• Facebook
  • Twitter
  • LinkedIn
  • YouTube
Nieuwsbrief
Contact
DALL·E 2025-09-13 07.40.34 - A professional and clean infographic-style image representing the EU Data Act. On the left side, a detailed map of the European Union with country bor

EU DATA ACT – Start 12 09 2025 CEO is uw bedrijf klaar

Lancering van de EU Data Act Series

Danny Zeegers en Harry Van Der Plas slaan de handen ineen om een nieuwe EU Data Act-serie te lanceren, die bedrijven niet alleen helpt de regelgeving te begrijpen, maar ook effectief te implementeren.

In dit eerste artikel geven we besturen en leidinggevenden een kritisch overzicht van de impact – een overzicht dat vraagt om actie vandaag, of beter nog, gisteren. De boodschap is duidelijk: de EU-gegevenswet is niet zomaar een nieuwe regelgeving die in een la verdwijnt; het is een strategische verschuiving die het bestuur, de veerkracht en het concurrentievermogen zal hervormen.

In de komende delen van de serie krijgen bedrijven inzicht in hoe het HSMS-concept van Harry Van Der Plas toegevoegde waarde biedt door overlapping te voorkomen, verspilde inspanningen te verminderen en middelen te besparen. Later in de serie wordt onderzocht hoe CATS gestructureerd inzicht, herziene sjabloonbeleidsregels en bruikbare tools biedt, waardoor de druk van de regelgeving wordt omgezet in een beheersbare, zelfs inspirerende transformatie.

Dit is meer dan alleen naleving. Het is het begin van een inspirerende reis naar slimmer bestuur en toekomstbestendige gegevensveerkracht.

De EU-gegevenswet: meer dan privacy – hoe de nieuwe Europese regelgeving NIS2-compliance hervormt

Een nieuwe laag van compliance-druk

Europese bedrijven die zich al aanpassen aan de NIS2-richtlijn worden nu geconfronteerd met een andere zwaargewicht op het gebied van regelgeving: de EU-gegevenswet (Verordening (EU) 2023/2854), die in september 2025 van kracht wordt. Waar NIS2 kritieke en essentiële entiteiten dwingt om hun cyberbeveiliging en risicobeheer aan te scherpen, gaat de gegevenswet nog een stap verder en schrijft voor hoe gegevens moeten worden geraadpleegd, gedeeld en opgeslagen in alle sectoren.

Voor CISO’s en compliance officers is de vraag niet langer “Voldoen we aan de cyberbeveiligingsnormen?”, maar “Hoe bouwen we vertrouwen op in een economie waarin gegevens zowel een troef als een risico zijn?”

Verhaal uit de directiekamer: MSP SOC Extended en de illusie van we doen het even

De sfeer in de directiekamer van MSP SOC Extended was zoals altijd gespannen en zakelijk. De CEO opende de vergadering met een zelfverzekerde toon:

“We hebben de GDPR/AVG overleefd, we zijn halverwege NIS2 en nu staat de Data Act voor de deur. Laten we snel een stappenplan opstellen – dit is toch weer een overnight compliance-oefening, nietwaar?”

Iedereen rond de tafel knikte instemmend. De CFO voegde toe:

“Als het om gegevens gaat, zou ons GDPR-werk het grootste deel moeten dekken. We hoeven alleen maar wat privacybeleid aan te passen, de juridische afdeling om een paar clausules te vragen, en we zijn klaar.”

Op dat moment schoof de CISO ongemakkelijk op zijn stoel.

“Met alle respect, maar dat is een misvatting. De Data Act is niet gewoon de GDPR met een andere naam. Het gaat om alle gegevens, niet alleen om persoonsgegevens. De wet vereist dat we eerlijke toegang, overdraagbaarheid en in sommige scenario’s zelfs verplichte uitwisseling mogelijk maken. Dat betekent veranderingen in de infrastructuur, herschrijven van contracten, heronderhandelingen met leveranciers en tests voor cloudportabiliteit. Dit is geen oefening die van de ene op de andere dag kan worden uitgevoerd.”

De DPO mengde zich in het gesprek:

“Precies. De AVG ging over de bescherming van persoonsgegevens – de rechten van individuen. De Data Act voegt daar soevereiniteit, B2B-uitwisseling en operationele veerkracht aan toe. We moeten onze DPIA’s ombouwen tot bredere Data Impact Assessments. Op dit moment is onze AVG-basis slechts voor 60% volwassen. Als we dit als een snelle toevoeging behandelen, zullen we niet slagen voor audits – en wat nog belangrijker is, we stellen onszelf bloot aan operationele risico’s.”

Er viel een stilte aan tafel. De CEO leunde achterover en besefte de omvang van de situatie:

“Onze roadmap kan dus niet alleen een sprint zijn. Het moet een programma zijn – met afstemming tussen NIS2, GDPR en de Data Act.”

De compliance officer vatte het het beste samen:

“De oefening van één nacht is een gevaarlijke illusie. De echte roadmap vereist maanden van voorbereiding, duidelijkheid over rollen en betrokkenheid op bestuursniveau. Als we morgen beginnen, zijn we al te laat.”

De aanwezigen knikten opnieuw, maar dit keer met het nuchtere besef dat de EU-gegevenswet geen checklist is, maar een strategische transformatie.

Data Act versus GDPR: misvattingen uit de weg ruimen

Op het eerste gezicht lijkt de Data Act misschien een tweelingbroer van de GDPR, maar de twee hebben fundamenteel verschillende doelen:

  • AVG: beschermt de persoonsgegevens van individuen en stelt regels vast voor toestemming, verwerking en privacyrechten.
  • Datawet: heeft betrekking op alle soorten gegevens (persoonsgegevens en niet-persoonsgegevens) en richt zich op eerlijke toegang, interoperabiliteit en overdraagbaarheid.

Het belangrijkste verschil? De AVG gaat over wie eigenaar is van uw persoonsgegevens, terwijl de Data Act gaat over wie de toegang tot gegenereerde gegevens van apparaten, platforms en diensten controleert. Dit onderscheid betekent dat bedrijven die onder de NIS2 vallen, moeten voldoen aan twee overlappende compliance- : het beveiligen van persoonsgegevens onder de AVG en het waarborgen van niet-discriminerende toegang en veilige gegevensoverdraagbaarheid onder de Data Act.

De mondiale dimensie: hoe zit het met leveranciers buiten de EU?

Een terugkerende zorg onder Europese ICT-leiders is de impact op niet-EU-leveranciers, met name Amerikaanse hyperscalers en Aziatische apparaatfabrikanten. De Data Act is duidelijk:

  • Als diensten of producten in de EU worden aangeboden, zijn de regels van toepassing, ongeacht waar de leverancier is gevestigd.
  • Leveranciers zonder opslag of datacenters in de EU blijven verplicht om veilige toegang tot, overschakeling en uitwisseling van gegevens te garanderen.
  • Internationale overdrachten moeten voldoen aan de EU-waarborgen voor gegevenssoevereiniteit, waardoor nieuwe controlevakken worden toegevoegd die vergelijkbaar zijn met de gevolgen van Schrems II onder de AVG.

Voor leveranciers buiten de EU betekent dit dat ze zich niet zomaar kunnen beroepen op “wij slaan geen gegevens op in Europa” als uitzondering. De verordening volgt het markttoegangsbeginsel: als je EU-klanten bedient, moet je je aan de EU-regels houden.

Waarom de Data Act belangrijk is voor NIS2-entiteiten

1. Operationele veerkracht

Verplichtingen om van cloud te wisselen verminderen het risico op vendor lock-in en versterken de veerkracht – een hoeksteen van NIS2.

2. Beveiliging van de toeleveringsketen

De bepalingen van de wet inzake B2B- en B2G-uitwisseling introduceren nieuwe risico’s voor de toeleveringsketen. NIS2 vereist al een screening van leveranciers; nu moeten contractuele afspraken ook rekening houden met verplichte gegevensuitwisseling.

3. Incidentrespons en herstel

Door toegangsrechten te standaardiseren, kunnen organisaties datastromen beter in kaart brengen, waardoor incidenten sneller kunnen worden gedetecteerd en forensisch onderzoek sneller kan worden uitgevoerd — in overeenstemming met de verplichte rapportagevereisten van NIS2.

De menselijke factor: DPO, CISO en compliance onder druk

De Data Act gaat niet alleen over infrastructuur, maar hervormt ook rollen:

  • Functionaris voor gegevensbescherming (DPO): het mandaat wordt uitgebreid van privacy naar governance van gegevenssoevereiniteit. Een DPO moet nu niet alleen toestemming en persoonsgegevens beoordelen, maar ook B2B-verplichtingen inzake gegevensuitwisseling en de gevolgen voor cloudportabiliteit.
  • Chief Information Security Officer (CISO): krijgt de verantwoordelijkheid om te zorgen voor veilige gegevensoverdracht tussen providers en tussen rechtsgebieden. Overdraagbaarheid is nu een veiligheidskwestie.
  • Compliance officers: moeten een drielaagse compliancepuzzel in elkaar passen: GDPR, NIS2 en Data Act – allemaal met verschillende toezichthouders, handhavingstermijnen en sancties.

Voor veel organisaties betekent dit rolmoeheid. Wie is uiteindelijk verantwoordelijk voor de Data Act? Dit blijft een lacune in het bestuur.

Tijdschema’s: een juridische droom, een praktische nachtmerrie?

De EU geeft bedrijven tot 12 september 2025 de tijd om een aanvraag in te dienen, gevolgd door een nalevingstermijn van 12 maanden – in feite september 2026 voor handhavingsgereedheid.

Maar is dit realistisch? Bekijk de context eens:

  • DORA (Digital Operational Resilience Act) wordt nauwelijks geïmplementeerd in financiële instellingen, waarvan vele zich nog in de pilotfase bevinden.
  • NIS2-entiteiten haasten zich om tegen oktober 2024 aan te tonen dat ze aan de regels voldoen, maar blijven vaak steken in de verificatiefase in plaats van de certificeringsfase.
  • Zelfs na zes jaar zijn kleine en middelgrote ondernemingen nog steeds voor hooguit 50% klaar voor de AVG.

Door de Data Act hier bovenop te leggen, bestaat het risico op regelgevingsmoeheid. Voor middelgrote aanbieders tikt de klok met te veel stopwatches.

Qfirst Advisory: een praktische implementatiestrategie

Bij Qfirst raden we een gefaseerde aanpak aan om deze regelgevingsstorm te doorstaan:

  1. Gap Scan: Voer een snelle Data Act-gereedheidsscan uit, geïntegreerd met NIS2-volwassenheidsbeoordelingen.
  2. Beleidsvernieuwing: geef prioriteit aan ISO 27001-conforme beleidsmaatregelen die het meest worden beïnvloed:
    • Beleid inzake informatieoverdracht (A.5.15, A.5.20)
    • Beleid inzake leveranciersbeheer (A.5.19)
    • Cloud- en overdrachtsprocedures (A.5.23)
    • Bedrijfscontinuïteit en veerkracht (A.5.30)
    • Logging en monitoring (A.8.16)
  3. Integratie van Cyfun Essentials: gebruik het Cyfun Essentials-raamwerk om de kriticiteit en volwassenheid te kalibreren en NIS2, GDPR en Data Act onder één risicolens op elkaar af te stemmen.
  4. Herschrijven van contracten: Standaardiseer clausules voor gegevenstoegang, portabiliteit en verzoeken van overheidsinstanties.
  5. Schaduwtesten: voer een ‘switchingsimulatie’ uit om ervoor te zorgen dat cloudportabiliteit niet alleen in contracten, maar ook in de praktijk haalbaar is.

Even EU DATA ACT bijduwen op het GDPR ‘zinkende schip’

Hoe zit het met bedrijven die nog maar ‘halverwege’ zijn met de GDPR/AVG? Kunnen zij op die fragiele basis voldoen aan de EU Data Act?

Het eerlijke antwoord: niet zonder structurele veranderingen. Onvoldoende naleving van de AVG betekent zwakke DPIA’s, vage datastroomkaarten en onvoldoende afhandeling van inbreuken – allemaal voorwaarden voor naleving van de Data Act. Bouwen op een wankele AVG-basis is als ‘een wolkenkrabber bouwen op drijfzand’.

In plaats daarvan moeten organisaties de Data Act zien als een kans om GDPR-programma’s aan te passen:

  • Herontwerp DPIA’s zodat ze ook niet-persoonsgebonden gegevens en interoperabiliteitsrisico’s omvatten.
  • Herbouw RoPA’s (Records of Processing Activities) tot holistische datastroomkaarten.
  • Verhoog het niveau van governance van alleen privacy naar bedrijfsbrede gegevensverantwoordelijkheid.

Qfirst & Management Projects Blueprint: GDPR + Data Act-overgangsmodel

Om te voorkomen dat men verdrinkt in parallelle programma’s, stelt Qfirst een blauwdruk voor een overgangsmodel voor:

  1. Unified DPIA 2.0: breid gegevensbeschermingseffectbeoordelingen uit tot gegevensimpact- en overdraagbaarheidseffectbeoordelingen (die zowel GDPR- als Data Act-risico’s omvatten).
  2. Drievoudig gegevensbeheer:
    • Privacy (GDPR)
    • Soevereiniteit (Data Act)
    • Beveiliging (NIS2)
  3. Gecentraliseerd gegevensregister: één opslagplaats voor persoonlijke, niet-persoonlijke en gedeelde gegevensstromen.
  4. Toezicht op bestuursniveau: Richt een commissie voor gegevensbeheer op waarin de functies van DPO, CISO en compliance officer worden gebundeld.

Dit plan verschuift het perspectief van compliance-silo’s naar één enkel governance-model: pragmatisch, controleerbaar en veerkrachtig.

De Data Act in kaart brengen ten opzichte van NIS2 en ISO/IEC 27001:2022-controles

Gebaseerd op het werk van Harry VM van der Plas en Danny Zeegers

Om de overlap te begrijpen, gaan we de verplichtingen van de Data Act afzetten tegen de beveiligingsdoelstellingen van NIS2 en de controles van ISO 27001 Annex A:

  • Cloudportabiliteit en -overstappen
    • NIS2: Bedrijfscontinuïteit en risicobeheer van leveranciers
    • ISO 27001: A.5.30 ICT-gereedheid voor bedrijfscontinuïteit; A.8.16 Monitoringactiviteiten
  • B2B- en B2G-gegevensuitwisseling
    • NIS2: Beveiliging en transparantie van de toeleveringsketen
    • ISO 27001: A.5.19 Leveranciersrelaties; A.5.23 Informatiebeveiliging voor het gebruik van clouddiensten
  • Internationale overdrachtswaarborgen
    • NIS2: Incidentrapportage en risicobeperking
    • ISO 27001: A.5.36 Naleving van beleid en procedures; A.5.37 Wettelijke en contractuele vereisten
  • Databeheer en toegangsrechten
    • NIS2: Governance, verantwoordingsplicht
    • ISO 27001: A.5.1 Beleid voor informatiebeveiliging; A.5.2 Rollen en verantwoordelijkheden

Conclusie: regelgeving als infrastructuur

Met minder dan een jaar te gaan voor de toepassing en slechts twaalf maanden om te implementeren, dreigt de EU-gegevenswet een te vergaande regelgeving te worden voor bedrijven die al overweldigd zijn door de AVG, NIS2 en DORA.

Maar vanuit een ander perspectief bekeken, kan het juist het ontbrekende puzzelstukje zijn: het samenbrengen van privacy, soevereiniteit en cyberbeveiliging in één coherent governancekader.

Voor bedrijven is de keuze duidelijk: ofwel jagen op nalevingsdeadlines als geïsoleerde strijd, ofwel een blauwdrukstrategie omarmen die de regelgevingslast omzet in operationele veerkracht.

En zoals Qfirst adviseert: “Bouw niet alleen complianceprogramma’s. Bouw een architectuur voor gegevensbeheer die ook de volgende regelgeving zal overleven.”

📌 Referentie: EUR-Lex – Verordening (EU) 2023/2854 (Data Act)

Auteurs: Harry VM van der Plas – Danny Zeegers – Karin Printemps Méér dan 100 jaar ervaring in compliance

Laat een reactie achter

Deel dit artikel

Aanbevolen artikels

Meer items

Blijf up to date met NIS2.news

Schrijf je in voor de nis2.news nieuwsbrief en mis nooit het laaste nieuws over NIS2