IT, Data & Cyber Monitor 2026-1

De Europese Commissie heeft ontwerp-richtsnoeren gepubliceerd voor de classificatie van hoog risico AI-systemen

De Europese Commissie heeft ontwerp-richtsnoeren gepubliceerd voor de classificatie van hoog risico AI-systemen op grond van artikel 6 van de EU AI Act. De richtsnoeren bieden een praktische toelichting op de criteria die bepalen of een AI-systeem kwalificeert als hoog risico, met concrete voorbeelden per toepassingsgebied. Het doel is om aanbieders, gebruikers en markttoezichthouders te ondersteunen bij de uniforme toepassing en handhaving van de AI Act.

De richtsnoeren richten zich op twee categorieën hoog risico AI-systemen. Ten eerste AI-systemen die worden gebruikt als veiligheidscomponent van een gereguleerd product of die zelf een product zijn onder de EU-harmonisatiewetgeving (Annex I), en waarbij een conformiteitsbeoordeling door een derde partij vereist is. Ten tweede AI-systemen die vallen binnen de specifieke toepassingsgebieden van Annex III, zoals biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, toegang tot essentiële publieke en private diensten, rechtshandhaving, migratie en asiel, en rechtspraak en democratische processen. De richtsnoeren bevatten uitgebreide praktijkvoorbeelden van AI-systemen die wel of niet als hoog risico kwalificeren, en verduidelijken het ‘filtermechanisme’ van artikel 6 lid 3 AI Act waarmee bepaalde systemen kunnen worden uitgezonderd van hoog risico classificatie.

De richtsnoeren behandelen expliciet niet alle aspecten van hoog risico AI-systemen. Buiten scope vallen: de verplichtingen waaraan aanbieders en gebruikers van hoog risico AI-systemen moeten voldoen (Hoofdstuk III AI Act), de regels voor AI-modellen voor algemene doeleinden (GPAI), cybersecurity-componenten die uitsluitend dienen voor cyberbeveiligingsdoeleinden, en AI-systemen die uitsluitend worden ingezet voor nationale veiligheid of militaire doeleinden. Evenmin wordt ingegaan op de inhoudelijke eisen uit artikel 8 tot en met 15 AI Act, zoals risicobeheer, datakwaliteit, transparantie en menselijk toezicht. De Commissie kondigt aan dat deze richtsnoeren in een later stadium worden aangevuld met andere richtsnoeren die specifiek zijn gericht op de naleving van de eisen voor hoog risico AI-systemen en de verplichtingen voor aanbieders en gebruikers. Daarnaast bereidt de Commissie richtsnoeren voor over de toepassing van de verantwoordelijkheden binnen de AI-waardeketen (artikel 25 AI Act). 

De regels voor hoog risico AI-systemen treden gefaseerd in werking. AI-systemen onder artikel 6 lid 2 en Annex III zijn vanaf 2 augustus 2026 onderworpen aan de verplichtingen uit de AI Act, terwijl AI-systemen onder artikel 6 lid 1 en Annex I vanaf 2 augustus 2027 moeten voldoen. De Digitale Omnibus stelt deze data echter uit naar respectievelijk 2 december 2027 en 2 augustus 2028. Aanbieders en gebruikers doen er verstandig aan tijdig kennis te nemen van deze richtsnoeren en hun AI-systemen te beoordelen op basis van de geboden classificatiecriteria.

Europese Commissie komt met pakket voor technologische soevereiniteit om de digitale autonomie en veerkracht van Europa te versterken

De Europese Commissie heeft het Europese pakket voor technologische soevereiniteit gepresenteerd, een reeks maatregelen om de Europese capaciteit op het gebied van halfgeleiders, kunstmatige intelligentie (AI), cloud en open source te versterken. Het pakket omvat twee wetgevingsvoorstellen – de Chips Act 2.0 en de Cloud and AI Development Act – evenals de Open Source-strategie en een strategische routekaart voor digitalisering en AI in de energiesector.

Samen ondersteunen deze maatregelen de ambitie van Europa om een AI-continent te worden, zijn digitale autonomie te versterken en bij te dragen aan een duurzamere digitale toekomst. Ze zullen helpen de keuze in kerntechnologieën voor EU-bedrijven, burgers en overheidsinstanties te vergroten. Deze stap komt op een moment dat Europa voor digitale kerntechnologieën nog steeds sterk afhankelijk is van leveranciers buiten de Europese Unie en de vraag naar rekencapaciteit sterk toeneemt door de opkomst van AI. Het is bedoeld om structurele afhankelijkheden te verminderen en ervoor te zorgen dat Europa de technologieën waarop Europeanen vertrouwen, kan ontwikkelen, implementeren en beveiligen. Het duidt op een belangrijke verschuiving in de benadering van technologie door de EU.

EC, 3 juni 2026

AP position paper cyberveiligheid en informatiebeveiliging

In een position paper deelt de Autoriteit Persoonsgegevens (AP) een aantal verbeteringen voor de cyberveiligheid van Nederland. De AP benadrukt dat het beveiligingsniveau bij veel organisaties structureel tekortschiet, met name door gebrekkige risicobeoordeling en naleving van basismaatregelen zoals dataminimalisatie en bewaartermijnen. De focus van de AP blijft risico-gestuurd toezicht op basis van datalekken, voor preventief toezicht ontbreekt de capaciteit (al kondigt de AP wel aan ICT-leveranciers preventief te gaan controleren). Voor uw organisatie betekent dit een blijvende nadruk op aantoonbare compliance, inclusief documentatie van technische en organisatorische maatregelen en betrokkenheid tot aan het hoogste managementniveau. 

AP, 19 mei 2026

ACM biedt bedrijven duidelijkheid over data delen met leidraad

Met de leidraad geeft de ACM een toelichting op het onderdeel data delen binnen de Dataverordening. Met de leidraad biedt de ACM praktische handvatten aan fabrikanten, leveranciers en verkopers van slimme apparaten om de verplichtingen uit de verordening goed te implementeren. Daarbij besteedt de ACM onder meer aandacht aan de informatieverplichtingen waar bedrijven aan moeten voldoen en de wijze waarop zij gebruikers toegang moeten geven tot de data uit de apparaten die zij gebruiken. Zo moeten bedrijven duidelijk aan gebruikers uitleggen welke gegevens worden verzameld en hoe zij die kunnen raadplegen en opvragen. Ook moeten zij gebruikers kosteloos en op een makkelijke en veilige manier toegang tot de gegevens verstrekken.

ACM, 15 mei 2026

Cybersecuritymonitor 2025

De door het CBS uitgebrachte monitor is een rapportage over de meest actuele stand van zaken rond de cyberweerbaarheid van bedrijven en personen in Nederland. Dat gebeurt hoofdzakelijk met CBS-cijfers over cybersecuritymaatregelen en cybersecurityincidenten.

NCSC, 28 mei 2026

AP legt taxi-app Yango boete van 100 miljoen euro op

MLU is het bedrijf achter de Europese versie van taxi-app Yango en is in Nederland gevestigd. Met Yango boeken mensen in Noorwegen en Finland een taxirit bij aangesloten chauffeurs. Yango geeft vervolgens persoonsgegevens van taxichauffeurs en klanten door aan bedrijven in Rusland. Hierbij zorgt MLU niet voor een goede bescherming van de gegevens. Dat blijkt uit onderzoek naar Yango dat de AP deed samen met de Noorse en Finse privacytoezichthouders. MLU moet onmiddellijk stoppen met het doorgeven van persoonsgegevens via de Yango-app. Voor de overtredingen die MLU tot dusver heeft begaan, legt de AP een boete op van 100 miljoen euro. De boete is gerelateerd aan de omzet van het moederconcern met een wereldwijde omzet van 12 miljard euro.

AP, 8 mei 2026

EDPS Jaarverslag 2025: protecting people in a changing digital world

In het jaarverslag 2025 van de European Data Protection Supervisor (EDPS) is te lezen dat er sprake is van een verscherpt toezicht op internationale datadoorgifte en gebruik van cloud- en AI‑systemen. Daarnaast leverde de EDPS uitgebreide input op wetgevingsvoorstellen en stimuleerde hij consistente toepassing van het EU‑privacykader. Technologische ontwikkelingen, met name rond AI, werden actief gemonitord en begeleid via audits, richtsnoeren en samenwerkingsinitiatieven. Ook intern werd ingezet op transparantie, governance en digitale weerbaarheid, terwijl communicatie en internationale samenwerking werden uitgebreid.

Zie: EDPS, 7 mei 2026

Voorstel voor een vergunning op EU-niveau voor systemen die mobiele satellietdiensten (MSS) aanbieden

De Commissie heeft een voorstel aangenomen voor een verordening tot vaststelling van een selectieprocedure op EU-niveau voor de toewijzing van spectrum voor mobiele satellietdiensten. Door de voorwaarden voor het gebruik van de 2 GHz-frequentieband voor mobiele satellietdiensten in alle EU-lidstaten te harmoniseren, wordt gezorgd voor consistente regelgeving in de hele EU en kunnen exploitanten grensoverschrijdende diensten ontwikkelen en aanbieden. De voorgestelde verordening (+ bijlage) voor de toewijzing van de 2 GHz MSS-frequentieband vervangt het besluit uit 2008, dat in mei 2027 afloopt, en sluit aan bij het voorstel voor een wet inzake digitale netwerken.

EC, 27 mei 2026

ENISA NIS360 – De nieuwste inzichten in de cyberbeveiliging en kwetsbaarheid van zeer kritieke sectoren

Deze editie van het ENISA NIS360-rapport beoordeelt de mate van cyberbeveiliging en kwetsbaarheid van alle zeer kritieke sectoren zoals vastgesteld in bijlage I van de NIS2-richtlijn. De beoordeling bestrijkt het gehele ecosysteem van een sector, waarbij elke sector wordt opgevat als bestaande uit relevante actoren (d.w.z. nationale autoriteiten, entiteiten, EU-organen) en toepasselijke regels (EU-wetgeving).

ENISA, 28 mei 2026

Inzageverzoeken op grond van artikel 15 AVG

Ook in de afgelopen twee maanden heeft de rechter meerdere zaken behandeld met als inzet het verzoek tot inzage op grond van artikel 15 AVG. De lijn is consistent: artikel 15 AVG verschaft inzage in persoonsgegevens, niet in de onderliggende documenten of “screenprints” waarin die gegevens voorkomen. Een gegevensoverzicht volstaat als het doel van controle op juistheid en rechtmatigheid wordt bereikt. Inzage is vormvrij en verwijzing naar reeds openbaar toegankelijke stukken kan volstaan. De beperking tot “gegevens, niet documenten” betekent niet dat documenten nooit hoeven te worden verstrekt. Waar de inhoud van een document zélf de persoonsgegevens vormt en/of als kennisneming van de context noodzakelijk is om de persoonsgegevens volledig en getrouw te begrijpen, strekt het inzagerecht verder. De verwerkingsverantwoordelijke mag een passende vorm kiezen (bijv. een Excel‑overzicht), mits de betrokkene de verwerking kan verifiëren. Rechterlijke colleges benadrukken dat, zodra een zorgvuldige zoekslag is gemotiveerd, de betrokkene concrete aanwijzingen moet geven voor het bestaan van méér gegevens. Procedurele onvolkomenheden (zoals termijnoverschrijdingen) tasten het besluit in beginsel niet aan, maar leiden doorgaans wel tot schadevergoeding wegens overschrijding van de redelijke termijn. Rechtmatig verwijderde persoonsgegevens hoeven niet alsnog te worden verstrekt. Waar rechten of vrijheden van derden aan de orde zijn, vergt artikel 15 een concrete belangenafweging; waar mogelijk moet in een minder ingrijpende vorm worden verstrekt in plaats van categorisch te weigeren. De rechtbank tikte de AP op dit punt aan: een beroep op (beroeps)geheimhouding vergt specifieke onderbouwing en afweging, zeker als relevante namen toch al openbaar plegen te zijn.

Zie: 

• ABRvS 13 mei 2026 ECLI:NL:RVS:2026:2769 (AVG inzage; vormvrij en geen recht op verwijderde data)
• Rechtbank Gelderland 13 mei 2026 ECLI:NL:RBGEL:2026:3783 (Art. 15 AVG ziet op toegang tot persoonsgegevens, niet op onderliggende documenten; de stelplicht over vermeende ontbrekende gegevens rust op eiser. Procedurele gebreken zoals overschrijding van beslistermijnen maken het besluit niet ongeldig)
• Rechtbank Limburg 1 mei 2026 ECLI:NL:RBLIM:2026:4249 en ECLI:NL:RBLIM:2026:4251 (geen recht op integrale stukken bij AVG inzage)
• Rechtbank Midden-Nederland 23 april 2026 ECLI:NL:RBMNE:2026:2162 (medisch dossier én telefoongesprekken vallen onder inzagerecht)
• ABRvS 6 mei 2026 ECLI:NL:RVS:2026:2574 (uitleg 'impliciet' verwerkingsverantwoordelijke)
• Rechtbank Noord-Nederland 17 april 2026 ECLI:NL:RBNNE:2026:1495 (AP had belangenafweging moeten maken; besluit vernietigd)

Nederland blokkeert overname DigiD-hoster Solvinity door Amerikaans IT-bedrijf

Het Ministerie van Economische Zaken verbiedt de overname van DigiD-hoster Solvinity door het Amerikaanse IT-bedrijf Kyndryl. Het Bureau Toetsing Investeringen concludeert dat de koop mogelijk een risico vormt voor het publieke belang.

Tweede Kamer, 26 mei 2026

Telefoons met 6G komen over drie jaar

De eerste modems met ondersteuning voor 6G komen in 2028. Dat zegt chipontwerper Qualcomm tijdens de presentatie van de Q2 kwartaalcijfers. Vervolgens komen de eerste telefoons met 6G uit in 2029. "Wat connectiviteit betreft, zal 6G nieuwe categorieën mobiele en persoonlijke apparaten mogelijk maken, zoals slimme brillen met verbeterde uplink-mogelijkheden ter ondersteuning van interactieve toepassingen zoals ‘see what I see’. Naast connectiviteit zal 6G een AI-native netwerk zijn waarin AI-redenering, leren en autonoom handelen kernfuncties zijn. Het is bedoeld als gedistribueerde intelligente infrastructuur die communicatie en realtime detectie over grote afstanden integreert," aldus de CEO Christian Amon.

Qualcomm, 29 april 2026

The Privacy Collective eist schadevergoeding wegens verkoop van data van miljoenen Nederlanders

The Privacy Collective daagt AppLovin en dochter Adjust voor de rechter wegens illegale datacollectie via volgsoftware in populaire gratis games en apps. Zij maakten zonder toestemming gedetailleerde profielen van naar schatting 8,5 miljoen Nederlanders, waaronder 1,5 miljoen kinderen, en deelden deze met honderden partijen voor gerichte reclame. In 2025 behaalde AppLovin een omzet van 5,5 miljard dollar. TPC eist een verbod op deze praktijken en een schadevergoeding voor de betrokkenen.

The Privacy Collective, 21 mei 2026

Wilt u meer weten of van gedachten wisselen over deze publicatie? Neem dan contact met ons op, wij gaan graag met u in gesprek.