In mijn vorige blogs had ik het vooral over risico’s, maatregelen en waarom je überhaupt wilt investeren in informatiebeveiliging. Vandaag doe ik iets wat veel ondernemers stiekem vermijden: ik leg het web van wet- en regelgeving kort naast elkaar, zodat je weet wát je raakt en waarom. Niet om je kopzorgen te bezorgen, maar juist om rust te geven: er zit structuur in.
Grofweg zie ik drie lagen: (1) gegevens & communicatie — AVG en Telecommunicatiewet; (2) weerbaarheid van organisaties — NIS2/Cyberbeveiligingswet en DORA; (3) veiligheid van digitale producten en slimme systemen — Cyber Resilience Act (CRA) en de EU AI Act. Samen dwingen ze niet “meer papier”, maar betere basishygiëne en aantoonbare zorgplicht.
Telecommunicatiewet — communiceren zonder gedoeDit is de “e-privacy”-laag: vertrouwelijkheid van communicatie en regels rond tracking (cookies, nieuwsbrieven, telemarketing). Binnen het MKB merk je ’m vooral online en in je marketing. Je hoeft geen telecomprovider te zijn om tóch er meer in aanraking te komen. Bijvoorbeeld als je website bezoekers volgt of je klanten per mail benadert.
Voorbeelden: (1) je cookiebanner moet kloppen en niet stiekem alles alvast gemakkelijk aanvinken voor de bezoeker; (2) nieuwsbrieven of SMS-acties? Alleen met expliciete toestemming en makkelijke uitschrijfoptie.
AVG — persoonsgegevens als breekbaar glasDe AVG gaat over wie je data zijn en hoe je ze bewaakt. Niet alleen juridisch, ook praktisch: geef je medewerkers zo min mogelijk rechten recht op inzage, dataminimalisatie, datalekken melden. Dit is de basislaag: als dit niet op orde is, wordt de rest dweilen met de kraan open.
Voorbeelden: (1) klant- en personeelsdata versleuteld opslaan en toegang beperken (HR ziet salaris, support niet); (2) een verwerkersovereenkomst met je boekhouder of cloudleverancier, inclusief afspraken over datalekken.
DORA — digitale weerbaarheid in de financiële ketenDORA richt zich op financiële instellingen, maar de eisen stromen door naar toeleveranciers. Lever jij software, hosting, security of support aan een bank, verzekeraar of pensioenuitvoerder? Dan kan jouw incidentproces, continuïteit en testregime ineens onderwerp van audit worden.
Voorbeelden: (1) contractueel verplichte melding van een IT-incident binnen uren, niet “binnenkort”; (2) periodieke (keten)tests of je herstelprocedures echt werken, niet alleen op papier.
**NIS2 / Cyberbeveiligingswet — van ‘misschien je best doen’ naar ‘aantoonbaar je best doen’**NIS2 is een EU-richtlijn die Nederland omzet in de Cyberbeveiligingswet. Bepaalde “essentiële” en “belangrijke” organisaties krijgen harde eisen en meldplichten. Ook als jij “slechts” leverancier bent, kan de lat hoger komen te liggen, omdat klanten jouw beveiligingsniveau onderdeel maken van hun eigen compliance.
Voorbeelden: (1) lever je aan zorg, energie, overheid of een andere grote belangrijke marktpartij in Nederland of de EU? Reken op vragenlijsten, pentests en bewijs van patchbeleid; (2) ernstige incidenten moeten snel gemeld worden — wachten tot de rook optrekt is hier echt geen optie want grote boetes kunnen volgen.
Cyber Resilience Act (CRA) — spullen met software, dus onderhoudsplichtDe CRA pakt producten met digitale componenten aan (van IoT-sensor tot app) aan, met eisen aan veilig ontwerp, kwetsbaarhedenbeheer en updates. Fabrikanten en importeurs kunnen niet meer verdwijnen zodra de doos is uitgepakt door consument of onderneming. (In eerdere blogs noemde ik al: dit gaat vanaf 2027 echt een ding worden.)
Voorbeelden: (1) importeer je slimme lampen of camera’s? Dan moet je kunnen aantonen dat het product aan de CRA voldoet en hoe meldingen van lekken worden afgehandeld; (2) ontwikkel je zelf een cloud applicatie? Dan hoort een goed en veilig ontwikkelproces en een goed proces om mensen op de hoogte te brengen van kwetsbaarheden straks bij het product, niet bij “extra service”.
EU AI Act — slim, maar verantwoordDe AI-wet classificeert risico’s: hoog-risico systemen (bijv. selectie van personeel of kredietscoring) krijgen zware verplichtingen rond data, uitlegbaarheid en toezicht; generatieve AI en chatbots kennen transparantie-eisen. Bijvoorbeeld dat ze mensen moeten laat weten dat ze met AI praten of dat content door AI is gegenereerd.
Voorbeelden: (1) gebruik je een AI-tool om CV’s te rangschikken? Dan heb je dataset-governance, risicobeoordeling en logging nodig, geen “het werkt lekker snel”; (2) zet je een chatbot op je site? Dan moet duidelijk zijn dat het een bot is en hoe een mens beschikbaar is als hij de resultaten niet vertrouwd.
**Hoe grijpen ze in elkaar?**Denk in lagen. AVG/Telecommunicatiewet beschermen wat je verwerkt en verstuurt; NIS2/DORA versterken hoe je organisatie weerbaar is (processen, meldplichten, audit trail); CRA/AI Act zorgen dat de producten en systemen die je inzet of verkoopt intrinsiek veiliger en transparanter zijn.
**Wat betekent dit praktisch voor het MKB?**Niet dat je morgen jurist moet worden. Wel dat je bestuurbaar wilt zijn: weet welke data je hebt, welke systemen kritisch zijn, welke leveranciers je echt niet kunt missen, en wie waarvoor verantwoordelijk is. Dat is dezelfde denklijn als bij risicoanalyse: kans × impact, en dan een duidelijke risk appetite trekken. Met die bril op:
- Begin bij de basis (AVG + Telecommunicatiewet): dataminimalisatie, toegangsrechten, logging, kloppende toestemming.
- Verstevig je weerbaarheid (NIS2/DORA): patchbeleid, back-ups en een proces om incidenten zo snel mogelijk op te lossen.
- Als je digitale producten maakt en/of verkoopt: Zorg dat je op de hoogte bent van de verplichtingen rond om de AI-wet en de CRA en implementeer die.
- Neem je digitale producten af? Let dan goed hoe lang je nog onderhoud kunt verwachten. Zet AI transparant in met zicht op herkomstdata en foutmarges.
Als je dit op hoofdlijnen op orde hebt, wordt naleving geen kramp maar bijproduct van goed werken. In de volgende posts duik ik per wet de diepte in, met checklists en pragmatische voorbeelden. Dus tot de volgende!