Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteitenwetsvoorstellen aangenomen door de Tweede Kamer
Op 15 april 2026 heeft de Tweede Kamer de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) aangenomen. De Cbw implementeert de Europese NIS2-richtlijn en verplicht organisaties om hun netwerk- en informatiesystemen adequaat te beveiligen, met een zorgplicht, meldplicht en registratieplicht. De Wwke implementeert de Critical Entities Resilience (CER)-richtlijn en beschermt vitale infrastructuur tegen dreigingen zoals sabotage en natuurrampen.
De wetsvoorstellen worden nu voorgelegd aan de Eerste Kamer, met beoogde inwerkingtreding in het tweede kwartaal van 2026. Volgende week zullen wij verder ingaan op de Cbw en de Wwke.
Nederlandse regering kritisch op Europese Commissie’s wetgevingspakket Omnibus Digitaal
Op 19 november 2025 heeft de Europese Commissie het wetgevingspakket Omnibus Digitaal gepresenteerd, dat wijzigingen voorstelt van onder meer de AVG en de Data Act (Dataverordening). Voor de AVG wordt onder meer voorgesteld om de definitie van persoonsgegevens te wijzigen, de transparantieverplichting uit art. 13 AVG in te perken, en de meldplicht bij datalekken te beperken tot gevallen waarin betrokkenen daadwerkelijk nadelige gevolgen kunnen ondervinden, met een aangepaste meldingstermijn van 96 uur.
Op het gebied van Artificial Intelligence wordt voorgesteld de verwerking van persoonsgegevens voor ontwikkeling en exploitatie van AI-systemen toe te staan op grond van het gerechtvaardigd belang. Ook wordt de verwerking van bijzondere persoonsgegevens voor ontwikkeling en exploitatie van AI-systemen in beperkte mate toegestaan, op voorwaarde dat de verantwoordelijke passende technische en organisatorische maatregelen neemt om de verzameling en andere verwerking van bijzondere persoonsgegevens te beperken. Mochten er toch bijzondere persoonsgegevens worden verzameld, dan dienen deze na verzameling te worden verwijderd, danwel – indien verwijdering onevenredig veel moeite vergt – dient te worden voorkomen dat deze worden gebruikt om resultaten te produceren.
Voor de Data Act omvatten de wijzigingen onder meer nieuwe waarborgen voor de bescherming van bedrijfsgeheimen in data uit IoT-producten en een beperking van de regels over het overstappen tussen clouddiensten.
Op 8 april 2026 heeft de Nederlandse regering kenbaar gemaakt de vereenvoudiging van regelgeving te steunen, maar serieuze zorgen te hebben over fundamentele AVG-wijzigingen die het niveau van gegevensbescherming wezenlijk verminderen zonder de regeldruk te verlagen. Het kabinet pleit er onder meer voor om het toestaan van de verwerking van persoonsgegevens voor AI-doeleinden te schrappen, in lijn met de verbeteringen die zijn voorgesteld door het voorzitterschap van de Raad van de Europese Unie en de opinies van de EDPS en de EDPB.
Omnibus AI: versoepeling van de AI-verordening
Het voorstel Digitale Omnibus inzake AI van de Europese Commissie beoogt de naleving van de gedeeltelijk in werking getreden AI-verordening te versoepelen door onder meer de toepasselijkheid van regels voor hoog-risico AI-systemen uit te stellen, bepaalde AI-systemen vrij te stellen van de registratieplicht, en de verantwoordelijkheid voor AI-geletterdheid toe te wijzen aan de lidstaten en de Europese Commissie.
Daarnaast wordt de mogelijkheid om bijzondere persoonsgegevens te verwerken ter opsporing en correctie van vooringenomenheid uitgebreid naar alle AI-systemen en AI-modellen. Niet alle voorgestelde wijzigingen worden door toezichthouders gesteund. De Autoriteit Persoonsgegevens (AP) heeft zich in een position paper van 13 januari 2026 kritisch uitgelaten over de wijzigingen in beide omnibusvoorstellen voor de privacyregelgeving. Verdere aanpassingen kunnen daarom nog worden verwacht.
AP start consultatie over concepthandhavingsbeleid
De AP heeft op 13 april 2026 een concepthandhavingsbeleid ter consultatie gepubliceerd. Met dit beleid wil de AP meer duidelijkheid bieden over de inzet van haar handhavingsinstrumenten wanneer organisaties de privacyregels overtreden, en over het verloop van de handhavingsprocedure. Het conceptbeleid beschrijft onder meer de uitgangspunten van de AP bij handhaving. waaronder de beginselplicht tot handhaven en effectgericht optreden. en geeft een overzicht van de beschikbare instrumenten, van berispingen en lasten onder dwangsom tot bestuurlijke boetes en verwerkingsverboden. Ook bevat het beleid een regeling voor de vereenvoudigde afronding van handhavingsprocedures in overleg met de overtreder, waarbij de boete met maximaal 35% kan worden verlaagd in ruil voor erkenning van de overtreding en het afzien van rechtsmiddelen. Experts, belanghebbenden en geïnteresseerden kunnen tot 17 mei 2026 reageren op het conceptbeleid.