Hoe zit het ook alweer? Digitale wet- en regelgeving in 2024

Als het gaat om digitale toepassingen zijn er verschillende wetten waar organisaties in Nederland aan moeten voldoen. Wetten veranderen en er komen jaarlijks wetten bij. Het is belangrijk om op de hoogte te blijven waar je met je online platform aan moet voldoen.

Als je een website, app of digitale toepassing laat maken dan moet je daarmee voldoen aan wet- en regelgeving. Het naleven van wet- en regelgeving ligt primair bij de eigenaar van digitale toepassingen. Ook leveranciers moeten aan regels voldoen. Daar wordt ook op gehandhaafd. Nu is het niet zo dat bij de minste of geringste overtreding een boete op de mat valt, maar soms gebeurt het wel. De wet is er om te zorgen dat we ons allemaal aan dezelfde afspraken houden.

Actuele wetten voor digitale toepassingen

Als jij of je organisatie een digitale toepassing hebben, zoals een website, app of online platform, dan gelden in Nederland primair de volgende wetten en regels.

• Algemene Verordening Gegevensbescherming (AVG) – Reguleert de verwerking van persoonsgegevens en privacybescherming.
• Telecommunicatiewet en de cookiewet – Reguleert digitale communicatie. De cookiewet is onderdeel van de Telecommunicatiewet en regelt specifiek het gebruik van cookies.
• Auteursrecht en intellectueel eigendomsrecht – Belangrijk voor content die je maakt en de software waar je gebruik van maakt.
• Digital Services Act (DSA) en Digital Markets Act (DMA) – Een tweeluik van Europese wetten bedoeld om de macht van met name grote techbedrijven te reguleren en de transparantie en verantwoordelijkheid van aanbieders te vergroten.
• Wet Digitale Overheid – Ziet toe op betrouwbare digitale dienstverlening door de overheid en kan indirect effect hebben op organisaties die diensten aan de overheid leveren.
• Wet beveiliging netwerk- en informatiesystemen – Stelt eisen aan de beveiliging van netwerk- en informatiesystemen.

AVG

De Algemene Verordening Gegevensbescherming wordt toegepast om de privacy van burgers te beschermen door regels op te stellen over hoe organisaties om moeten gaan met persoonsgegevens. Het gaat om regels voor het verzamelen, opslaan, verwerken en delen van persoonlijke informatie. Daarbij moeten organisaties duidelijk toestemming vragen voor ze persoonsgegevens mogen verwerken. Dat moet vrijwillig, specifiek en ondubbelzinnig. Daarnaast moeten mensen het recht op inzage hebben en het recht om de gegevens te laten verwijderen. Als er een datalek is, dan zijn organisaties in Nederland verplicht om dit te melden bij de Autoriteit Persoonsgegevens.

De AVG geldt in de gehele Europese Unie en is ook bekend onder de Engelse naam General Data Protection Regulation (GDPR). De AVG is sinds 25 mei 2018 van kracht.

Er zijn verschillende gradaties van persoonsgegevens en de maatregelen die je moet nemen om ze te beschermen. Voor medische gegevens gelden doorgaans strengere maatregelen. Maar ook IP-nummers van bezoekers op een website zijn persoonsgegevens. Een website draait vaak bij een externe leverancier die op zijn beurt tot die gegevens toegang heeft (verwerkt). Welke gegevens je leveranciers verwerken en hoe die zijn beschermd moet je vastleggen in een verwerkersovereenkomst met je leverancier.

Een digitaal bureau of leverancier is verwerker van persoonsgegevens van onze opdrachtgevers. Die zijn op hun beurt verwerkerverantwoordelijke. Als opdrachtgever ben je wettelijk verplicht om in een verwerkersovereenkomst met je leveranciers vastleggen welke gegevens worden verwerkt met daarbij de maatregelen hoe deze worden beschermd.

Cookiewet

De cookiewet is een hoofdstuk uit de Telecommunicatiewet. De wet regelt het gebruik van cookies en soortgelijke technologieën op internet. Cookies zijn, zoals bekend, kleine bestandjes die door websites op apparaten van bezoekers geplaatst worden om informatie over het gebruik te verzamelen. De wet moet de privacy van internetgebruikers beschermen en hen controle geven over persoonlijke gegevens die door websites verzameld kunnen worden.

Er wordt onderscheid gemaakt tussen functionele cookies (noodzakelijk voor het functioneren van de website), analytische cookies (voor het verzamelen van statistieken over het gebruik van de website, waarbij de impact op de privacy beperkt moet zijn) en trackingcookies (die individueel gedrag volgen en profielen kunnen opbouwen voor gerichte reclame). Voor de laatste categorie is expliciete toestemming vereist.

Als redacteur kun je steeds nieuwe content toevoegen. Wanneer je dat doet, kun je zonder het wellicht te beseffen een ander soort cookie toevoegen. Dat betekent dat je dit opnieuw moet melden en om toestemming moet vragen. Om dat af te vangen kun je een service als cookiebot inzetten. Die regelt de afhandeling en toestemming van cookies op een elegante manier en controleert op nieuwe cookies.

Auteurswet en intellectueel eigendomsrecht

Het intellectueel eigendomsrecht is een juridisch gebied dat voortdurend evolueert, mede door de ontwikkelingen op het gebied van technologie en internationale handel.

In Nederland worden het auteursrecht en de andere vormen van intellectueel eigendomsrecht door een aantal wetten geregeld. De belangrijkste is de Auteurswet die de rechten van auteurs met betrekking tot eigen werk beschermt. De Auteurswet is gebaseerd op Europese richtlijnen en internationale verdragen.

Het auteursrecht ontstaat automatisch bij het creëren van het werk, zonder dat daarvoor registratie of een andere formaliteit nodig is. Het vastleggen van een merk of patent valt daar niet onder: daarvoor is aanvullende wetgeving, zoals de Octrooiwet.

Als je online platform, app of website tekst of beelden bevat die je niet zelf hebt gemaakt, dan moet je de Auteurswet in acht nemen. Dit geldt ook voor lettertypes of aanpalende technologie waar je misschien onbewust gebruik van maakt. Het gebruik van andermans werk kan zorgen voor vervelende boetes of een rechtzaak. Zorg dus dat je het intellectueel eigendom van je digitale toepassing goed afdekt.

Digital Services Act en Digital Markets Act

De Digital Services Act en de Digital Markets Act zijn twee wetten die door Europa geïntroduceerd zijn om de macht van grote techbedrijven te reguleren. De DSA richt zich op het reguleren van online platformen, zoals sociale media, online marktplaatsen en andere digitale diensten die goederen, diensten of content aan consumenten in de Europese Unie aanbieden. Online marktplaatsen, sociale media, platformen voor het delen van content, appwinkels en online reisplatformen vallen hier ook onder. Voor grote platformen geldt deze wet sinds 25 augustus 2023. Vanaf 17 februari 2024 is de wet volledig van kracht.

De DMA heeft als doel om de concurrentie op verschillende digitale markten te bevorderen. Techgiganten zoals Apple en Google mogen straks hun eigen diensten niet langer voortrekken op hun eigen platformen. Dat betekent bijvoorbeeld dat WhatsApp en andere spraak- en videotools ook met andere tools moeten kunnen communiceren. Een paar dagen geleden, op 6 maart, is deze wet ingegaan.

Wet Digitale Overheid

De Wet Digitale Overheid (WDO) is in Nederland een wet die tot doel heeft de digitale dienstverlening door de overheid te verbeteren en te zorgen voor betrouwbare digitale communicatie tussen burgers, bedrijven en de overheid. De wet richt zich op het vergroten van de toegankelijkheid, het gebruikersgemak en de veiligheid van digitale overheidsdiensten. Een belangrijk onderdeel van de WDO is het vaststellen van standaarden voor digitale toegankelijkheid en het gebruik van betrouwbare identificatiemethoden voor het inloggen bij overheidsdiensten, zoals DigiD.

De WDO bevat eisen aan de beveiliging en het beheer van digitale systemen en diensten om de privacy van burgers te beschermen en datalekken te voorkomen. De WDO is een wet die de overheid aan zichzelf heeft opgelegd. Maar als je als organisatie met de overheid te maken hebt, dan kun je ook (deels) onder deze wetgeving komen te vallen. Zo is een gemeente verantwoordelijk voor de energievoorzieningen van burgers die door commerciële bedrijven worden geleverd. In dat geval kun je als energiemaatschappij te maken hebben met de Wet Digitale Overheid.

Wet beveiliging netwerk- en informatiesystemen

De Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht aanbieders van essentiële diensten maatregelen te nemen om hun ICT te beveiligen tegen incidenten (zorgplicht). Het doel is om de gevolgen van cyberincidenten bij die groep te beperken en zo ook maatschappelijke ontwrichting te voorkomen. Onder meer energiebedrijven, gezondheidszorg en vervoersbedrijven moeten aan deze wet voldoen.

De wet geldt ook voor de Rijksoverheid en voor aanbieders van digitale diensten (ADD’s). Dat is heel breed geformuleerd: in principe vallen alle vormen computing resources over het internet onder de Wbni. De wet spoort aan tot een hoger niveau van beveiliging van netwerk- en informatiesystemen, verbeteren van samenwerking en delen van informatie tussen bedrijven op het gebied van cyberveiligheid en een meldplicht bij incidenten.

Als je als organisatie een digitale toepassing hebt of aanbiedt, dan is deze meestal verbonden met het internet. Los van welke gegevens je verwerkt, ben je al snel verplicht technische en organisatorische maatregelen te nemen om de veiligheid van je toepassing én de infrastructuur waar de toepassing gebruik van maakt afdoende te beschermen.

Richtlijnen en toekomstige wetten

Dit zijn de meest voorkomende wetten waar we mee te maken hebben als het gaat om digitale toepassingen in Nederland. Er zijn nog een aantal specifieke wetten, waaronder de Single Digital Gateway voor één Europees digitaal loket en eIDAS met regels voor DidiD en E-herkenning. De volledige lijst met wetten die gelden in Nederland en in Europa vind je hier.

Naast wetten zijn er richtlijnen, oftewel: regels die nog niet verplicht zijn maar mogelijk verplicht worden. Sommigen zijn nog in de maak. Zodra ze omgezet zijn in een wet moet je eraan voldoen. Een wet heet officieel een verordening. Het is raadzaam om niet te wachten en nu al rekening te houden met deze richtlijnen als deze van toepassing zijn.

De volgende richtlijnen zijn in veel gevallen relevant:

• European Accessibility Act – Deze zorgt ervoor dat digitale producten en diensten, zoals websites en online platformen toegankelijk zijn voor iedereen, inclusief mensen met een beperking. Voor de overheid is dit al verplicht.
• E-privacyrichtlijn en de e-privacyverordening – De Europese wet die gaat over privacy van elektronische communicatie, waaronder cookies. De Nederlandse cookiewet is hier al op voorbereid.
• NIS-richtlijn (Netwerk- en Informatiesystemen) – Dit betreft de beveiliging van netwerk- en informatiesystemen en geldt voor dezelfde soort bedrijven als de Wbni. De nieuwe NSI2-richtlijn komt eraan.
• AI Act – Deze is gericht op de ontwikkelingen op het gebied van Kunstmatige Intelligentie (AI) en moet de veiligheid en de rechten van mensen gaan beschermen.

Met nieuwe wetgeving in de maak is het zaak om tijdig op de hoogte te zijn van wat dit betekent voor jouw digitale toepassingen. In veel gevallen kun je nu al rekening houden met richtlijnen. Zo kan het tijdig toepassen van digitale toegankelijkheid (European Accessibility Act) kosten besparen en levert het je ook een betere Google score op.

De Baseline Informatiebeveiliging Overheid (BIO), de ICT-beveilingsrichtlijnen van het Nationaal Cyber Security Centrum en de OWASP Top 10 zijn bekende standaarden als het gaat om informatiebeveiliging. Als je een of meerdere van deze aanhoudt weet je zeker dat er aandacht wordt besteed aan de beveiliging van je digitale toepassing.

Over de auteur: Imre Gmelig Meijling is CEO van React Online.