geen formaliteit, maar een cruciaal middel om cyberaanvallen tegen te gaan.
In ICT-contracten is cybersecurity geen bijzaak. Leveranciers en afnemers dienen heldere afspraken te maken over hoe gegevens en systemen beschermd worden. Onvoldoende contractuele afspraken kunnen leiden tot datalekken, financiële schade en reputatieverlies. In deze blog leggen we uit welke standaarden en auditrechten essentieel zijn voor ICT-contracten en hoe u dit praktisch kunt toepassen.
Onlangs is een interessante uitspraak van de rechtbank gepubliceerd waarin de verantwoordelijkheden voor beveiliging van een cloudplatform, de zorgplicht, aansprakelijkheid en verzekering centraal staan.
De ICT-leverancier in deze zaak levert Microsoft-diensten aan zijn klanten. Deze diensten neemt de leverancier niet direct zelf af bij Microsoft, maar bij een ICT-distributeur. Een klant van de ICT-leverancier werd gehackt. De hacker veroorzaakte extreem dataverbruik, wat leidde tot een schadepost van € 300.000,-.
Wie is verantwoordelijk voor de ontstane schade? De leverancier, de klant of de distributeur? De rechtbank oordeelde als volgt.
De Autoriteit Persoonsgegevens (AP) heeft de afgelopen weken twee opvallende besluiten genomen. De eerste: een boete van 2,7 miljoen euro voor Experian Nederland vanwege onrechtmatige verwerking van persoonsgegevens. De tweede: een verlaagde boete voor de KNLTB, na een jarenlange juridische strijd over het gebruik van ledengegevens voor commerciële doeleinden.
Lees in deze blog meer over genoemde besluiten van de AP.
Vorige week verscheen een nieuwe versie van de ICT-branchevoorwaarden: de NLdigital Voorwaarden 2025 Wat brengt de nieuwe set? Best veel. Sinds de vorige versie uit 2020 zijn er ontwikkelingen geweest die herziening dringend nodig maakten.
De opkomst van AI en een veelheid aan nieuwe wet- en regelgeving vanuit Europa, zoals DORA, NIS2, Data Act en AI Act, heeft een flinke impact op ICT-contracten. De NLdigital Voorwaarden zijn erop aangepast.
Veel ICT-leveranciers zullen dan ook naar verwachting de komende tijd een overstap willen maken op de nieuwe set voorwaarden.
In deze blog een eerste verkenning van de NLdigital Voorwaarden 2025. De komende weken volgt in onze blogs een verdieping van een aantal specifieke onderwerpen die nieuw zijn opgenomen in de voorwaarden, zoals compliance, cybersecurity en datadeling.
De inzet van chatbots en AI in de klantenservice biedt bedrijven aanzienlijke voordelen op het gebied van efficiëntie en kostenbesparing. De Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument & Markt (ACM) benadrukken echter dat deze technologische ontwikkelingen zorgvuldig moeten worden geïmplementeerd om te voldoen aan de geldende wet- en regelgeving. De toezichthouders roepen organisaties op om hun verantwoordelijkheid te nemen als zij ervoor kiezen om chatbots in te zetten en besteden hier de komende tijd extra aandacht aan.
Al in de ontwerpfase van software en (ICT)-processen moet volgens de Algemene Verordening Gegevensbescherming (AVG) rekening worden gehouden met de verwerking persoonsgegevens. Dit heet Privacy by Design. Daarnaast moeten volgens de AVG de standaardinstellingen zo privacyvriendelijk mogelijk zijn: Privacy by Default.
Wat betekenen deze begrippen concreet in de praktijk van software-ontwikkeling?
AI en geautomatiseerde systemen spelen een steeds grotere rol in het bedrijfsleven. Van data-analyse tot klantenservice – AI verandert de manier waarop er wordt gewerkt. Bij het sluiten van een contract tussen een AI-leverancier en een afnemer zijn duidelijke afspraken essentieel. In deze blog leest u meer over 5 belangrijke aandachtspunten inzake het sluiten van overeenkomsten rondom AI.
Wie zijn ICT-contracten nog niet heeft afgestemd op de Data Act (DA), loopt risico’s. Afgelopen vrijdag 12 september 2025 is namelijk de Data Act (Dataverordening) ingegaan. Deze verordening brengt nieuwe regels voor bedrijven die binnen de EU Internet of Things (IoT)-oplossingen aanbieden of clouddiensten leveren, zoals SaaS-, PaaS- of IaaS-diensten.
Als gespecialiseerde ICT-advocaat zien wij in de praktijk hoe organisaties worstelen met deze nieuwe regels. In dit artikel leest u wat er verandert en hoe u de risico’s in uw ICT-contracten kunt beperken
Het verdwenen Signal-app-bericht: spanningsveld security/privacy versus bewaarplicht/accountability
Deze week kwamen onder andere de platforms Tweakers.net en Security.nl in de lucht met berichtgeving dat de Europese Commissie nalatig is in het geven van inzage in een app-bericht van de voorzitter van de Europese Commissie.
Afgelopen dagen werd bekend dat de hack waarbij persoonsgegevens zijn gestolen uit een systeem van een laboratorium nog groter is dan eerder gemeld. De hackers hebben mogelijk de gegevens van bijna 1 miljoen personen ingezien die sinds 2017 meededen aan een bevolkingsonderzoek. De regels rondom informatiebeveiliging in de zorg zijn de afgelopen weken dan ook volop in het nieuws. In deze blog beantwoorden wij een aantal veel gestelde vragen.
Steeds vaker worden AI en algoritmes ingezet om geautomatiseerd besluiten te nemen. Bijvoorbeeld bij online sollicitaties of een kredietaanvraag. Dat mag echter niet zomaar. De AVG stelt hier eisen aan. Daarom is het veelal noodzakelijk om betekenisvolle menselijke tussenkomst in te richten binnen een organisatie. Hoe u dat doet?
Geschillen op het gebied van ICT kunnen grote impact hebben. Zowel voor afnemers als leveranciers. Het op de juiste manier oplossen van een geschil is dan ook essentieel, maar hoe werkt dat eigenlijk? Is de rechter uw enige optie of zijn er meer mogelijkheden? In deze blog sommen wij de belangrijkste vormen van geschilbeslechting voor u op.
