Senior Associate

Thomas Dubuisson

Talen

Frans
Engels
Nederlands
Spaans

Social media

Thomas is gespecialiseerd in gegevensbescherming (GDPR), intellectuele eigendom, artificial intelligence (AI), technologye en cybersecurity. Zijn ervaring, ontwikkeld binnen multinationals, innovatieve startups en entiteiten uit de publieke sector, omvat zowel contentieuze als niet-contentieuze diensten in deze domeinen. Hij beheerde ook diverse due diligence-onderzoeken voor M&A-transacties met technologiegerichte investeringen. Daarnaast treedt Thomas op als externe functionaris voor gegevensbescherming (Data Protection Officer ,DPO) voor verschillende klanten in verschillende sectoren.

Hij behaalde een LL.M.-diploma aan de Universiteit te Maastricht in Nederland en aan The George Washington University in de Verenigde Staten. Deze dubbele kwalificatie biedt hem een grondige kennis in zowel het burgerlijk recht en common law in dit gebied. Hij verfijnde zijn kennis verder via stages bij toonaangevende IP-instellingen, namelijk het EUIPO (Het Bureau voor intellectuele eigendom van de Europese Unie), het EPO (Europees Octrooibureau) en de WIPO (Wereldorganisatie voor Intellectuele Eigendom).

Het Tech&Data-team, waarvan Thomas een sleutelfiguur uitmaakt, staat bekend om zijn uitmuntendheid en behaalde een Tier 1-status in de categorie “Privacy en Gegevensbescherming” van de Legal500-shortlist en een Band 1-ranking in de International Chambers Directory. Sinds 2021 wordt Thomas consequent erkend door Legal500 als een belangrijk advocaat in de EU Privacy en Gegevensbescherming, vooral inzake geschillen rond gegevensbescherming.

Thomas is tevens gecertificeerd als Information Privacy Professional/Europe door de IAPP. Hij is lid van de EU Incubator van de Brusselse balie en van de CMS Belgium AI Groep, wat hem positioneert aan de voorhoede van juridische innovatie inzake technologie en gegevensbescherming.

Hij is een regelmatige spreker op klantgerichte evenementen en internationale conferenties, zoals de “AI Legal Summit 2025” in Brussel. Onlangs werd hij aangesteld als professor binnen het opleidingsprogramma van de Brusselse balie, waar hij twee cursussen over AI zal geven: “Inleiding tot Artificial Intelligence” en “Geavanceerde AI voor rechtsgeleerden”.

Thomas is een actieve schrijver en levert talrijke bijdragen aan de pers (bijv. L’Echo, Trends) en juridische tijdschriften (bijv. European Data Protection Law Review, Revue Expertises des systèmes d’information – Droit, technologies et prospective).

Thomas heeft een uitgebreide kennis in de volgende domeinen:

Privacy en gegevensbescherming
Artificial intelligence (AI)
IT- en data-gerelateerde geschillen
Intellectuele eigendom
Cybersecurity (bijv. NIS2-richtlijn, Cyber Resilience Act (CRA))
Wetgeving inzake gegevensbescherming (bijv. AVG, Data Act (DA))
Datalekken en cyberaanvallen
Technologierecht

Publicaties

Thomas heeft bijgedragen aan prestigieuze publicaties.

In januari 2025 publiceerde Thomas Dubuisson een artikel in het tijdschrift European Data Protection Law Review (EDPL) over de wisselwerking tussen de GDPR en de EU-verordening inzake kunstmatige intelligentie, gebaseerd op de richtlijnen van de Belgische gegevensbeschermingsautoriteit.

In december 2024 schreef Thomas Dubuisson een artikel in de “Revue Expertises des systèmes d'information - Droit, technologies et prospectives”, waarin hij cruciale inzichten verschafte in het waarborgen van de naleving van wetten op het gebied van gegevensbescherming in het zich ontwikkelende landschap van AI-technologieën.

In oktober 2023 publiceerden Thomas Dubuisson en Tom De Cordier een artikel in het tijdschrift « Expertises des systèmes d’information - Droit, technologies et prospectives » over de Data Act, en de juridische, technische en financiële uitdagingen die deze zal creëren voor veel economische spelers.

In augustus 2021 heeft Thomas, samen met andere advocaten, bijgedragen aan het Belgische hoofdstuk van het boek "Law of Raw Data", gepubliceerd door Wolters Kluwer. Dit boek geeft een overzicht van de wetgeving inzake ruwe data wereldwijd. Voor meer informatie klik hier.

In oktober 2021 publiceerde Thomas een artikel in de European Data Protection Law Review (EDPL) over het nieuwe beleid inzake GDPR-inbreukaspecten en geschillen voor de Gegevensbeschermingsautoriteit.

Thomas publiceert daarenboven talrijke artikelen in de pers en op onze CMS.law website:

DUBUISSON (T.), “Un avocat condamné pour avoir remis des conclusions fantaisistes rédigées par l’intelligence artificielle”, Interview in RTBF, 25 December 2025, hier leesbar.
DE CORDIER (T.), DUBUISSON (T.), et al., “The EU Digital Omnibus: Consolidation, Simplification and Realignment Across the EU’s Digital Rulebook”, 22 December 2025, hier leesbar.
DUBUISSON (T.), UYTTERS (M.), et al., “Cyber-fraud and banking vigilance: French case law and lessons for Belgium”, 31 October 2025, hier leesbar.
DE CORDIER (T.), DUBUISSON (T.), et al., “EU Cybersecurity Month: Protecting your business from investment fraud”, 16 October 2025, hier leesbar.
VAN DEN BRANDE (S.), DUBUISSON (T.), et al., “AIPPI 2025 – Study Question. Copyright and Artificial Intelligence”, Ing.-Cons., 2025/2, 4 September 2025, p. 274-326, hier leesbar.
DE CORDIER (T.), DUBUISSON (T.), et al., “Decoding the NIS2 Directive: Practical guidelines from the EU Agency for Cybersecurity on NIS2 risk management and skills”, 21 Augustus 2025, hier leesbar.
DE CORDIER (T.), DUBUISSON (T.), “Launch of new portal for data breach notification by the Belgian Data Protection Authority”, 17 Juni 2025, hier leesbar.
DE CORDIER (T.), DUBUISSON (T.), “CMS GDPR Enforcement Tracker Report”, 23 May 2025, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “Avec moins de 50 amendes en sept ans, le raz-de-marée de sanctions en lien avec le RGPD n'a pas eu lieu”, Interview in l’Echo, 22 May 2025, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), et al., “The comeback is on: how the EU plans to reclaim digital sovereignty”, 29 April 2025, hier leesbaar
DUBUISSON (T.), “Rançongiciel : un hôpital sanctionné pour manquement à la sécurité de ses données”, Revue Expertises des systèmes d'information – Droit, technologies et prospectives, n° 510, March 2025, hier leesbaar
DUBUISSON (T.), “Deepseek AI - What is it and what do legal teams need to know about it?”, 25 February 2025, LexisNexis, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), et al., “Should privacy professionals take on AI governance roles?”, 11 February 2025, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “Is the EU-U.S. Data Privacy Framework in danger”, 28 jan. 2025, hier leesbaar
DUBUISSON (T.), “Belgium – AI under the microscope of the GDPR: the Belgian Data Protection Authority deciphers the challenges of data protection in the development and use of AI”, European Data Protection Law Review, Volume 10 (2024), Issue 4, jan. 2025, hier beschikbaar.
DE CORDIER (T.), DUBUISSON (T.), “Compulsory or optional? AI literacy a central component of compliance with AI Act”, 18 december 2024, hier leesbaar
DUBUISSON (T.), “L’IA sous la loupe du RGPD", Revue Expertises des systèmes d'information – Droit, technologies et prospectives, n° 507, December 2024, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “EU Cyber Resilience Act comes into effect on 10 December”, 03/12/2024, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “EU’s NIS 2 enters into force: compliance is now mandatory”, 22/10/2024, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “The Belgian Data Protection Authority publishes an informative brochure on artificial intelligence systems and the GDPR”, 25/09/2024, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), DOBBELAERE (D.) and DE PAUW (V.), and Co., “News from the CJEU on GDPR compensation”, 02/02/2024, hier leesbaar
DUBUISSON (T.), “Corporate Disputes - Ransomware and data privacy: class action litigation”, Financier Worldwide Magazine, Jan-Mar 2024 issue, 01/2024, hier leebsaar
DE CORDIER (T.), DUBUISSON (T.), DOBBELAERE (D.) en DE PAUW (V.), « With EU Cyber Resilience Act, EU gets tough on IoT supply chain cybersecurity », 13/12/23, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “How to draft an AI policy?” 23/10/2023, hier leesbaar
DUBUISSON (T.), “Phishing : Votre employé est-il responsable ?”, Trends-Tendances, 19/10/2023, hier leesbaar
DUBUISSON (T.), “Un cybercriminel m’a contacté par e-mail, SMS, téléphone et j’ai malheureusement partagé mes informations personnelles. Que puis-je faire ?”, La Libre Belgique, 16/10/2023, hier leesbaar
DUBUISSON (T.), “EU Cybersecurity Month: The looming threat of a single phishing click to your business”, 09/10/2023, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “Règlement sur les données (Data Act) : Un pas décisif vers une société fondée sur les données”, Revue Expertises des systèmes d'information – Droit, technologies et prospectives, n° 494, October 2023, hier verkrijgbaar
DE CORDIER (T.), DUBUISSON (T.), “Summer Snapshot: Tech and Data Highlights You Might Have Missed”, 11/09/2023, hier leesbaar
DUBUISSON (T.), "Data Protection and Privacy" (Belgium), InDepth Features, Financier Worldwide, 13/07/2023, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “Adequacy decision on EU-US Data Privacy Framework adopted”, 10/07/2023, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “The GDPR turns 5 | Europe-wide analysis reveals data protection fines totaling EUR 2.7 billion in over 1,500 cases”, 23/05/2023, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “The Belgian Whistleblowing Act enters into force. What do you need to know regarding data protection?”, 15/02/2023, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “Happy Data Protection Day! What’s on the horizon for 2023?”, 27/01/2023, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), « Les cybercriminels vont-ils profiter du succès de ChatGPT pour tromper votre entreprise? », l’Echo, 23/01/2023, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), « Quelle stratégie adopter face aux attaques par rançongiciel? », l’Echo, 11/01/2023, hier leesbaar
DUBUISSON (T.), FONTEYN (B.), “Belgian DPA again clarifies the right of access to medical records”, 20/12/2022, hier leesbaar
DUBUISSON (T.), HEREMANS (T.), “The Digital Services Act has entered into force: Here's a quick recap”, 25/11/2022, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “EU Cybersecurity Month: mobile devices can pose a risk to your business”, 20/10/2022, hier leesbaar
DOMOKOS (M.), DUBUISSON (T.), HORVATH (K.), PETRANYI (D.), “European Commission proposes new Cyber Resilience Act”, 12/10/2022, hier leesbaar
DE VISSCHER (F.), DUBUISSON (T.), MARIANO (M.), JANSSENS (M-C.), VAN DE GEHUCHTE (T.), Moral rights in « Les travaux de l’AIPPI », Revue de droit intellectuel - L'ingénieur conseil / Tijdschrift intellectuele eigendom, 2022/2 - 1 september 2022, blz. 297-324
DE GRAAF (E.), DUBUISSON (T.), “How to handle your (ex)-employees’ health data? The BDPA provides new guidelines regarding manager’s communication”, 08/08/2022, hier leesbaar
DUBUISSON (T.), FONTEYN (B.) “Belgian DPA clarifies the interaction between Belgian Patient's Rights Law and GDPR”, 13/07/2022, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “Another cookie enforcement case: Belgian privacy watchdog reconfirms cookie consent rules”, 31/01/2022, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “Éradiquer le fléau des ransomware en interdisant le paiement des rançons?”, l’Echo, 23/11/2021, hier leesbaar
DUBUISSON (T.), “Data Protection Authority Provides New Policies on GDPR Infringements and Litigation Proceedings Aspects”, 15/10/2021, European Data Protection Law Review, 2021/3, blz. 435-449
Van den Brande (S.), Lens (S.), Dubuisson (T.), Lhote (A-N.), Meyer (G.), Law of Raw Data, Belgium chapter, Kluwer Law International, 2021, hier verkrijgbaar
DE CORDIER (T.), DUBUISSON (T.), “EU Cybersecurity Month: Hybrid working makes phishing attacks harder to spot”, 13/10/2021, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “Summer legal recap of data protection law”, 3/09/2021, hier leesbaar op inschrijving
DE CORDIER (T.), DUBUISSON (T.), “EU finally adopts new data transfer clauses”, 09/06/2021, hier leesbaar op inschrijving
DE CORDIER (T.), DUBUISSON (T.), “EU Court of Justice clarifies concept of “informed consent” for collection of personal data”, 17/11/2020, hier leesbaar
DUBUISSON (T.), « Télétravail et cybersécurité : vos employés sont-ils bien formés ? »,Trends Tendances, 12/11/2020, disponible sur Linkedin
DUBUISSON (T.), “Que faire en cas de chantage à la pornographie ?”, 03/11/2020, disponible sur Linkedin
DE CORDIER (T.), DUBUISSON (T.), “EU Cyber Security Month: learn how multi-factor authentication can protect your company's most valuable assets”, 29/10/2020, hier leesbaar
DUBUISSON (T.), Simonart (B.), “How to handle your ex-employees’ mailboxes? The Belgian Data Protection Authority provides guidelines and a EUR 15,000 fine”, 23/10/2020, hier leesbaar
DUBUISSON (T.), “Le « revenge porn » (vengeance pornographique) est désormais dans le Code pénal !” 25/08/2020, disponible sur Linkedin
DE CORDIER (T.), DUBUISSON (T.), VAN DAELE (J.), “Schrems strikes again: EU-US Privacy Shield invalid; Standard Contractual Clauses upheld but due diligence required”, 17/07/2020, hier leesbaar
DUBUISSON (T.), Van den Brande, S., de Visscher, F., Lens, S., Vandewynckel, S., Anne Namalie Lhote and Meyer, G., Rights in Data in « Les travaux de l'AIPPI », 19/05/2020, Revue de droit intellectuel - L'ingénieur conseil / Tijdschrift intellectuele eigendom, 2020/2, blz.360-395
DE CORDIER (T.), DUBUISSON (T.), “Belgian Data Protection Authority provides new guidance on cookies”, 25/05/2020, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “Deadline approaching for notifying CCTV cameras to Belgian police”, 14/05/2020, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “Belgian DPA publishes new detailed guidelines on direct marketing”, 14/02/2020, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), VAN DAELE (J.), “EU Advocate-General opinion hints Europe’s top court is unlikely to disrupt international data flows in pending decision”, 20/12/2019, hier leesbaar
DUBUISSON (T.), “L'employé est-il responsable lorsqu’il mord au “phishing””, 28/11/2019, Trends Tendances, disponible sur Trends
DE CORDIER (T.), DUBUISSON (T.),” EU Cybersecurity Month: When a simple phishing click can severely harm your company”, 10/10/2019, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “Time to update your cookie consent and policy! CJEU says preticked checkboxes are not valid”, 02/10/2019, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “Using social plug-ins on your website? You and the social network will be jointly liable for the data processing”, 31/07/2019, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), “First Belgian GDPR sanction: DPA fines mayor EUR 2,000”,31/05/2019, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), "EU Advocate General gives Internet cookie opinion that could impact data privacy regs”, 02/04/2019, hier leesbaar
DE CORDIER (T.), DUBUISSON (T.), GORIS (A-M), “Belgium's privacy watchdog publishes guidance on the notions of controller and processor”, 17/01/2019, hier leesbaar

Lidmaatschappen en functies

Lid van de Belgian National Association for the Protection of Industrial Property (ANBPPI / BNVBIE)
Lid van de International Association for the Protection of Intellectual Property (AIPPI)

Conferenties

Thomas is een frequente spreker op conferenties in zijn interessegebieden, zoals:

EU Commission LITEL project: “How to draft an AI policy?” (4 and 5 December 2025)
Brussels Bar School program: “Introduction to Artificial Intelligence” and “Advanced AI for legal professionals” (September 2025 - Juni 2026)
CMS webinar: “Decoding the definition of AI system under the AI Act” (10 Juni 2025)
European Company Lawyers Association (ECLA), “AI systems in the context of the AI Act” (30 April 2025)
AI Legal Summit 2025, “What are the biggest known and unknown risks associated with integrating AI into our law practice and operations? How can we proactively address and mitigate these potential threats?” (27-28 februari 2025)
Luxembourg House of Cybersecurity – « Retour de 12 mois de réponse à incident par le team CSIRT d’Excellium – Panorama des types d’incidents et principaux enseignements à retenir » (18 october 2022)
Universiteit van New York (NYU) « Cybersecurity, An International & Commercial Perspective » (14 juli 2022)
« Lutte contre le blanchiment / Les défis du Compliance Officer : Le RGPD souffle ses 6 bougies. Tant de choses à accomplir (encore) ? » (31 mei 2022)

Opleidingen

2015 - Toegelaten tot de Brusselse Franstalige Balie
2012 - George Washington University Law School - United States of America (LL.M in Intellectual Property Law)
2011 - Maastricht University - Netherlands (LL.M in Intellectual Property Law and Knowledge Management)
2010 - University of Louvain, UCLouvain - Belgium (Law Degree)

Practice Areas

Intellectueel Eigendom Handelsrecht

sectors

TMC - Technologie, Media & Communicatie

Meer lezen

Summer Snapshot: Tech and Data Highlights You Might Have Missed
The Belgian Whistleblowing Act enters into force. What do you need to know regarding data protection?

Insights

Wereldwijd bereik

Neem contact met ons op