Het ultieme EU-compliancy overzicht voor je IT-projecten

Ben je actief in een (digitaal) project in Europa? Dan weet je vast dat de Europese Unie de afgelopen jaren een flink aantal nieuwe richtlijnen en verordeningen heeft geïntroduceerd. Deze regels zijn er niet alleen om consumenten en bedrijven te beschermen, maar ook om innovatie en concurrentie te stimuleren. In dit blogartikel lees je welke EU-regels er zijn, waarom ze bestaan, wie eronder vallen en vanaf wanneer ze (gaan) gelden. Zo weet je precies wat je te doen staat om je project tot een succes te maken!

┌──────────────────────────────┬──────────────────────────────┐
│ 1. GDPR                      │ 2. NIS2                      │
│ - Privacy (sinds 2018)       │ - Cybersec (2022->2024)      │
│ - Beschermt pers.gegevens    │ - Energie, transport, etc.   │
└──────────────────────────────┴──────────────────────────────┘

┌──────────────────────────────┬──────────────────────────────┐
│ 3. DORA                      │ 4. eIDAS                     │
│ - Financiële sector (2025)   │ - Digitale ID (vanaf 2014)   │
│ - IT-risicobeheer & cloud    │ - E-handtekeningen, trust    │
└──────────────────────────────┴──────────────────────────────┘

┌──────────────────────────────┬──────────────────────────────┐
│ 5. PSD2                      │ 6. DSA                       │
│ - Betaaldiensten (2018-2019) │ - Online platforms (2022->23)│
│ - Open banking, SCA          │ - Illegale content, ads      │
└──────────────────────────────┴──────────────────────────────┘

┌──────────────────────────────┬──────────────────────────────┐
│ 7. DMA                       │ 8. ePrivacy                  │
│ - ‘Poortwachters’ (2022->23) │ - Cookies & comm. (draft)    │
│ - Macht big tech beperken    │ - Vervanging ePriv-richtlijn │
└──────────────────────────────┴──────────────────────────────┘

┌──────────────────────────────┬──────────────────────────────┐
│ 9. DGA                       │ 10. Data Act                 │
│ - Data-uitwisseling (2023)   │ - IoT-data (2025-2026?)      │
│ - Platforms, data altruism   │ - Duidelijkheid eigendom     │
└──────────────────────────────┴──────────────────────────────┘

┌──────────────────────────────┬──────────────────────────────┐
│ 11. AI Act                   │ 12. Cyber Resilience Act     │
│ - Risicogebaseerde AI        │ - ‘Secure by design’ (draft) │
│ - Transparantie & veiligheid │ - Productveiligheid in de EU │
└──────────────────────────────┴──────────────────────────────┘

1. GDPR – General Data Protection Regulation

Wat is het?
De GDPR (of AVG in het Nederlands) regelt hoe organisaties moeten omgaan met persoonlijke gegevens van EU-burgers.
Waarom is het er?
Om de privacy en rechten van mensen te waarborgen, en om in de hele EU uniforme regels te hebben over het verzamelen en verwerken van persoonsgegevens.
Wie valt eronder?
Elke organisatie (groot of klein), zolang je persoonsgegevens van EU-burgers verwerkt.
Sinds wanneer?
De GDPR is van kracht sinds mei 2018.


2. NIS2 – Directive on measures for a high common level of cybersecurity

Wat is het?
NIS2 is de opvolger van de eerste NIS-richtlijn en legt strengere eisen op aan de cybersecurity van essentiële en belangrijke sectoren, zoals energie, transport, banken, gezondheid en digitale infrastructuur.
Waarom is het er?
Om cyberdreigingen en -aanvallen beter te kunnen voorkomen én bestrijden, en daarmee de digitale weerbaarheid in de EU te verhogen.
Wie valt eronder?
(Essentiële) organisaties in o.a. de energie-, transport-, gezondheids- en financiële sector, maar ook bepaalde ‘digitale dienstverleners’ (bijvoorbeeld clouddiensten).
Sinds wanneer?
NIS2 is vastgesteld in 2022. Lidstaten hebben tot oktober 2024 om de richtlijn in nationale wetgeving te implementeren.


3. DORA – Digital Operational Resilience Act

Wat is het?
DORA gaat specifiek over de digitale operationele weerbaarheid van financiële instellingen, zoals banken, verzekeraars en beleggingsmaatschappijen.
Waarom is het er?
De financiële sector is een aantrekkelijk doelwit voor cybercriminelen. DORA zorgt voor geharmoniseerde regels rond IT-risicobeheer en externe uitbesteding (zoals cloud).
Wie valt eronder?
Financiële instellingen in de breedste zin (banken, verzekeraars, betaalinstellingen, etc.) en hun kritieke IT-leveranciers.
Sinds wanneer?
De wet is officieel aangenomen eind 2022. Organisaties moeten hieraan voldoen vanaf januari 2025.


4. eIDAS – Electronic Identification, Authentication and Trust Services

Wat is het?
eIDAS geeft een juridisch kader voor elektronische identificatie, elektronische handtekeningen en andere vertrouwensdiensten (zoals tijdstempels en websitecertificaten).
Waarom is het er?
Om te zorgen dat e-identiteiten en e-handtekeningen in alle EU-landen rechtsgeldig zijn, en om het gebruik van online overheids- en bedrijfsdiensten over de landsgrenzen heen te vergemakkelijken.
Wie valt eronder?
Iedere organisatie of overheidsinstantie die eIDAS-diensten aanbiedt of gebruikt (bijvoorbeeld voor e-signatures of e-identities).
Sinds wanneer?
De eIDAS-verordening is sinds 2014 van kracht. Een update (eIDAS 2.0) is in de maak.


5. PSD2 – Payment Services Directive 2

Wat is het?
PSD2 gaat over betaaldiensten in de EU. Het introduceert ‘open banking’, waarmee derde partijen (fintechbedrijven) toegang kunnen krijgen tot bankrekeningen (met toestemming van de rekeninghouder). Ook stelt het eisen aan sterke klantauthenticatie (SCA).
Waarom is het er?
Om innovatie en concurrentie te bevorderen in de financiële sector, maar ook om fraude en misbruik te verminderen.
Wie valt eronder?
Banken, fintechbedrijven, payment service providers en alle partijen die betaaldiensten aanbieden.
Sinds wanneer?
PSD2 trad gefaseerd in werking tussen 2018 en 2019.


6. DSA – Digital Services Act

Wat is het?
De DSA bepaalt nieuwe regels voor online platforms, marktplaatsen en hostingdiensten over hoe ze omgaan met illegale content, transparante advertenties en consumentenbescherming.
Waarom is het er?
Om de digitale omgeving veiliger te maken voor gebruikers, misinformatie te bestrijden en consumenten beter te beschermen.
Wie valt eronder?
Grote online platforms (zoals socialmediareuzen), maar ook kleinere hosting- en bemiddelingsdiensten.
Sinds wanneer?
De DSA is sinds november 2022 van kracht. Voor ‘Very Large Online Platforms’ (VLOP’s) zijn de regels vanaf augustus 2023 scherp aangetrokken. Andere verplichtingen volgen in 2024.


7. DMA – Digital Markets Act

Wat is het?
De DMA wil de macht van grote ‘poortwachters’ (Google, Apple, Facebook, etc.) beperken. Het legt regels op om oneerlijke concurrentie en machtsmisbruik te voorkomen.
Waarom is het er?
Om een gelijker speelveld te creëren in de digitale markt en monopolievorming tegen te gaan.
Wie valt eronder?
‘Poortwachters’ in de techwereld: grote platformen, zoekmachines, communicatie-apps en soortgelijke diensten met een zeer groot aantal gebruikers.
Sinds wanneer?
De DMA is van kracht sinds november 2022 en wordt sinds mei 2023 actief gehandhaafd.


8. ePrivacy-richtlijn & ePrivacy-verordening (in voorbereiding)

Wat is het?
De ePrivacy-richtlijn (2002/58/EC) regelt zaken als cookies, spam en vertrouwelijkheid van communicatie. Er wordt gewerkt aan een nieuwe ePrivacy-verordening die de richtlijn vervangt en beter aansluit bij GDPR.
Waarom is het er?
Om de privacy en vertrouwelijkheid van digitale communicatie te waarborgen, en om misbruik (spam, ongevraagde tracking) te beperken.
Wie valt eronder?
Website-exploitanten, telecomaanbieders, online diensten—kortom, iedereen die zich bezighoudt met elektronische communicatie en/of cookies.
Sinds wanneer?
De huidige ePrivacy-richtlijn bestaat sinds 2002 (later herzien). De ePrivacy-verordening is nog in onderhandeling (dus nog niet van kracht).


9. Data Governance Act (DGA)

Wat is het?
De DGA stimuleert het delen van data binnen de EU door heldere regels te bieden voor datadelen, data-uitwisselingsplatforms en ‘data altruism’ (vrijwillig data delen voor algemeen belang).
Waarom is het er?
Data-uitwisseling kan voor innovatie zorgen, maar dan moet wel duidelijk zijn wat mag en kan. De DGA creëert een veilig en transparant kader voor data-sharing.
Wie valt eronder?
Organisaties die data-uitwisselingsdiensten aanbieden of beheersen, overheden, én partijen die aan ‘data altruism’ willen doen.
Sinds wanneer?
Goedgekeurd in 2022, en de meeste bepalingen gelden sinds september 2023.


10. Data Act (in behandeling)

Wat is het?
De Data Act richt zich op eigenaarschap en (her)gebruik van data, vooral data die gegenereerd wordt door slimme apparaten (IoT).
Waarom is het er?
Om duidelijk te maken wie de data mag gebruiken, hoe die data gedeeld kan worden, en hoe interoperabiliteit gewaarborgd blijft.
Wie valt eronder?
Bedrijven die data verzamelen via slimme apparaten, data-platforms die deze data verwerken, én gebruikers (consumenten en bedrijven) die toegang willen tot ‘hun’ data.
Sinds wanneer?
De Data Act is nog in de onderhandelingsfase. Verwacht wordt dat de regels gefaseerd ingaan vanaf 2025-2026.


11. AI Act (in behandeling)

Wat is het?
De AI Act wil kunstmatige intelligentie reguleren op basis van risiconiveaus (laag, gemiddeld, hoog risico) en stelt eisen op het gebied van transparantie en veiligheid.
Waarom is het er?
Om innovatie te stimuleren, maar ook om risico’s op discriminatie, privacyschending en misbruik te beperken.
Wie valt eronder?
Ontwikkelaars, aanbieders en gebruikers van AI-systemen. Afhankelijk van het risiconiveau gelden andere verplichtingen.
Sinds wanneer?
De AI Act is nog in onderhandeling. De EU hoopt in 2024 tot een akkoord te komen, maar de exacte ingangsdatum is nog niet bekend.


12. Cyber Resilience Act (in behandeling)

Wat is het?
De Cyber Resilience Act moet ervoor zorgen dat hardware- en softwareproducten vanaf de ontwerpfase veilig zijn (secure by design) en dat kwetsbaarheden op tijd worden gemeld en aangepakt.
Waarom is het er?
Omdat veel producten nog te vaak lekken vertonen die kunnen leiden tot grootschalige cyberincidenten. De EU wil een minimaal beveiligingsniveau afdwingen.
Wie valt eronder?
Fabrikanten, leveranciers en distributeurs van (digitale) producten in de EU.
Sinds wanneer?
Dit voorstel is nog in de maak en wordt momenteel besproken in het Europees Parlement en de Raad.


Hoe verder?

Nu je de belangrijkste EU-richtlijnen en -verordeningen op een rij hebt, is het slim om te checken welke voor jouw organisatie, project of sector relevant zijn. Ga na of je bijvoorbeeld persoonsgegevens verwerkt (GDPR), diensten levert in de financiële sector (DORA, PSD2) of (online) platforms runt (DSA, DMA). Sommige regels zijn al van kracht, andere komen eraan. Voorkom vervelende verrassingen: begin op tijd met je compliance-traject en maak er een project van om trots op te zijn!

Hulp nodig bij jouw compliance of projectmanagement?
Bij Projectsucces.nl geloven we dat elke verandering—of die nu voortkomt uit wet- en regelgeving of strategische keuzes—het best slaagt met een gedegen en pragmatische aanpak. Met de juiste focus, helderheid en sturing behaal je éxtra resultaat. Onderstaande partners van ProjectSucces helpen je graag verder met je digitale projecten & cybersecurity:

Sunbytes Cybersecurity: Pentesting & cybersecurity consultancy en advies.

InTellegus Solutions: IT consultancy & regie op maat – CIO as a service, a.i. IT manager & projectmanagement.

Succes met jouw digitale project!

Over Nigel van Houten

Mede-eigenaar van InTellegus; cybersecurity, strategie en IT-consultancy. Gastblogger op Projectsucces.nl, actief als bestuurder en adviseur, maar staat graag met z'n voeten in de klei. Vader, nerd, gamer, bootcamper en airsofter.

Bekijk alle berichten van Nigel van Houten →

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.