Nieuws & Blogs

Digitale soevereiniteit in de zorg: voortbouwen op je strategie

Tessa van Schijndel — Mon, 08 Jun 2026 11:38:44 GMT

Met het European Technological Sovereignty Package heeft de Europese Commissie onlangs een duidelijk signaal afgegeven: Europa wil minder afhankelijk worden van niet-Europese leveranciers voor kritieke technologieën. Commissievoorzitter Von der Leyen verwees daarbij expliciet naar de zorg: "We cannot afford to depend on others for the technologies that keep our hospitals running."

Dat is geen toeval. Veel ziekenhuizen, GGZ-instellingen, VVT-organisaties en huisartsen maken gebruik van Amerikaanse leveranciers (of andere leveranciers buiten Europa) voor hun EPD, cloud, AI en/of medische apparatuur. Tegelijk stapelt de Europese zorgwetgeving zich op: MDR, AI Act, EHDS, NIS2, AVG en de NEN 7510 stellen steeds strengere eisen aan databescherming, ketenbeveiliging en transparantie. Achter al die wetten zit één gemeenschappelijk thema: regie houden. Over je data, je (AI)-systemen en je leveranciers.

Waarom wil je als zorgorganisatie soeverein zijn?

1. Patiëntveiligheid en continuïteit van zorg

Wat gebeurt er als je EPD-leverancier wegvalt, een cloudverbinding wordt onderbroken, of een fabrikant van medische apparatuur stopt met support? Hoe afhankelijker je bent van één partij, hoe groter het risico voor je primaire proces. NIS2 verplicht je inmiddels expliciet om dit soort supply chain-risico's actief te beheersen. In de praktijk betekent dit dat je je kritieke leveranciers structureel beoordeelt op betrouwbaarheid en beveiligingsniveau, contractuele afspraken maakt over kwetsbaarheden, incidenten en exit, en op organisatieniveau bepaalt welke afhankelijkheden acceptabel zijn en welke je actief moet afbouwen of mitigeren.

2. Bescherming van patiëntdata onder strenge wetgeving

Je verwerkt bijzondere persoonsgegevens. De zwaarste categorie onder de AVG. Buitenlandse wetgeving zoals de CLOUD Act kan toegang geven tot data bij Amerikaanse leveranciers, óók als die fysiek in een Europees datacenter staat. Zoals je waarschijnlijk al bedacht hebt wringt dat met je medisch beroepsgeheim én met de strikte doorgifte-eisen van de AVG.

3. Strategische wendbaarheid

Geopolitieke spanningen, sancties of een eenzijdige prijswijziging van een dominante leverancier kunnen je organisatie raken. Soevereiniteit betekent: keuzevrijheid behouden om te kunnen schakelen.

4. Vertrouwen van patiënten en medewerkers

Patiënten verwachten dat hun data veilig is. Medewerkers willen werken met systemen die ze begrijpen en vertrouwen. Daarmee raakt soevereiniteit ook direct aan je geloofwaardigheid als zorgorganisatie.

Data data data

In de praktijk roept de omgang met medische data direct 3 vragen op die met soevereiniteit te maken hebben. Allereerst: waar staat de data? Fysieke locatie is belangrijk, maar niet voldoende. De vraag is óók onder welke jurisdictie de leverancier valt. Daarnaast: wie heeft toegang? Denk niet alleen aan jezelf, maar ook aan beheerders, sub-verwerkers en de rest van de keten.

De EHDS voegt hier een laag aan toe: patiënten krijgen het recht hun gezondheidsdata elektronisch in te zien, te delen en over te dragen. Daardoor moeten EPD-leveranciers interoperabel werken, wat het overstappen naar een andere partij realistischer maakt. Het medisch beroepsgeheim (Wgbo) en de NEN 7510 komen hier samen: je moet aantoonbaar kunnen waarborgen dat patiëntdata vertrouwelijk blijft, ook in de keten. Een leverancier die onder buitenlands recht gedwongen kan worden data af te geven, past daar niet zomaar bij.

Soevereiniteit als onderdeel van je bestaande digitale strategie

Je hoeft geen nieuwe strategie te starten. Soevereiniteit bouw je in op wat je toch al doet: EPD-vernieuwing, cloudmigratie, AI-pilots, regionale gegevensuitwisseling en NIS2-implementatie.

De AVG vraagt om bewuste keuzes over grondslag, doelbinding en doorgifte. De NIS2 verplicht je tot supply chain-risicomanagement, waarmee je grip krijgt op je leveranciersketen. De MDR stelt continuïteits- en veiligheidseisen aan medische software. De AI Act vraagt transparantie, logging en menselijke tussenkomst. Dat geeft je grip op AI-modellen en hun trainingsdata. De EHDS dwingt EPD-leveranciers tot interoperabiliteit. En bij onderzoeksdata en secundair gebruik anticipeer je op de EHDS-route via nationale health data access bodies. Tot slot vraagt de NEN 7510 al om een gedegen beoordeling van leveranciers. Een toetsing die je goed kunt combineren met soevereiniteitscriteria, zodat je beide vraagstukken in één samenhangend proces afhandelt.

Wat kun je als zorgbestuurder doen?

Stap 1: Breng je afhankelijkheden in kaart

Je kunt pas sturen op soevereiniteit als je weet waar je afhankelijkheden zitten. Begin met een overzicht van je kritieke systemen (EPD, beeldvorming, lab, medicatie, communicatie) en identificeer per leverancier het moederbedrijf en de toepasselijke jurisdictie. Vergeet daarbij niet de medische apparatuur met cloudkoppeling, de AI-toepassingen (met hun trainings- en hostinglocatie) en de regionale samenwerkingen die je hebt opgetuigd. Beoordeel per onderdeel hoe kritiek het is en hoe groot het soevereiniteitsrisico.

Stap 2: Toets je leveranciers langs vijf dimensies

Voor een gestructureerde beoordeling kun je gebruikmaken van het Toetsingsinstrument Soevereiniteit Clouddienstenvan DICTU, dat ook binnen de Rijksoverheid wordt gehanteerd. Dit instrument kijkt langs vijf dimensies: juridisch, data & AI, technologie, operationeel en mens. Door je leveranciers langs deze dimensies te beoordelen, krijg je een onderbouwd risicobeeld.

Stap 3: Beoordeel je bestaande contracten

De grootste praktische winst zit in je contracten. Bekijk of exit-bepalingen werkbaar en getest zijn, hoe auditrechten en transparantie over sub-verwerkers zijn vastgelegd, en hoe sleutelbeheer is geregeld. Kijk ook naar continuïteitsgaranties bij geopolitieke verstoringen en of verwerkersovereenkomsten voldoen aan de doorgifte-eisen van de AVG. Veel zorgcontracten zijn jaren geleden gesloten, vóór de huidige juridische en geopolitieke context. Een update is meestal hard nodig.

Stap 4: Stel soevereiniteitseisen in nieuwe aanbestedingen of inkooptrajecten

Bij elke nieuwe aanbesteding of inkooptraject kun je functionele soevereiniteitseisen opnemen: data residency en EU-support als harde eis, open standaarden, een werkbare exitstrategie verplicht in het contract, transparantie over sub-verwerkers en hun jurisdictie en aansluiting op de interoperabiliteitseisen van de EHDS. Zo voorkom je dat je over vijf jaar opnieuw vastzit aan een leverancier waar je niet meer onderuit komt.

Stap 5: Beleg het bestuurlijk

Soevereiniteit is geen IT-feestje. Maak het onderdeel van je risicomanagementcyclus en beleg duidelijke rollen. Sluit zoveel mogelijk aan bij je bestaande trajecten, zodat je geen dubbel werk doet.

Waar wij je bij kunnen helpen

Wij helpen zorgorganisaties om soevereiniteit praktisch in te bouwen op hun bestaande digitale strategie. We kunnen je helpen bij het in kaart brengen van je grootste risico's en afhankelijkheden, review van contracten en ondersteuning bij inkoop. We bieden een geïntegreerde compliance-aanpak waarin MDR, AI Act, EHDS, NIS2 en AVG samenkomen in één traject en breiden je bestaande NEN 7510-audit uit met een soevereiniteitslens.

Voor organisaties die deze vraagstukken zelf scherper willen verkennen, bieden we het AI Pro Pack aan. Onderdeel daarvan is een soevereiniteitsassistent. Een laagdrempelige manier om soevereiniteit op de agenda te krijgen. Start nu 14 dagen gratis!

NEN 7510 en de Cyberbeveiligingswet: dit verandert er met de A1 update

g.tanwir@ictrecht.nl (Ghazya Tanwir) — Mon, 08 Jun 2026 11:26:50 GMT

Nu de implementatie van de NIS2-richtlijn in Nederland in een vergevorderd stadium is, komt de Cyberbeveiligingswet (Cbw) snel dichterbij. De Tweede Kamer heeft op 15 april 2026 ingestemd met het wetsvoorstel en momenteel ligt het bij de Eerste Kamer. Inwerkingtreding van de Cbw per 1 juli 2026 lijkt daarmee aannemelijk.

Voor veel organisaties is NIS2 inmiddels geen onbekend onderwerp meer. Met de komst van de Cbw wordt echter steeds concreter wat er in de praktijk van organisaties wordt verwacht. Juist dat leidt tot nieuwe vragen, zeker bij zorgorganisaties die al werken met NEN 7510.

Met de recente A1-update van NEN 7510-2 is daarbij een interessant hulpmiddel beschikbaar gekomen: een directe mapping tussen de norm en de wettelijke verplichtingen uit de Cbw en het Cyberbeveiligingsbesluit (Cbb). Deze mapping maakt inzichtelijk in hoeverre bestaande NEN 7510-controls al invulling geven aan de eisen uit de Cbw. Voor organisaties die al met NEN 7510 werken, biedt dit een praktisch startpunt om te bepalen waar zij al voldoen en waar nog aanvullende maatregelen nodig zijn.

De vier kernverplichtingen

De NIS2-richtlijn draait in de kern om vier centrale verplichtingen voor organisaties: governance, zorgplicht, meldplicht en registratieplicht.

Governance ziet op de bestuurlijke verantwoordelijkheid voor cyberbeveiliging. Het bestuur moet actief betrokken zijn bij het beoordelen van informatiebeveiligingsrisico’s, het formeel goedkeuren van passende beveiligingsmaatregelen en het toezien op de implementatie daarvan. De zorgplicht verplicht organisaties om passende en evenredige beveiligingsmaatregelen te treffen voor de bescherming van netwerken en informatiesystemen. De meldplicht schrijft voor dat significante incidenten tijdig moeten worden gemeld bij de toezichthouder. Tot slot vereist de registratieplicht dat NIS2-entiteiten zich registreren in het entiteitenregister van het NCSC.

Deze vier kernverplichtingen vormen de basis van de wetgeving en komen grotendeels terug in de manier waarop de mapping in NEN 7510-2:2024+A1:2026 is opgebouwd. Opvallend is dat de registratieplicht hierin ontbreekt. De mapping focust zich vooral op de beveiligings- en governanceverplichtingen uit de Cbw en niet op de registratieplicht, aangezien de registratieplicht primair een wettelijke registratieverplichting betreft en geen directe organisatorische of technische beveiligingsmaatregel binnen NEN 7510.

De praktische waarde van de mapping

In de mapping zijn deze kernverplichtingen vertaald naar concrete thema’s en domeinen (zie NEN 7510-2:2024+A1:2026, bijlage E, tabel E.1, p. 273). Deze tabel bestaat uit meerdere kolommen waarin de relatie tussen wetgeving en norm inzichtelijk wordt gemaakt. Onder het thema wordt de relevante kernverplichting uit de NIS2 en de Cyberbeveiligingswet benoemd. Het domein geeft aan op welk onderwerp de verplichting betrekking heeft. In de kolom juridische grondslag wordt verwezen naar de bijbehorende wetsartikelen uit de Cbw en het Cbb. Tot slot wordt onder gezondheidszorg inzichtelijk gemaakt welke onderdelen van NEN 7510-1 en NEN 7510-2 hierop aansluiten.

Voor zorgorganisaties die al werken met NEN 7510 is deze mapping bijzonder relevant. De kans is groot dat bestaande maatregelen al gedeeltelijk invulling geven aan de eisen uit de Cyberbeveiligingswet. De tabel kan daarom goed worden gebruikt als basis voor een gerichte gap-analyse. Door per wettelijke verplichting te bekijken welke NEN 7510-controls hieraan gekoppeld zijn, ontstaat snel inzicht in waar de organisatie al voldoet en waar nog aanvullende maatregelen nodig zijn. Daarbij is het belangrijk om niet alleen te kijken naar de aanwezigheid van beleid en procedures, maar vooral ook naar de vraag in hoeverre deze aantoonbaar zijn geïmplementeerd en effectief functioneren.

Wat is er nieuw in de A1-update?

De wijziging NEN 7510-2:2024 + A1:2026 introduceert aanvullende zorgspecifieke richtlijnen die nadrukkelijk aansluiten op de eisen uit de Cbw en Cbb. De A1-update bevat onder meer aanvullingen op de zorgspecifieke richtlijnen in: 5.12, 5.15, 5.16, 5.30, 5.34, 6.3, 6.8 en 6.9. Hieronder lichten wij de belangrijkste toe en wat deze betekenen voor de praktijk.

5.12 Genetische en biometrische gegevens verdienen extra aandacht

De update benadrukt dat genetische en biometrische gegevens een aparte classificatie verdienen, zeker wanneer wet en regelgeving daar onvoldoende houvast voor biedt. Voor zorgorganisaties is dit direct relevant: denk aan DNA gegevens, vingerafdrukken voor toegangscontrole of gezichtsherkenning. Deze gegevens vallen onder de zwaarste categorie van de AVG en vragen om expliciete classificatie en aanvullende beschermingsmaatregelen.

5.15 Toegangsbeveiliging afgestemd op zorgprocessen

Toegangsbeveiligingsbeleid moet nadrukkelijk aansluiten op rollen en werkprocessen binnen de zorg. Dit klinkt vanzelfsprekend, maar in de praktijk zien wij vaak dat toegangsrechten historisch zijn gegroeid en niet meer aansluiten bij de werkelijke functie van medewerkers. De norm vraagt nu uitdrukkelijk dat rechten worden afgestemd op de daadwerkelijke zorgbehoeften: niet meer, niet minder. Zero trust als uitgangspunt is hiermee feitelijk verankerd in de norm.

5.16 Verificatie van beroepsmatige competenties

In de zorg gaat identiteitsbeheer verder dan alleen een gebruikersnaam en wachtwoord. Beroepsmatige competenties moeten worden geverifieerd via relevante registratie instanties, zoals het BIG register. Dit is relevant bij het onboarden van nieuwe medewerkers, maar ook bij het inzetten van tijdelijk of extern personeel. Digitale certificaten kunnen hierbij een rol spelen. Voor veel zorgorganisaties betekent dit dat het HR-proces en het toegangsbeheer proces nadrukkelijker op elkaar moeten worden afgestemd.

5.34 Elke toegang tot patiëntgegevens moet worden gelogd

Dit is een van de meest impactvolle wijzigingen voor de dagelijkse praktijk. De update vereist dat alle toegang tot persoonlijke gezondheidsinformatie wordt geregistreerd, inclusief noodtoegang waarbij normale toegangsbeperkingen worden omzeild. Verdachte patronen, zoals het herhaaldelijk bekijken van dossiers zonder duidelijke zorgnoodzaak, moeten automatisch een alarmering genereren die direct wordt onderzocht. Voor organisaties zonder geavanceerde logging en monitoring is dit een aanzienlijke opgave.

6.3 Social engineering: een specifiek zorgrisico

Social engineering wordt expliciet benoemd als een bijzonder risico voor zorgorganisaties. Aanvallers imiteren niet alleen IT-medewerkers, maar ook clinici, familieleden van patiënten of zelfs politiemedewerkers. De norm vereist nu expliciet dat training en bewustwording hierop zijn afgestemd en dat medewerkers worden gestimuleerd om pogingen tot social engineering direct te melden, ook als de poging niet is geslaagd. Een generieke phishingtest volstaat hier niet meer. Dit vraagt om scenario gebaseerde training die aansluit bij de zorgcontext.

6.8 Melden zonder angst

Effectief incidentbeheer begint bij het melden van incidenten. De update benadrukt dat de drempel voor melden zo laag mogelijk moet zijn en dat medewerkers geen angst mogen hebben voor beschuldigingen. Organisaties worden aangespoord om anoniem melden technisch mogelijk te maken. Dit vraagt om een cultuurverandering waarbij open communicatie over incidenten actief wordt gestimuleerd.

6.9 Bestuurders moeten oefenen met crisisscenario's

Ook bestuurders en managementteams moeten aantoonbaar voorbereid zijn op cybercrisissen. Managementtraining moet voortaan simulaties van crisismanagement omvatten, expliciet gericht op cyberincidenten zoals ransomware aanvallen en datalekken. Wat dit extra relevant maakt, is dat 6.9 in de nieuwe mapping is gekoppeld aan het governance thema onder de Cbw. Dit betekent dat bestuurders niet alleen moeten worden getraind, maar ook aantoonbaar moeten hebben geoefend. Een tabletop oefening is daarmee geen nice to have, maar een bestuurlijke verplichting die bij toezicht kan worden getoetst.

De rode draad

Wie de wijzigingen overziet, ziet een duidelijke lijn: de A1-update maakt informatiebeveiliging in de zorg persoonlijker, procesgerichter en aantoonbaarder. Het gaat niet langer alleen om technische maatregelen, maar om de vraag of de juiste mensen, met de juiste rechten, op de juiste manier omgaan met gevoelige informatie, en of dat aantoonbaar is vastgelegd en geoefend. Dat is precies waar de Cbw op toetst.

Benieuwd hoe jouw organisatie ervoor staat?

Met strengere regels en groeiende risico's is dit hét moment om je data en privacy onder de loep te nemen. Wij helpen je graag ontdekken waar kansen liggen om compliant én weerbaar te zijn.

De nieuwe Archiefwet en AI: wie bewaart het geheugen van een slimme overheid?

Koen van Jaarsveld — Thu, 04 Jun 2026 09:17:39 GMT

Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Voor het eerst in ruim dertig jaar heeft Nederland archiefregels die zijn geschreven voor een digitale wereld in plaats van voor dossierkasten vol papier. En dat gebeurt precies op het moment dat diezelfde overheid massaal kennismaakt met kunstmatige intelligentie. Die timing is geen toeval en het is misschien wel het interessantste aan de hele wet.

Waar de Archiefwet eigenlijk over gaat

Een archiefwet klinkt als iets voor stoffige depots, maar de kern is verrassend actueel: het gaat over de vraag of we later kunnen reconstrueren hóe de overheid tot een besluit kwam. Het archief is het geheugen van de overheid én het middel waarmee burgers, journalisten en rechters haar kunnen controleren.

De nieuwe wet legt daarom de nadruk op duurzame toegankelijkheid: niet alleen bewaren, maar ervoor zorgen dat informatie over tien, vijftig of honderd jaar nog leesbaar, vindbaar en in haar context te begrijpen is. In een wereld waarin bestandsformaten verouderen en systemen worden vervangen, is dat een serieuze opgave.

Wat er concreet verandert

De nieuwe wet vervangt de Archiefwet uit 1995, die nog helemaal op papier was gericht. De meest concrete verandering zit in de termijnen: overheidsinformatie die blijvend bewaard moet worden, gaat voortaan al na tien jaar over naar een openbare archiefbewaarplaats, in plaats van na twintig jaar. Die overbrengingstermijn wordt dus gehalveerd. De reden is praktisch: digitale informatie veroudert sneller dan papier, bestandsformaten worden onbruikbaar en systemen worden vervangen. Oftewel: hoe eerder je goed archiveert, hoe groter de kans dat stukken later nog te raadplegen zijn. Een bijkomend voordeel is dat informatie daardoor ook eerder openbaar toegankelijk wordt voor wie het wil inzien.

En dan: kunstmatige intelligentie

AI brengt een heel nieuw element in het spel. Steeds vaker zet de overheid algoritmen en AI in om beslissingen voor te bereiden of zelfs te nemen: van het inschatten van risico’s tot het beoordelen van aanvragen. Maar wat is dan “het document” dat je moet bewaren? De vraag die de gebruiker stelde aan het systeem? De versie van het model? De data waarop het getraind is? De uitkomst?

Als we dat niet vastleggen, wordt een AI-besluit een black box die je achteraf niet meer kunt navertellen. En precies dáár ging het mis bij affaires als de toeslagen: besluiten waarvan achteraf nauwelijks te reconstrueren viel hoe ze tot stand waren gekomen. De oude vraag van de Archiefwet ‘Hoe is dit besloten?’ wordt door AI dus niet minder, maar juist veel urgenter. Wil je een slimme overheid controleerbaar houden, dán zul je ook de rol van het algoritme moeten vastleggen.

Archiveren en AI versterken elkaar

Archiveren en AI hebben bovendien alles met elkaar te maken. Een AI-systeem is maar zo betrouwbaar als de informatie waarop het draait: voed je het met een rommelige informatiehuishouding, dan erft de AI die rommel en presenteert ze met een schijn van objectiviteit. Goede archivering is daarmee de fundering onder betrouwbare AI. Omgekeerd kan AI het archiveren zélf behapbaar maken, denk bijvoorbeeld aan documenten classificeren, dubbelingen opsporen, metadata toevoegen, helpen bij het lakken van stukken voor verzoeken op grond van de Wet open overheid. De technologie die de uitdaging vergroot, kan dus ook deel van de oplossing zijn. Wel schuilt er een spanning in: opslag is goedkoop en AI is dol op data, dus de verleiding is groot om álles te bewaren, terwijl de Archiefwet en de privacywetgeving juist vragen om bewust selecteren en netjes vernietigen wat niet bewaard mág worden.

Het geheugen van een slimme overheid

De nieuwe Archiefwet gaat dus niet alleen over archiefkasten, maar vooral over hoe we informatie bewaren, terugvinden en verantwoorden. Ze stelt de vraag wie het geheugen bewaakt van een overheid die steeds meer overlaat aan machines. Want naarmate de overheid slimmer wordt, wordt het belangrijker dat we kunnen blijven navertellen wat ze doet, waarom, en op basis waarvan.

Een goed archief is dan geen blik op het verleden, maar de voorwaarde om een digitale, AI-gedreven overheid te kunnen blijven vertrouwen. De wet treedt over niet al te lange tijd in werking. Maar wat er op het spel staat, is heel concreet: een overheid die zich blijft kunnen verantwoorden, ook tegenover de toekomst.

Heb jij na het lezen van dit blog vragen over het nieuwe Archiefwet? Neem dan gerust contact met ons op.

Valkuilen bij ICT-contracten deel 5: inspanning, resultaat en garantie

Yannick Schaich — Wed, 03 Jun 2026 12:09:00 GMT

Wanneer een IT-leverancier en een afnemer met elkaar in zee gaan, lijkt op het eerste gezicht duidelijk wat partijen van elkaar mogen verwachten: de leverancier levert een dienst of product en de afnemer betaalt daarvoor. In de praktijk blijkt echter telkens weer dat juist over die wederzijdse verwachtingen geschillen ontstaan, vaak pas op het moment dat een project mislukt, uitloopt of een dienst niet naar behoren functioneert. Pas dan grijpen partijen terug op het contract, met de vraag: wat is er nu eigenlijk afgesproken? En, juridisch gezien nog belangrijker: was de leverancier slechts verplicht zich in te spannen, moest hij een bepaald resultaat leveren, of heeft hij zelfs een garantie afgegeven?

In dit blog bespreek ik de drie typen verplichtingen die je in vrijwel elk ICT-contract terugziet en leg ik uit waarom het onderscheid juridisch en financieel verstrekkende gevolgen kan hebben.

Waarom doet dit onderscheidt ertoe?

De wet bepaalt dat iedere tekortkoming in de nakoming van een verbintenis de schuldenaar verplicht tot vergoeding van de schade die de schuldeiser daardoor lijdt, tenzij die tekortkoming hem niet kan worden toegerekend. Voordat een afnemer zijn leverancier dus succesvol aansprakelijk kan stellen, moet dus onder meer worden vastgesteld dat er sprake is van een tekortkoming. Precies daar ontstaat vaak de discussie: is de leverancier zijn verplichtingen daadwerkelijk niet nagekomen? Om die vraag te beantwoorden, moet gekeken worden naar de aard van de verplichtingen die op de leverancier rusten.

De inspanningsverplichting

De inspanningsverplichting is de lichtste variant van de drie. De leverancier verplicht zich om zich in te spannen om een bepaald doel te bereiken, maar staat juridisch niet in voor het bereiken van dat doel zelf. Of het beoogde resultaat daadwerkelijk wordt behaald, is voor de vraag of er sprake is van een tekortkoming dus niet doorslaggevend.

De resultaatsverplichting

Een trede zwaarder is de resultaatsverplichting. Hierbij verplicht de leverancier zich om een concreet, in het contract omschreven resultaat te leveren. Wordt dat resultaat niet behaald, dan staat de tekortkoming in beginsel vast, ongeacht hoeveel inspanning de leverancier heeft geleverd. De afnemer hoeft dan niet te bewijzen dat de leverancier onvoldoende heeft gedaan; hij hoeft slechts aan te tonen dat het afgesproken resultaat ontbreekt.

Dat betekent overigens niet dat de leverancier dan automatisch schadeplichtig is. De wet biedt namelijk nog een escape: als de tekortkoming hem niet kan worden toegerekend (overmacht), blijft schadevergoeding achterwege.

De garantieverplichting

De garantie is de zwaarste verbintenis die een leverancier kan aangaan en gaat verder dan de resultaatsverplichting. Wie een garantie geeft, neemt het risico dat de gegarandeerde afspraak niet wordt nagekomen in beginsel voor eigen rekening, ook als de oorzaak daarvan normaal gesproken niet aan hem zou kunnen worden toegerekend. Anders gezegd: met een garantie kan de leverancier zijn mogelijkheid om zich op overmacht te beroepen verliezen.

Valkuil 1: Het label belangrijker maken dan de inhoud

In ICT-contracten wordt vaak gedacht dat de gekozen term doorslaggevend is. Staat er “garantie” boven een bepaling, dan denkt men dat er sprake is van een garantie. En staat ergens algemeen dat “alle verplichtingen van de leverancier gelden als inspanningsverplichting”, dan lijkt daarmee het risico van resultaatverplichtingen afgedekt.

Zo eenvoudig is het niet. De kwalificatie van een verplichting wordt niet alleen bepaald door het gekozen label, maar vooral door de inhoud en context van de afspraak. Een algemene inspanningsclausule helpt bijvoorbeeld weinig als elders concreet wordt toegezegd dat een koppeling, migratie of implementatie op een bepaalde datum werkend wordt opgeleverd. In dat geval kan de inhoud van de afspraak zwaarder wegen dan het etiket dat partijen eraan hebben gegeven.

Aandachtspunt is dus: zorg dat het gekozen label aansluit bij de inhoud van de afspraak. Als een verplichting als inspanningsverplichting is bedoeld, vermijd dan formuleringen die toch een concreet resultaat beloven. En als er wél een resultaat of garantie wordt afgesproken, leg dan precies vast waarop die verplichting ziet, wanneer daaraan is voldaan en welke uitzonderingen gelden.

Valkuil 2: Onderschatten wat je moet bewijzen

Bij een inspanningsverplichting draait het geschil niet om de vraag of het gewenste resultaat is behaald, maar om de vraag of de leverancier zich voldoende heeft ingespannen. Dat wordt door afnemers vaak onderschat. Zij wijzen dan op het mislukte project of de niet-werkende oplossing. Zij moeten echter aantonen dat de leverancier niet heeft gehandeld zoals overeengekomen en zoals van een redelijk bekwaam en redelijk handelend vakgenoot mocht worden verwacht.

Dat bewijs is lastig, omdat veel werkzaamheden voor de afnemer niet zichtbaar zijn en de technische expertise vaak bij de leverancier ligt. Wel kan van de leverancier worden verlangd dat hij inzicht geeft in wat hij heeft gedaan en waarom die inspanningen voldoende waren. De formele bewijslast verschuift daarmee niet zonder meer, maar de leverancier kan wel een zwaardere toelichtingsplicht hebben.

Aandachtspunt is dus: leg bij inspanningsverplichtingen vast hoe de leverancier zijn inspanningen inzichtelijk maakt, bijvoorbeeld via voortgangsrapportages, overlegmomenten, documentatie en afspraken over medewerking en escalatie.

Valkuil 3: Een resultaat afspreken zonder meetlat

Een resultaatsverplichting heeft alleen waarde als duidelijk is welk resultaat precies moet worden behaald. Juist daar gaat het in ICT-contracten vaak mis. Partijen spreken bijvoorbeeld af dat een systeem, koppeling of migratie “werkend” moet worden opgeleverd, zonder vast te leggen wat “werkend” concreet betekent.

Daardoor blijft onduidelijk welke functionaliteiten worden geleverd, aan welke technische en functionele eisen de oplossing moet voldoen, welke prestatie-eisen gelden en wanneer het resultaat uiterlijk moet zijn opgeleverd. Als bovendien concrete acceptatiecriteria en een gestructureerd acceptatieproces ontbreken, ontstaat al snel discussie over de vraag of het resultaat daadwerkelijk is behaald.

Aandachtspunt is dus: maak het afgesproken resultaat meetbaar. Leg vast welke functionaliteiten, specificaties, deadlines, prestatie-eisen en acceptatiecriteria gelden. Zonder die meetlat wordt een resultaatsverplichting in de praktijk moeilijk afdwingbaar.

Valkuil 4: Garanties te ruim formuleren

In ICT-contracten wordt het woord “garantie” vaak gebruikt om vertrouwen uit te stralen of een commerciële belofte kracht bij te zetten. Denk aan formuleringen als: “wij garanderen dat de software werkt”, “wij garanderen een snelle implementatie” of “wij garanderen volledige compatibiliteit met uw bestaande systemen”. Dat klinkt geruststellend, maar kan juridisch verder gaan dan bedoeld.

Een garantie kan namelijk meebrengen dat de leverancier het risico van niet-nakoming voor eigen rekening neemt, ook wanneer de oorzaak daarvan normaal gesproken niet aan hem zou kunnen worden toegerekend. Daarmee kan een beroep op overmacht worden beperkt of zelfs uitgesloten. Dat maakt een garantie aanzienlijk zwaarder dan een gewone resultaatsverplichting.

Aandachtspunt is dus: gebruik het woord “garantie” alleen bewust en baken de garantie scherp af. Leg vast waarop de garantie precies ziet, hoe lang zij geldt, welke uitzonderingen gelden en wat het rechtsgevolg is als de garantie niet wordt gehaald.

Conclusie

Het onderscheid tussen een inspanningsverplichting, resultaatsverplichting en garantie is geen juridisch detail, maar heeft verstrekkende gevolgen voor de risicoverdeling, de bewijslast en de uiteindelijke aansprakelijkheid. De besproken valkuilen zijn slechts enkele voorbeelden van wat er in de praktijk mis kan gaan. Ze maken duidelijk hoe belangrijk het is om het type verplichting bewust te kiezen en consistent in het contract vast te leggen. Wie dat bij het sluiten van het contract goed doet, voorkomt later onnodige discussies en potentieel kostbare verrassingen.

Benieuwd naar de andere delen? Lees ook de andere blogs in deze reeks. Heb je hulp nodig bij het opstellen van je ICT-contracten of wil je zekerheid dat je het juist aanpakt? Volg onze cursus.

Data & Privacy Jurisprudentieblog | mei 2026

i.gelderman@ictrecht.nl (Isabelle Gelderman) — Mon, 01 Jun 2026 15:07:35 GMT

Hoeveel mag een organisatie weglakken bij een inzageverzoek? En wanneer weegt continuïteit zwaarder dan privacyrisico’s? In dit jurisprudentieblog behandelen we twee recente uitspraken die raken aan de actualiteit. Eerst een arrest van Gerechtshof Amsterdam, waarin X (voorheen Twitter) zich bij een inzageverzoek beriep op bedrijfsgeheimen om grote delen van interne moderatienotities af te schermen. Daarna de DigiD-zaak, waarin de voorzieningenrechter Den Haag oordeelde dat de Staat het contract met Solvinity mag verlengen ondanks zorgen over Amerikaanse toegang tot persoonsgegevens na overname door Kyndryl. Opvallend: kort daarna kwam er vanuit het kabinet vooralsnog een verbod op de overname.

Bedrijfsgeheimen geen vrijbrief om AVG-inzage te weigeren

Inzageverzoeken op grond van de AVG zijn voor veel organisaties inmiddels dagelijkse kost. Hoeveel moet er nu écht worden vrijgegeven, vooral als het gaat om informatie die liever niet naar buiten bekend wordt gemaakt? Een recente uitspraak van het Gerechtshof Amsterdam geeft daar belangrijke handvatten voor.

De zaak in het kort

Een gebruiker van X zag in oktober 2023 zijn account plotseling beperkt worden na een geplaatst bericht. Hij werd hierover niet door X zelf geïnformeerd, maar kwam er via anderen achter. Logisch dat hij wilde weten wat er precies was gebeurd. Hij deed daarom een beroep op artikel 15 AVG: het recht op inzage in zijn persoonsgegevens.

Toen X in zijn ogen onvoldoende inzage gaf, stapte hij naar de rechtbank. Die stelde hem in het gelijk en beval X om aanvullende informatie te verstrekken over de verwerking van zijn gegevens, waaronder aantekeningen uit het interne moderatiesysteem Guano (Guano Notes). Aan dat bevel werd een dwangsom verbonden.

X gaf deze notities vervolgens vrij, maar lakte grote delen zwart. De reden: volledige inzage zou bedrijfsgeheimen prijsgeven over contentmoderatie, spamfilters en het advertentiesysteem. De gebruiker nam daar geen genoegen mee. X ging in hoger beroep.

Wat oordeelde het Hof?

Het Hof besloot om zelf kennis te nemen van de ongeredigeerde Guano Notes. Daarmee kon het concreet beoordelen of het beroep op bedrijfsgeheimen per onderdeel terecht was.

De juridische lijn is daarbij helder. Artikel 15 lid 4 AVG biedt ruimte om inzage te beperken ter bescherming van rechten en vrijheden van anderen, waaronder bedrijfsgeheimen. Overweging 63 van de AVG voegt daar echter meteen aan toe dat het er nooit toe mag leiden dat een betrokkene alle informatie wordt onthouden. Het is dus een belangenafweging, en die viel volgens het Hof grotendeels in het nadeel van X uit.

Bij de contentmoderatielabels bijvoorbeeld kon X niet duidelijk maken waarom het tonen van NSFW-classificaties (Not Suitable For Work: labels voor content die ongeschikt is voor een professionele of openbare omgeving) juist aan deze gebruiker tot omzeiling van haar systemen zou leiden. Een algemeen risico volstond niet; concrete aanwijzingen ontbraken. Ook bij het advertentiesysteem vond het hof het commerciële belang op zichzelf onvoldoende zwaarwegend. De betreffende labels gaven slechts een betrouwbaarheidsniveau weer en lieten de onderliggende logica van het systeem ongemoeid: inzage daarin levert dus geen reëel risico op.

Iets vergelijkbaars gold voor het spamfilter: het ging om een beperkt aantal labels, deels verouderd, en X had niet aannemelijk gemaakt dat openbaarmaking tot een concreet systeemrisico zou leiden. Bij de gegevens over accountveiligheid speelde nog iets anders mee: de informatie week niet wezenlijk af van wat de gebruiker zelf al wist, waardoor het geheimhoudingsbelang verder afnam. En ook voor de technische gegevens kwam X niet verder dan algemeenheden, zonder een concreet belang bij geheimhouding te benoemen.

Op twee punten kreeg X wel gelijk. De namen van medewerkers mochten worden weggelaten: dat zijn persoonsgegevens van derden, en de gebruiker had bovendien aangegeven daar geen belang bij te hebben. Datzelfde gold voor de exacte tijdstippen van geautomatiseerde acties. Het Hof zag in dat inzicht in de reactiesnelheid van de systemen in handen van kwaadwillenden tot misbruik door bots zou kunnen leiden. Vermelding van de dag waarop een handeling plaatsvond, achtte het hof voldoende om aan het inzagerecht tegemoet te komen.

Voor de praktijk

Vroeg of laat krijgt een verwerkingsverantwoordelijke met inzageverzoeken te maken. Deze uitspraak laat zien dat een werkwijze waarbij het weglakken van brede categorieën met een beroep op de vertrouwelijkheid wordt gehanteerd, niet (meer) volstaat. Wat wel standhield waren gerichte uitzonderingen voor specifieke gegevens waarvan X concreet kon toelichten waarom openbaarmaking schade zou opleveren. Denk aan exacte tijdstippen die inzicht geven in de reactiesnelheid van beveiligingssystemen, of namen van medewerkers als persoonsgegevens van derden.

Ook is goede documentatie van belang: voor elk weggelakt gegeven moet helder zijn waarom openbaarmaking een concreet risico oplevert. Die onderbouwing hoort thuis in het dossier, niet pas in een verweerschrift. Daarnaast is het verstandig om kritisch te toetsen of de informatie eigenlijk wel als een bedrijfsgeheim in de zin van de Wet bescherming bedrijfsgeheimen (Wbb) kwalificeert: alleen informatie die geheim is, daardoor handelswaarde bezit en door de rechthebbende met redelijke maatregelen geheim wordt gehouden, valt onder die noemer.

Digitale soevereiniteit vs. continuïteit: de voorzieningenrechter over de DigiD-zaak

Onlangs heeft de voorzieningenrechter in Den Haag geoordeeld dat de Staat de overeenkomst met Solvinity mag verlengen, ondanks zorgen over Amerikaanse toegang tot persoonsgegevens na overname door het Amerikaanse Kyndryl. De AVG-risico's zijn reëel, maar continuïteit van de digitale overheid weegt zwaarder. Kort daarna verbood de staatssecretaris de overname alsnog.

Digitale infrastructuur

Picard is een digitaal platform waarop diverse overheidsapplicaties zoals DigiD en MijnOverheid draaien. Het technisch beheer ligt bij Solvinity, een oorspronkelijk Nederlands IT-bedrijf. Toen bekend werd dat het Amerikaanse Kyndryl Solvinity wilde overnemen, ontstond er onrust. Na overname zou Solvinity binnen bereik komen van Amerikaanse wetgeving met extraterritoriale werking, waaronder de CLOUD Act en FISA. Drie burgers spanden een kort geding aan tegen de Staat om het contract te ontbinden zodra de overname een feit is. De voorzieningenrechter wees alle vorderingen af.

Het privacyrechtelijke spanningsveld

De kern van de zaak raakt aan een belangrijk AVG-vraagstuk: wat gebeurt er met persoonsgegevens wanneer een verwerker onder de jurisdictie van een derde land komt te vallen? De CLOUD Act verplicht Amerikaanse bedrijven om data te verstrekken aan Amerikaanse autoriteiten, ook als die data zich op Europese servers bevinden.

Dit staat op gespannen voet met artikel 48 AVG, dat bepaalt dat een rechterlijke uitspraak of besluit van een derde land dat verplicht tot doorgifte alleen mag worden erkend als er een internationale overeenkomst aan ten grondslag ligt. Die ontbreekt tussen de EU en de VS voor dit type verzoeken.

Eisers betoogden dat de Staat een DPIA had moeten uitvoeren en, als de risico's niet konden worden beperkt, voorafgaand overleg had moeten voeren met de Autoriteit Persoonsgegevens. De rechter komt aan deze inhoudelijke AVG-toets echter niet toe. De vordering om verlenging uit te stellen strandt op praktische gronden: uitstel zou betekenen dat de verlengingsdeadline wordt gemist, met alle continuïteitsrisico's van dien.

Schrems II op de achtergrond

Hoewel de rechter er niet expliciet naar verwijst, resoneert de Schrems II-doctrine door de hele zaak. Het Hof van Justitie oordeelde in 2020 dat doorgiftes naar de VS onvoldoende bescherming bieden vanwege de verstrekkende bevoegdheden van de Amerikaanse inlichtingendiensten. De situatie is hier weliswaar anders, want er is geen sprake van expliciete doorgifte, maar het onderliggende risico is vergelijkbaar: toegang door een overheid die geen gelijkwaardig beschermingsniveau biedt.

De Staat erkent dit risico en betwist niet dat Solvinity technisch bij privacygevoelige gegevens zou kunnen komen. De verwerkingsverantwoordelijke blijft immers verantwoordelijk voor het waarborgen van een passend beschermingsniveau, ook wanneer de verwerker van eigenaar wisselt.

Continuïteit prevaleert

De rechter benadrukt dat de Staat een ruime beleidsvrijheid toekomt. Alleen bij evident onrechtmatig handelen is rechterlijk ingrijpen gerechtvaardigd. Die drempel wordt niet gehaald.

Doorslaggevend is dat stopzetting van de dienstverlening door Solvinity tot ontwrichting van de digitale overheid zou leiden. De Staat heeft onderzocht of een snelle overstap naar een andere leverancier mogelijk is, maar concludeert dat dit zonder onaanvaardbare risico's niet haalbaar is. Een verantwoorde transitie vergt zes tot acht maanden. Eisers hebben onvoldoende concreet gemaakt dat het anders kan.

Ook de subsidiaire vordering (ontbinding op grond van artikel 30.3 ARBIT bij een change of control) strandt. Die bepaling biedt weliswaar een ontbindingsgrond, maar eisers verlangen dat de Staat ontbindt en tegelijkertijd de dienstverlening laat doorlopen. Die constructie vereist medewerking van Solvinity, en of die bereidheid er is, is onzeker.

De rechter weegt ten slotte mee dat de Staat actief werkt aan risicobeheersing: investeringstoetsing door het Bureau Toetsing Investeringen (BTI), integrale risicoweging door de Taskforce Economische Veiligheid, en gesprekken met Solvinity en Kyndryl over mitigerende maatregelen. Zolang die processen lopen, kan niet worden vastgesteld dat de Staat onrechtmatig handelt.

Kabinet grijpt alsnog in

Kort na de uitspraak verbood staatssecretaris Aerdts van Economische Zaken de overname van Solvinity door Kyndryl op grond van de Wet veiligheidstoets investeringen, fusies en overnames. In een eerdere blog wordt dit Solvinity-verbod uitgebreid behandeld.

De uitspraak van de rechter en het besluit van het kabinet lijken op het eerste gezicht misschien wat tegenstrijdig, maar in feite vullen ze elkaar aan. De rechter gaf de Staat ruimte om de lopende toetsingsprocedures af te ronden; de staatssecretaris heeft die ruimte benut. Het resultaat: de contractverlenging blijft in stand, maar de overname gaat niet door. Het acute risico dat eisers vreesden is daarmee langs bestuursrechtelijke weg afgewend.

Vond je dit blog waardevol?

Lees dan ook onze andere jurisprudentieblogs. Heb je vragen of wil je hierover doorpraten? Neem gerust contact met ons op. We praten je graag bij.

Het Solvinity-verbod en de grenzen van het publiek belang

a.engelfriet@ictrecht.nl (Arnoud Engelfriet) — Fri, 29 May 2026 11:04:03 GMT

Het kabinet heeft de overname van Solvinity door het Amerikaanse Kyndryl verboden. De motivering is geheim. De juridische grondslag is onduidelijk. En de drie gronden die het meest voor de hand liggen, houden bij nadere analyse geen van drieën vanzelfsprekend stand. De vraag is dan: is dit een overwinning voor de digitale soevereiniteit, of een ad hoc-besluit dat de illusie van controle biedt terwijl het onderliggende probleem ongeadresseerd blijft?

Solvinity, Kyndryl en DigiD

Eerst de feiten. Solvinity is geen telecomoperator. Het is een cloudinfrastructuurprovider, plat gezegd een hoster, die onder meer het infrastructuurplatform levert waarop DigiD draait, gehost in een overheidsdatacenter. DigiD zelf wordt beheerd door Logius, onderdeel van het ministerie van BZK. Solvinity levert dus de onderliggende infrastructuur, maar beheert niet de applicatie. Daarnaast host Solvinity de Berichtenbox van MijnOverheid en levert het diensten aan het ministerie van Justitie en Veiligheid.

Kyndryl, in 2021 afgesplitst van IBM als zelfstandige beursgenoteerde onderneming, is naar eigen zeggen 's werelds grootste IT-infrastructuurdienstenverlener met 73.000 medewerkers, vijftien miljard dollar omzet, klanten in meer dan zestig landen, waaronder driekwart van de Fortune 100. Qua omzet is dat ruwweg drie keer KPN. Het bedrijf wilde het eigendom verwerven van Solvinity, dus de aandelen kopen en Solvinity als werkmaatschappij laten doordraaien.

De voorgenomen overname leidde tot maatschappelijke ophef: burgers en prominenten spanden kort gedingen aan om het DigiD-contract met Solvinity te blokkeren, en de Tweede Kamer nam met 141 stemmen een motie aan tegen verlenging als de overname zou doorgaan. Ook werd opgeroepen om DigiD bij Logius onder te brengen. De rechter wees de vorderingen af — opzegging zou het functioneren van DigiD in gevaar brengen.

Nu ligt er dan toch een verbod op de overname, en wel via de vrij onbekende route van een negatief advies van het Bureau Toetsingen Investeringen (BTI). Wie overwegende zeggenschap wil verwerven in een partij die een belangrijke rol speelt in de Nederlandse telecommunicatie-infrastructuur, moet dat vooraf melden bij deze organisatie. Het BTI onderzoekt vervolgens of de overname een risico vormt voor het publiek belang. De wettelijke basis is hoofdstuk 14a van de Telecommunicatiewet, beter bekend als de Wet ongewenste zeggenschap telecommunicatie (WOZT). De naam is misleidend: de wet reikt verder dan klassieke telecom. De WOZT introduceert het begrip “telecommunicatiepartij,” dat volgens de Memorie van Toelichting een brede kring van partijen omvat die een belangrijke rol spelen in het functioneren van telefonie en internet in Nederland, waaronder ook hostingdiensten, internetknooppunten, vertrouwensdiensten en datacenters. Solvinity valt als hoster onder die definitie.

De Europese corridor

De WOZT staat de minister toe een overnameverbod op te leggen als de verkrijging van zeggenschap “kan leiden tot een bedreiging van het publiek belang.” De Kamerbrief van staatssecretaris Aerdts doet niet meer dan daarnaar verwijzen. Verder geen toelichting, geen specificatie welk publiek belang precies bedreigd wordt, geen onderbouwing waarom. Wettelijk niet verplicht, maar wel frustrerend.

“Publiek belang” klinkt als een breed begrip dat de minister naar eigen inzicht kan invullen. Dat is het niet.

De Europese Unie kent vier fundamentele vrijheden: vrij verkeer van kapitaal, diensten, goederen en personen. Een overnameverbod beperkt ten minste de eerste twee. Dat mag, maar alleen als de beperking gerechtvaardigd wordt door openbare orde, openbare veiligheid, of wezenlijke staatsveiligheidsbelangen. Dat zijn de enige toegestane redenen. Economische belangen (“we willen dit bedrijf in Nederlandse handen houden”) vallen er niet onder. Industriepolitiek evenmin.

De wetgever wist dit. Artikel 14a.1 Telecommunicatiewet koppelt "publiek belang" aan die Europese begrippen: openbare orde en veiligheid in de zin van de artikelen 45, 52 en 65 VWEU, wezenlijke staatsveiligheid in de zin van artikel 346 VWEU. De Memorie van Toelichting erkent met zoveel woorden dat het verbod een belemmering van het vrij verkeer is en de Europese toets moet doorstaan.

Maar wat ís dan een geldige reden van openbare veiligheid? Het Hof van Justitie heeft daar veertig jaar jurisprudentie over geproduceerd. De lat ligt aanzienlijk hoger dan het politieke debat rond Solvinity doet vermoeden.

De lat van Luxemburg

In 1984 accepteerde het Hof dat aardolieproducten vitaal genoeg zijn om beperkingen te rechtvaardigen — niet alleen de economie maar “the institutions, essential public services and even the survival of its inhabitants” hangen ervan af (Campus Oil, C-72/83). In 2002 vernietigde het brede staatsvetomachten bij privatiseringen in Frankrijk en Portugal, maar liet beperkte Belgische golden shares in twee energiebedrijven in stand — juist omdat die objectief genormeerd en proportioneel waren.

De synthese kwam in 2023 met Xella Magyarország (C-106/22), over moderne FDI-screening. Het Hof formuleerde vier eisen. De beperking moet berusten op een genuine and sufficiently serious threat to a fundamental interest of society — werkelijk, voldoende ernstig, gericht op een fundamenteel belang. Zij moet berusten op precieze, vooraf kenbare criteria. Zij moet openstaan voor rechterlijke toetsing. En het nagestreefde doel mag niet bereikbaar zijn met minder ingrijpende maatregelen.

Het Hof paste die toets toe op de Hongaarse blokkade van een overname van een zandwinbedrijf en haalde er een streep door: regionale leveringszekerheid van bouwgrondstoffen is geen fundamenteel belang van de samenleving. DigiD is uiteraard een ander verhaal. Maar het criterium stelt eisen aan élk verbod — ook aan dit.

Drie plausibele gronden, en waarom geen ervan eenvoudig is

De motivering is niet openbaar. De Kamerbrief zegt alleen dat het BTI
een risico voor het publieke belang” heeft vastgesteld. De Kamer krijgt een vertrouwelijke briefing. Er zijn Kamervragen gesteld, maar de kans dat de motivering publiek wordt is klein — de WOZT schrijft alleen publicatie voor van het feit dat er een verbod is, niet van de onderbouwing, en het BTI werkt in vertrouwelijkheid.

De WOZT kent in artikel 14a.4 lid 2 een limitatieve opsomming van gronden. Er zijn er drie plausibel. Vooraf nog wel een juridisch-technisch argument: de WOZT is nader uitgewerkt in het Besluit ongewenste zeggenschap telecommunicatie, dat objectief meetbare drempelwaarden vaststelt: internettoegang of telefonie aan meer dan 100.000 eindgebruikers, datacenterdiensten met meer dan 50 MW stroomcapaciteit, hosting van meer dan 400.000 .nl-domeinnamen, of dienstverlening aan de inlichtingendiensten, Defensie, NCTV of Nationale Politie. Solvinity noch DigiD voldoen evident aan een van die criteria. Ik neem maar even aan dat het BTI hier scherp naar gekeken heeft.

Amerikaanse jurisdictie als dreigingsgrond

Het meest gehoorde argument is structureel en kent twee varianten. De Amerikanen krijgen zo de macht over DigiD, met hun strenge eenzijdige wetgeving. Amerikaans ambassadeur Popolo erkent in een reactie dat er “legitieme veiligheidszorgen” zijn bij de overname, wat suggereert dat ook hij deze kant op denkt. De WOZT noemt dit “ongewenst persoon of staat” (art. 14a.4 lid 2 punt a) “waarvoor gronden zijn te vermoeden dat deze de intentie heeft een telecommunicatiepartij te beïnvloeden om misbruik of opzettelijke uitval mogelijk te maken.”

De eerste dergelijke beïnvloedingsgrond is de CLOUD Act: Amerikaanse wetgeving verplicht Amerikaanse bedrijven mee te werken aan datavorderingen, ook voor data buiten de VS. Kyndryl als Amerikaans moederbedrijf zou Solvinity onder die jurisdictie brengen. Het risico: heimelijke toegang tot DigiD-data. Dat raakt aan lid 3 punt a: misbruik in de vorm van onrechtmatige inbreuk op de vertrouwelijkheid van communicatie.

De tweede variant raakt aan sanctiebevelen. Een sanctiebevel van de Amerikaanse president kan een Amerikaans bedrijf dwingen alle dienstverlening aan een gesanctioneerde partij te staken. Dat is geen hypothetisch scenario. De Trump-administratie heeft economische sancties opgelegd aan de aanklager van het Internationaal Strafhof in Den Haag — later uitgebreid naar rechters en aanklagers — en visumrestricties opgelegd aan voormalig Eurocommissaris Thierry Breton en vier anderen wegens hun rol bij de Digital Services Act.

In datzelfde kader heeft Microsoft namen van Nederlandse ambtenaren die werken aan de uitvoering van de DSA verstrekt aan het Amerikaans Congres. Vooralsnog zonder zichtbare gevolgen voor deze personen, maar het signaal is duidelijk. Als Trump de Nederlandse overheid, een ministerie of een dienst op een sanctielijst zet, is Kyndryl wettelijk verplicht de dienstverlening te staken. Het resultaat is opzettelijke uitval van DigiD — niet door Kyndryl gewild, maar door de eigendomsrelatie juridisch onvermijdelijk.

Het sanctie-argument heeft twee voordelen boven het CLOUD Act-argument. Het is concreter: er is een gedocumenteerd patroon van inzet tegen Europese instituties en personen, waar de CLOUD Act een abstracte bevoegdheid is. En het gag-order-probleem valt weg: sancties zijn publiek, dus de dreiging is falsifieerbaar — precies wat het CLOUD Act-argument miste.

Maar beide varianten delen hetzelfde fundamentele probleem: ze zijn generiek. De CLOUD Act geldt voor elk Amerikaans bedrijf. Sanctieverplichtingen evenzo. Niet alleen voor Kyndryl, maar evenzeer voor Microsoft, Amazon, Google, IBM en Accenture. Bedrijven die op dit moment overheidsdiensten in heel Europa leveren. Kyndryl zelf bouwt op dit moment de complete IT-infrastructuur van het ministerie van Defensie om. Je kunt niet volhouden dat een bedrijf betrouwbaar genoeg is voor Defensie maar te gevaarlijk voor DigiD.

En de inconsistentie is breder dan Defensie. De Rijksoverheid draait op Microsoft 365, Azure en Teams voor tienduizenden ambtenaren. Ook gemeentes gebruiken massaal de Microsoft-omgeving, net als vele andere overheids- en semi-overheidsorganisaties. Het Hof eist een genuine and sufficiently serious threat. Een wettelijk regime dat aan een hele categorie bedrijven kleeft, kan niet bij de één een onaanvaardbaar risico zijn en bij de andere een te overzien aandachtspunt.

Daarbij komt het juridisch-technische argument dat de criteria uit artikel 14a.4 lid 3, zoals uitgewerkt in het Besluit ongewenste zeggenschap telecommunicatie, allemaal gaan over internettoegang, telefonie en zeer grote datacentra. Ik heb grote moeite Solvinity of de dienst DigiD onder die criteria te praten.

De Kamerbrief doet de opvallende uitspraak dat Nederland “grote waarde hecht aan de aanwezigheid van buitenlandse, waaronder nadrukkelijk ook Amerikaanse technologiebedrijven.” Radboud-jurist Evert-Jan Breukink, medeauteur van een handboek over de Wozt, leidt daaruit af dat “de reden tot zorg waarschijnlijk op het niveau van Kyndryl zelf zit.”

De financiële situatie van Kyndryl

Op 9 februari 2026 — midden in het BTI-onderzoek — onthulde Kynddryl dat het zijn kwartaalrapport niet kon indienen. De auditcommissie onderzocht kasbeheerpraktijken en interne controles. De SEC startte een handhavingsonderzoek. Diezelfde dag vertrokken de CFO, de General Counsel en de Controller. Het aandeel verloor 55%. De audit-opinie van PricewaterhouseCoopers werd ingetrokken. Onder de geconstateerde zwakheden: “tone at the top.”

Dat biedt een aanknopingspunt in artikel 14a.4 lid 2 sub c: een verbod is gerechtvaardigd als de verkrijger “een zodanige staat van dienst heeft dat hierdoor het risico aanzienlijk wordt vergroot” dat de in lid 3 genoemde gevolgen zich voordoen. Het argument is specifiek (het geldt alleen voor Kyndryl), concreet (verifieerbaar via SEC-filings) en actueel. Precies het type individuele omstandigheid dat de Xella-toets eist.

Strategisch is het plausibel dat het BTI deze grond heeft gekozen. Een verbod op governance-gronden vermijdt de principiële soevereiniteitsdiscussie die een CLOUD Act-verbod zou uitlokken. Het schept geen precedent dat elke toekomstige Amerikaanse overname blokkeert. En het brengt Nederland niet op ramkoers met Washington of Brussel.

Maar de grond heeft een logisch gat. De gevolgen van lid 3 worden getriggerd door "misbruik of opzettelijke uitval." Financieel wanbeheer vergroot het risico op onbedoelde uitval — insolvabiliteit, onderinvestering, organisatorisch falen — maar niet op opzettelijk misbruik. Een bedrijf dat zijn boekhouding niet op orde heeft, is niet daardoor geneigd om bewust DigiD te saboteren.

Maakt wanbeleid ze meer kwetsbaar voor de CLOUD Act of sanctiebevelen? Nee. De CLOUD Act is een wettelijke verplichting, geen verzoek waaraan je weerstand biedt door financieel gezond te zijn. Microsoft is juridisch even verplicht om te voldoen aan een CLOUD Act-warrant als Kyndryl in zwaar weer. Hooguit is er bij Microsoft meer bereidheid en capaciteit om zo’n bevel aan te vechten dan bij een kwakkelend bedrijf zonder leiding. Maar dat is echt te mager.

Wanbeleid als spionagerisico

Een risico waar ik nog wel wat in zie én dat Kyndryl-specifiek is: wanbeleid maakt je vatbaarder voor spionage.

Een bedrijf met materiële zwakheden in interne controles, een "tone at the top"-probleem en een vertrokken CFO, General Counsel en Controller is een bedrijf waar medewerkers makkelijker om te kopen zijn, waar firewalls minder consequent worden onderhouden, waar toegangsrechten minder strikt worden beheerd, waar anomalieën in dataverkeer minder snel worden opgemerkt. Niet door de Amerikaanse overheid via de CLOUD Act, maar door élke inlichtingendienst die belangstelling heeft voor de gegevens van miljoenen Nederlandse burgers. China, Rusland, of wie dan ook. Of voor mijn part óók de NSA of FBI: een slecht beveiligde router is minder gedoe dan een CLOUD Act-warrant met bijbehorende gag order.

De rechtbank Rotterdam heeft deze redenering in wezen al gevalideerd. In 2023 toetste zij het verbod op Huawei- en ZTE-apparatuur in kritieke netwerkonderdelen van T-Mobile (thans Odido), opgelegd via het Besluit veiligheid en integriteit telecommunicatie. De taal van artikel 2(2) Bvit is bijna identiek aan die van artikel 14a.4 lid 2 sub a WOZT — allebei spreken over een staat, entiteit of persoon waarvan bekend is of waarvoor gronden zijn te vermoeden dat deze de intentie heeft [een netwerk/dienst] te misbruiken of uit te laten vallen. De rechtbank accepteerde dat Chinese inlichtingenwetgeving die Huawei verplicht tot medewerking aan spionage (art. 7 Nationale Inlichtingenwet 2017), in combinatie met het “offensief cyberprogramma gericht tegen Nederland” van het land een concreet en niet-mitigeerbaar veiligheidsrisico oplevert.

De parallel is niet exact — het Huawei-verbod richtte zich op producten in het netwerk, niet op eigendom, en liep via een andere wet. Maar het principe staat: derdelandswetgeving die medewerking aan inlichtingendiensten afdwingt, is een erkend veiligheidsrisico in het Nederlandse telecommunicatierecht.

Voor Kyndryl gaat het argument dan als volgt. De governance-problemen vergroten het bredere risico dat de infrastructuur kwetsbaar is voor misbruik door derden, doordat interne controles falen. Onder lid 2 sub c hoeft het BTI dan niet te betogen dat Kyndryl zélf DigiD zal misbruiken, maar dat Kyndryls staat van dienst het risico vergroot dat de door haar beheerde infrastructuur wordt misbruikt — door wie dan ook.

Het is het sterkste argument van de drie. Maar het rekt de wettekst. Artikel 14a.4 lid 3 spreekt van "misbruik of opzettelijke uitval van de telecommunicatiepartij." Grammaticaal is de telecommunicatiepartij het object — het gaat om misbruik van Solvinity, niet door Solvinity. Dat biedt ruimte: de gevolgen in lid 3 sub a ("onrechtmatige inbreuk op de vertrouwelijkheid van de communicatie") veronderstellen niet dat de eigenaar zelf de inbreuk pleegt. Zij beschrijven het resultaat. Als wanbeleid van de eigenaar (dus door China, de VS zelf, of wie dan ook) de kans vergroot dat derden dat resultaat bewerkstelligen door spionage of sabotage, is sub c in beginsel van toepassing.

En nu

Kyndryl kan bezwaar maken en vervolgens in beroep bij de rechtbank Rotterdam, met hoger beroep bij het College van Beroep voor het bedrijfsleven. De vraag is of ze dat zullen doen. Als het besluit steunt op de governance-problemen, zit Kyndryl klem: aanvechten vereist het publiekelijk betwisten van de ernst van precies die problemen die in de VS de inzet zijn van een securities class action en een SEC-onderzoek. Dat eerder een verbod onder de Wet Vifo werd omgezet in een voorwaardelijke goedkeuring na bezwaar, laat zien dat het instrument niet onaantastbaar is, maar die zaak betrof vermoedelijk geen bedrijf met vergelijkbare interne puinhopen.

Als er wél wordt doorgeprocedeerd, is de zaak potentieel richtinggevend. Het CBb is als laatste instantie in beginsel verplicht prejudiciële vragen te stellen aan het Hof van Justitie. Solvinity/Kyndryl zou dan de eerste zaak worden waarin het Hof zich uitspreekt over nationale investeringsblokkades in de digitale infrastructuur.

Het eigenlijke probleem

Het Solvinity-verbod is begrijpelijk. Het is ook juridisch kwetsbaar — ongeacht welke grond het BTI heeft gekozen.

De WOZT is geschreven voor scenario's waarin een gesanctioneerde entiteit of een identificeerbaar staatsinstrument zeggenschap verwerft over telecommunicatie-infrastructuur. Niet voor een jurisdictieconflict dat inherent is aan het Amerikaanse rechtsstelsel en dat geldt voor elke Amerikaanse onderneming. Niet voor een governance-crisis bij een specifieke overnemende partij. En al helemaal niet voor de bredere vraag die eigenlijk voorligt: hoe organiseer je de digitale soevereiniteit van een continent dat zijn overheidsinfrastructuur heeft uitbesteed aan bedrijven die onderworpen zijn aan wetgeving van derde landen?

Die vraag beantwoord je niet met een ad hoc overnameverbod. Die beantwoord je met een kader dat eisen stelt aan elk bedrijf dat Europese overheidsinfrastructuur beheert, ongeacht nationaliteit. De herziene EU FDI-screeningsverordening is daarin een stap, maar die is nog niet in werking.

Tot die tijd staat Nederland met een besluit waarvan de juridische houdbaarheid afhangt van een motivering die niemand (nog) kan inzien. De reflex om dat besluit toe te juichen als soevereiniteitswinst is begrijpelijk. Maar een overnameverbod dat bij de rechter sneuvelt, levert het tegenovergestelde op van soevereiniteit: het bewijst dat we het juridisch niet rond krijgen. De hoogste tijd voor een wet die dat wél doet.

Updates uit de zorg | mei 2026

t.beumers@ictrecht.nl (Tom Beumers) — Thu, 28 May 2026 18:15:03 GMT

1. EHDS: Meer details bekend over de nieuwe Gezondheidsdata-autoriteit (GDA)

In een brief aan de Tweede Kamer gaf minister van Langdurige Zorg, Jeugd en Sport, Mirjam Sterk, afgelopen maand een update over de stand van zaken rond de implementatie van de EHDS. Zo vermeldt de minister dat de keuze is gemaakt voor één nieuw zelfstandig bestuursorgaan (zbo), genaamd de Gezondheidsdata-autoriteit (GDA). De taken van de Autoriteit voor digitale gezondheid (de ADG, voor primair datagebruik) én de Health Data Access Body (de HDAB, voor secundair datagebruik) worden bij dit nieuwe orgaan belegd.

De belangrijkste reden om deze twee taken in één zbo onder te brengen, is omdat de praktijk leert dat deze twee vormen van datagebruik als één ecosysteem werken in het nationale gezondheidsinformatiestelsel, vanwege de wisselwerking bij het bevorderen van de gezondheid en het verbeteren van de zorg en preventie. Verder bleek een zbo de beste vorm om de onafhankelijkheid van de HDAB zoals vereist uit de EHDS te borgen.

2. Samenhang Wegiz en EHDS

In dezelfde Kamerbrief van minister Sterk komt ook naar voren hoe de Wegiz en de EHDS samenhangen. Beiden werken met geprioriteerde gegevensuitwisselingen, die grotendeels overlappen maar ook uiteenlopen voor wat betreft reikwijdte en verplichtingen. De EHDS heeft als Europese regelgeving voorrang, en daarom wordt (logischerwijs) gesteld dat deze als basis dient en de Wegiz (in aangepaste vorm) als aanvulling daarop zal gelden. Het voorstel voor de Wet op het Gezondheidsinformatiestelsel (Wet GIS) zal verder van belang zijn voor de implementatie van de verplichtingen uit de EHDS. Dat betekent niet dat de Wegiz zoals die nu bestaat volledig van tafel kan, het vormt namelijk wel een belangrijke opstap naar de EHDS en het voorstel voor de Wet GIS met de lijn die al is ingezet voor wat betreft digitale gegevensuitwisseling in de zorg. Hoe de Wegiz als opstap fungeert is voornamelijk uitgelegd aan de hand van een uiteenzetting van de tijdslijn waarop bepaalde verplichtingen ingaan, zodat deze beter aansluit op de EHDS.

3. Databeschikbaarheid in de zorg moet beter zeggen zorgorganisaties

Een brede coalitie van zorgorganisaties heeft de Tweede Kamer opgeroepen om werk te maken van betere databeschikbaarheid in de zorg. In een gezamenlijke brief signaleren de partijen dat patiëntgegevens nog te vaak niet tijdig en volledig beschikbaar zijn. De slechte databeschikbaarheid zou op termijn de toegankelijkheid en betaalbaarheid van de zorg onder druk kunnen zetten.

De partijen doen in deze brief zes concrete aanbevelingen:

Versterk landelijke regie: Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) moet nadrukkelijker sturen op de implementatiestrategie voor databeschikbaarheid. Publieke digitale functies zoals standaarden, databeschikbaarheid en generieke voorzieningen moeten worden neergelegd bij een publieke autoriteit.
Stuur actiever op de ICT-markt: De minister moet corrigerend optreden waar afhankelijkheden van leveranciers de voortgang van databeschikbaarheid belemmeren. Er is duidelijke regie op het ICT-landschap nodig.
Breng standaardisatie op orde: Informatiestandaarden worden breed gedragen in de zorg, maar zijn inconsistent geïmplementeerd. Dit vraagt om duidelijkere regie vanuit VWS zodat zorginstellingen en ICT-leveranciers weten waar ze aan toe zijn.
Versnel ontwikkeling van één centrale opt-out-regeling: Hanteer één begrijpelijke opt-out-regeling voor het gebruik van gegevens voor zowel primair als secundair gebruik in lijn met de regels van de EHDS. De uitvoerbaarheid van de regeling dient centraal te staan gedurende de ontwerpfase.
Schaal bewezen oplossingen op: Inventariseer welke digitale oplossingen in de zorg werken en verschuif de focus van pilots naar daadwerkelijke implementatie van deze oplossingen en werkwijzen. Tevens is het belangrijk om ervoor te zorgen dat regionale en landelijke alternatieven op elkaar aansluiten en elkaar niet frustreren.
Borg uitvoerbaarheid en werkbaarheid: Betrek zorgprofessionals structureel bij de ontwikkeling van technische oplossingen en de implementatie van de EHDS. Digitalisering moet zorgverleners ondersteunen zonder extra registratielast, en patiënten echte zeggenschap bieden over hun gegevens.

Kortom: de EHDS mag dan wel in werking zijn getreden, er is nog genoeg werk aan de winkel om databeschikbaarheid in de zorg te verbeteren.

4. IGJ: Clinical Diagnostics voldeed niet aan NEN7510 ten tijde van datalek

De Inspectie Gezondheidszorg en Jeugd (IGJ) concludeert dat Clinical Diagnostics ten tijde van het grote datalek in juli 2025 niet voldeed aan de NEN7510-norm, de verplichte informatiebeveiligingsnorm voor zorginstellingen. Bij het datalek werden op grote schaal bijzondere persoonsgegevens gestolen.

De IGJ baseerde haar onderzoek op de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, die zorgorganisaties verplicht aantoonbaar te werken volgens NEN7510. Uit het onderzoek bleek dat Clinical Diagnostics zowel ten tijde van het datalek als tijdens een inspectiebezoek in december 2025 niet aan de NEN7510 voldeed. Zo was geen onafhankelijke audit uitgevoerd op informatiebeveiliging en werden risico's bij de gegevensverwerking niet periodiek geïnventariseerd. Daardoor kon niet worden bepaald welke beveiligingsmaatregelen nodig waren. Als ze dit wel hadden gedaan, waren de gevolgen van het datalek wellicht kleiner geweest, stelt de IGJ. Zowel het uitvoeren van regelmatige audits als de bijbehorende risicoanalyses zijn verplichte onderdelen van NEN 7510.

Bij het publiceren van de resultaten hamerde de IGJ nog maar eens op naleving van de NEN7510-norm: het is geen vrijblijvende keuze, maar een wettelijk vereiste voor iedere zorginstelling die met patiëntgegevens werkt.

5. Landelijk dekkend Netwerk als dienst voor toegang voor gezondheidsmedewerkers

De minister voor Langdurige Zorg, Jeugd en Sport heeft de Tweede Kamer geïnformeerd over de voortgang van het landelijk dekkend netwerk (LDN) voor gegevensuitwisseling in de zorg. Het LDN omvat afspraken, functionaliteiten en infrastructuur voor het delen van gezondheidsgegevens tussen zorgverleners. De minister zet in op sterkere regie vanuit het ministerie, onder meer door het opstellen van een stelselarchitectuur en het verplichten van het Landelijk afsprakenstelsel. Ook wordt gewerkt aan generieke functies voor identificatie, authenticatie en toestemming, waaronder het nieuwe inlogstelsel Dezi. Deze onderdelen moeten de uitwisseling van gegevens vereenvoudigen en veiliger maken.

In de brief wordt nadrukkelijk ingegaan op de samenhang met de EHDS. Het is de intentie van de minister om het LDS zodanig in te richten dat het gekwalificeerd kan worden als een ‘dienst voor toegang voor gezondheidsmedewerkers’. Op welke manier het LDN aan deze eisen uit de EHDS kan voldoen, wordt nog uitgewerkt.

HIMSS-conferentie 2026: vijf takeaways

m.wiersma@ictrecht.nl (Marike Wiersma) — Thu, 28 May 2026 14:45:06 GMT

Vorige week hebben wij, Melanie & Marike, de HIMSS-conferentie in Kopenhagen bezocht. Gedurende drie dagen hebben we interessante sessies gevolgd over uiteenlopende onderwerpen. Het ging onder andere over de AI Act en compliance, maar wat echt opviel was de belangstelling voor de EHDS. Deze relatief nieuwe verordening stal de show zowel tijdens de sessies als bij de stands. Onze ervaringen willen we natuurlijk graag met jullie delen. Daarom zetten wij in dit blog de belangrijkste takeaways voor je op een rij.

Europees uitwisselingsformat

In de introductie hadden we het al even over de EHDS. In het bijzonder kwam het Europees uitwisselingsformat, ofwel EEHRxF, veel terug tijdens deze conferentie. Zie ons eerdere blog voor meer informatie over het Europese uitwisselingsformaat. Zo ook bij een sessie over het programma xShare. Dit programma verzamelt onder andere aanbevelingen uit het veld over de precieze invulling van het Europese uitwisselingsformaat. Deze aanbevelingen worden uiteindelijk gedeeld met de Europese Commissie. Uit hoofde van de EHDS moet de Europese Commissie immers nadere invulling geven aan dit format.

Ook richt het xShare programma een policy and standard hub in met richtlijnen en ondersteunende documentatie voor het veld. Erg nuttig wat ons betreft want hierover bestaat nu nog veel onduidelijkheid. Het beste wat je op dit moment kan doen om op de hoogte te blijven, is het veld en projecten zoals xShare in de gaten houden. We zeggen het veld want ook de softwareleveranciers verenigen zich in initiatieven om aanbevelingen te doen ten aanzien van het format. Het werkt duidelijk bottom up in plaats van top down. Wat ons betreft positief omdat de partijen die het (deels) moeten gaan uitvoeren en technische expertise hebben, kunnen meedenken over de precieze invulling.

Het xShare programma stopt eind dit jaar maar hierna wordt er een rechtspersoon in het leven geroepen genaamd The European Standards for Health Operability Alliance (ESHIA). De eerdergenoemde policy hub zal bij de ESHIA ondergebracht worden. De ESHIA moet in de toekomst ondersteuning bieden bij de praktische implementatie van de EHDS.

Inzet AI

Naast de EHDS was ook de AI Act een hot topic. Met alle demografische uitdagingen in de zorg is het aanwenden en transformeren van de zorg geen optie maar noodzaak. Een verantwoorde inzet is echter van groot belang. AI werd door één van de sprekers vergeleken met het woord “vervoer”. Er zijn vele verschillende vervoersmiddelen van fiets tot auto tot raket en alles daartussenin. Voor een ritje naar de supermarkt zet je geen hogesnelheidstrein in. Daarvoor kies je iets wat beter past en misschien simpeler is zoals de fiets. De boodschap was: denk duidelijk na wat je met het AI-systeem wil bereiken en wat daarvoor noodzakelijk is, en kijk op basis daarvan welke technische oplossing uitkomst biedt. Geavanceerder is niet altijd beter. Sterker nog, volgens één van de keynote sprekers gaat het “scale at all costs”-model ten koste van innovatie, hallucineert het en is het ethisch problematisch (zoals onderbetaalde werknemers). De toekomst ligt in task-specific AI op hoogwaardig gecureerde datasets, gekoppeld aan governance, uniforme EU-regels en het breder betrekken van het publiek.

Nordics als inspiratiebron

In een sessie werd door overheidsfunctionarissen van de Scandinavische landen verschillende elementen van de EHDS-implementatie toegelicht. Wat opviel was de positieve kijk en de vooruitstrevendheid van deze landen. In Denemarken wordt een veelheid aan data opgeslagen. Ze zijn al bezig om een single point of contact in te bouwen voor toegang tot deze gegevens voor andere doelen dan de zorgverlening. Dit sluit aan bij de systematiek van de EHDS voor secundair gebruik, zie ook ons blog. De next step voor Denemarken is om dit nationale initiatief in lijn te brengen met de EHDS. Ook Finland heeft al een specifieke wet voor het gebruik voor gezondheidsgegevens voor secundair gebruik. Daarnaast werken de Scandinavische landen samen op kleine schaal te testen met een grensoverschrijdende uitwisseling. Opschalen is de volgende uitdaging. De landen lijken al een stapje verder te zijn dan Nederland. Recent heeft het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) een Kamerbief gepubliceerd over de laatste stand van zaken omtrent de EHDS.

Cybersecurity is de fundering van zorginnovatie

Meerdere sessies op de eerste dag bevestigden hetzelfde: zonder beveiligde data en systemen stopt innovatie. Om bijvoorbeeld cybersecuritywetgeving zoals de NIS2 geïntegreerd te krijgen binnen de zorgsector heeft Duitsland een programma ontwikkeld waar ze de komende 3 jaar €1,8 miljard investeren zodat zorgorganisaties cybersecurity kunnen implementeren en onderhouden. Met 21% meer wereldwijde aanvallen is de boodschap “niet of, maar wanneer” een organisatie aangevallen wordt. Tijdens één van de sessies zei een spreker het mooi: “In de zorg zijn we gewend om met protocollen te werken, zo vinden we het protocol voor handenwassen de normaalste zaak van de wereld. Zo zou cybersecurity ook behandeld moeten worden.”.

Hybride & virtuele zorg als antwoord op systemische tekorten, vooral in de geestelijke gezondheidszorg

Met 67% onvervulde mentale zorgbehoefte en een aankomend tekort van 1 miljoen werkers is preventie, community-based en hybride zorg onmisbaar. In Schotland is er bijvoorbeeld een keuze voor hybride zorg in de GGZ, hierdoor bereiken ze voor lichte gevallen ook een hele andere demografie dan je zou verwachten, namelijk ouderen. Daarnaast gaf een psychiater ook aan dat er geen passieve wachttijd zou moeten zijn maar een actieve wachttijd. Je zou bijvoorbeeld al heel veel objectieve data kunnen verzamelen voor het stellen van een diagnose door de patiënt in die periode een wearable te laten dragen die metingen uitvoert. Keuzevrijheid in hybride zorg en een actieve wachttijd zorgen ervoor dat specialisten worden vrijgespeeld voor complexe gevallen.

De HIMSS-conferentie in Kopenhagen heeft ons duidelijk geïnspireerd. Wat ons vooral is bijgebleven, is dat de grote thema’s: de EHDS en het EEHRxF, cybersecurity, een verantwoorde inzet van AI en hybride zorg, eigenlijk niet los van elkaar te zien zijn en elkaar juist versterken. De Scandinavische landen lieten ons zien dat vooruitgang mogelijk is wanneer overheid, veld en techniek samen optrekken, wat voor Nederland zowel een spiegel als een uitnodiging is. Wij kwamen terug met inspiratie en het gevoel dat we onderdeel zijn van een Europese beweging die de zorg toekomstbestendig wil maken. Die inspiratie nemen we graag mee in ons werk.

Lijkt het je leuk om met ons te sparren over deze bevindingen? Neem dan contact met ons op!

Verantwoord gebruik van AI-chatbots in klantenservice

k.nadalucenda@ictrecht.nl (Kalyma Nadal Uceda) — Wed, 27 May 2026 13:36:21 GMT

De consultatie: waarom nu?

De Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument & Markt (ACM) hebben gezamenlijk een consultatie uitgezet voor een leidraad over het verantwoord gebruik van chatbots in klantenservice. Dit is geen toeval: beide toezichthouders ontvangen steeds meer signalen uit de markt over knelpunten en risico's bij de inzet van AI-gestuurde chatbots. Zo zijn er voorbeelden van klantenservicechatbots die foutieve informatie geven over openingstijden of retourbeleid en berichten over chatbots die onbeschofte of vreemde reacties geven op klantvragen.

Voor juristen en compliance medewerkers is dit een goed moment om de interne praktijk kritisch tegen het licht te houden. In dit blog bespreken we de vijf kernthema's die naar verwachting centraal zullen staan in de aankomende leidraad.

1. Transparantie: wees eerlijk over wat (of wie) er antwoordt

Chatbots worden steeds menselijker gepresenteerd. Ze krijgen namen als "Lisa" of "Max", hanteren een informele toon, en sommige voice-bots produceren zelfs menselijke geluiden zoals "uhm", korte pauzes of een zucht. Visueel zien we 'typende puntjes' die suggereren dat er iemand aan de andere kant zit na te denken.

Deze vermenselijking kan een misleidende werking hebben. Consumenten kunnen ten onrechte denken dat zij met een mens communiceren, wat hun verwachtingen en gedrag beïnvloedt.

Wat te doen?

Stel de chatbot zo in dat deze vooraf én tijdens het gesprek aangeeft dat de klant met een geautomatiseerd systeem spreekt.
Vermijd bewust misleidende elementen die menselijk gedrag simuleren, zoals de typende puntjes of zuchten en lachen.
Geef de bot een naam die duidelijk weergeeft dat het om een AI Chatbot gaat. Vermeld ‘AI’ of ‘Chatbot’ in de naam in plaats van simpelweg 'Lisa' of 'Max'.

2. Toegang tot menselijk contact: de chatbot als poortwachter

In veel organisaties is de chatbot het eerste én enige contactpunt geworden in de klantenservice processen. Klanten die een mens willen spreken, stuiten op eindeloze loops of vinden simpelweg geen optie om door te schakelen. Dit is kwalijk, zeker in situaties waar menselijke beoordeling essentieel is.

Wanneer is menselijk contact onmisbaar? Op het moment dat er fouten gecorrigeerd moeten worden. Een chatbot kan zelden eigenstandig een fout in een factuur of contract herstellen. Of op het moment dat er sprake is van een klacht of probleem. Klachtbehandeling vereist empathie, nuance en beoordelingsvermogen. Dit zijn menselijke kenmerken die een chatbot wel kan nabootsen, maar niet daadwerkelijk kan realiseren. Daarnaast zien we het in de praktijk ook vaak misgaan met complexe situaties. Denk aan samenloop van regelingen, uitzonderingsgevallen of juridische geschillen. Dit soort nuanceringen en afwijkingen zijn lastig te verwerken tot een adequate reactie voor een chatbot. En tot slot de urgente situaties, zoals acute problemen (afsluiting, fraude of veiligheidsincidenten) waarin de menselijke afweging en keuze voor escalatie belangrijk is.

Wat te doen?

Maak een keuze in welke onderwerpen wel en welke niet door de klantenservice chatbot behandeld mogen worden.
Ontwerp een duidelijke escalatieroute naar menselijk contact.
Maak deze route vindbaar en toegankelijk, niet verstopt achter vijf keuzeopties.

3. Juiste en betrouwbare antwoorden: houd controle over de output

Bij chatbots valt de interactie vaak buiten het directe zicht van medewerkers. Wat de bot zegt tegen klant A ziet niemand, totdat er een klacht binnenkomt. Bij AI-systemen, zoals een chatbot die gebruikt wordt voor klantenservice activiteiten, is er bovendien het risico van "hallucinaties". De chatbot verzint antwoorden die plausibel klinken maar feitelijk onjuist zijn. De beschikbaarheid van een klantenservice chatbot wordt als een voordeel gezien. Dit betekent ook dat de klant met de chatbot kan praten buiten kantoortijden, wanneer escalatie naar of ondersteuning van een medewerker niet mogelijk is.

Zoals in het vorige onderdeel al is aangegeven is het zeer belangrijk een afweging te maken over welke onderwerpen de chatbot wel en niet mag adviseren. Denk ook na over de bevoegdheden. Wat mag de bot toezeggen? Kan het kortingen geven, afspraken maken of klachten afhandelen?

Wat te doen?

Meet klanttevredenheid specifiek voor chatbot-interacties.
Vraag actief feedback aan gebruikers en beoordeel deze systematisch.
Controleer periodiek of de dataset met bedrijfsgegevens, zoals openingstijden, diensten en locaties, correct en volledig is.

4. Toegankelijkheid: niet iedereen kan (of wil) chatten

Een klantenservice chatbot klinkt als een moderne, efficiënte oplossing. Maar niet iedereen kan er even goed mee overweg. Denk aan mensen met een visuele beperking, laaggeletterden en ouderen die minder digitaal vaardig zijn. Daarnaast zijn er ook mensen die simpelweg de voorkeur geven aan telefonisch contact. Ook voor deze mensen moeten er mogelijkheden zijn om de klantenservice te bereiken.

Er moet hier rekening worden gehouden met aanvullende wet- en regelgeving. Dus kijk bij de implementatie van een klantenservice chatbot niet alleen naar de AI Act, maar ook naar de European Accessibility Act (EAA) en de Web Content Accessibility Guidelines (WCAG).

Wat te doen?

Bied alternatieve contactkanalen aan die gelijkwaardig toegankelijk zijn.
Zorg dat de chatbot kan samenwerken met screenreaders en toetsenbordnavigatie.
Zorg dat de chatbot communiceert in eenvoudig taalgebruik (B1-niveau).

5. Privacy en veiligheid: de onzichtbare risico's

Je hebt geen controle over de informatie die klanten delen met de klantenservicechatbot. Vaak typen of spreken klanten vrijuit tegen een chatbot. Er worden klachten, persoonlijke situaties gedeeld. Soms kan een klant, zonder erbij na te denken, bijzondere persoonsgegevens delen, zoals gezondheidsklachten, financiële problemen, of gevoelige familieomstandigheden. De vraag is: wat gebeurt er met deze data?

Daarnaast ontstaan nieuwe veiligheidsrisico’s waar organisaties zich voor moeten weren. In het geval van klantenservicechatbots is er het gevaar van prompt injection. Kwaadwillende die proberen de chatbot te manipuleren om vertrouwelijke informatie prijs te geven of ongewenste acties uit te voeren.

Wat te doen?

Privacy:

Vergeet de DPIA niet en voer deze uit voordat de chatbot live gaat.
Overweeg om processen met een hoge kans op bijzondere persoonsgegevens uit te sluiten van chatbot-afhandeling.
Informeer gebruikers over de gegevensverwerking, bijvoorbeeld in de privacyverklaring van de organisatie.

Veiligheid:

Test de chatbot op kwetsbaarheden voor prompt injection en andere manipulaties.
Implementeer input-validatie en beperkingen op wat de bot kan uitvoeren.
Monitor op afwijkend gedrag dat kan duiden op misbruik.
Betrek security-expertise bij het ontwerp en de configuratie.

Tot slot: de organisatie is verantwoordelijk! Een rode draad door alle vijf de thema’s: de organisatie blijft verantwoordelijk voor wat de klantenservicechatbot doet. Zorg er dus voor dat je hier grip op hebt.

Heb je vragen over de inzet van chatbots binnen jouw organisatie of wil jij jouw huidige opzet laten toetsen? Neem gerust contact met ons op.

Als AI het juniorwerk overneemt, wie leidt dan de senior van morgen op?

Bart Brouwer — Tue, 26 May 2026 16:09:58 GMT

Vanuit Werving & Selectie zien we momenteel twee bewegingen tegelijk ontstaan: een groeiende behoefte aan ervaren professionals en een afnemende instroom van junior talent. Die ontwikkelingen hangen direct met elkaar samen.

Juridische professionals leerden hun vak jarenlang door dossiers door te werken, jurisprudentie uit te zoeken en eerste versies van documenten op te stellen. Juist dat werk wordt steeds sneller geautomatiseerd of versneld door AI. Onderzoek laat zien dat een aanzienlijk deel van het juridische takenpakket automatiseerbaar is, terwijl het aantal startersvacatures in sectoren als juridische dienstverlening, administratie en marketing de afgelopen jaren wel met 30 tot 40 procent daalde [1][2].

De leerroute verdwijnt

Senioriteit ontstaat niet alleen uit kennis of opleidingen. Het ontstaat door herhaling, feedback en ervaring. Door fouten te maken, dossiers te vergelijken en patronen te leren herkennen. Een Britse litigation-partner omschreef onlangs dat zijn gevoel voor bewijsvoering pas ontstond na jarenlang intensief dossierwerk, precies het soort werk dat nu steeds vaker door AI wordt ondersteund of overgenomen [3]. Als het werk waarin je vroeger het vak leerde verdwijnt, moet je die leerschool op een andere manier organiseren.

Dat betekent niet dat AI “alle juniorbanen opeet”. Die conclusie is te simpel. Onderzoek laat juist zien dat organisaties die actief AI inzetten niet automatisch meer juniorfuncties schrappen dan andere organisaties [4]. Wat wél gebeurt, is dat veel bedrijven handelen op basis van verwachtingen. Stages worden teruggeschroefd en juniorrollen verdwijnen omdat men verwacht dat AI het werk binnenkort kan overnemen, ook als dat in de praktijk nog beperkt werkt [2]. Daarmee creëren organisaties deels zelf het probleem waar ze later tegenaan lopen: een tekort aan ervaren professionals.

Ondertussen werven we op de verkeerde dingen

Tegelijkertijd richten veel organisaties hun werving op vaardigheden die waarschijnlijk snel verouderen. Denk aan vacatureteksten waarin prompt engineering of ervaring met specifieke AI-tools centraal staat. Maar AI-tools veranderen per kwartaal. Wat vandaag een onderscheidende vaardigheid lijkt, is morgen basisfunctionaliteit. Arbeidsmarkt- en recruitmentexperts waarschuwen daarom steeds vaker dat organisaties te veel selecteren op tijdelijke tooling, en te weinig op onderliggende kwaliteiten [4][5].

De vraag is dus minder: “Kan iemand goed met deze tool werken?” En steeds vaker: “Kan iemand beoordelen wanneer AI ongelijk heeft?” Het draait uiteindelijk om het vermogen om kritisch te beoordelen wat AI oplevert, patroonherkenning bij onduidelijke informatie, het leervermogen, oordeelsvorming en eigenaarschap. Dat zijn eigenschappen die je niet uit een cv haalt, maar uit gesprekken, casussen en inhoudelijke beoordeling.

Dit is geen AI-probleem, maar een recruitmentvraagstuk

Ook wij houden ons actief met deze vraag bezig. Hoe ontwikkel je professionals in een omgeving waarin een deel van het traditionele leerwerk verdwijnt? Welke vaardigheden blijven echt relevant? En hoe beoordeel je die goed? Op veel van die vragen hebben we nog geen definitief antwoord, en dat is misschien juist een gezond vertrekpunt. Wat wij wél bewust blijven doen, is junioren aannemen en opleiden. Je repareert de doorstroom namelijk niet door hem dicht te draaien.

De ontwikkeling van junior naar senior komt niet onder druk te staan door AI zelf. Dat gebeurt wanneer organisaties blijven werven op taken die verdwijnen, in plaats van op het vermogen om mee te ontwikkelen. Misschien is dit dus uiteindelijk minder een technologievraagstuk dan een recruitmentvraagstuk.

En misschien begint de oplossing al bij een simpele vraag: werf je op het werk van vandaag, of op de professional die je over vijf jaar nodig hebt?

Wil je hier eens over sparren over hoe dit zich in jouw organisatie vertaalt? Stuur ons gerust een bericht. Wij denken graag mee.

Ben je een junior en op zoek naar een plek waar je juist in deze veranderende markt ervaring kunt opdoen? Bekijk dan onze junior legal vacatures en die van W&S hier.

[1] AI neemt een derde van het juridische werk over, Mr. Online, 12 februari 2026. https://www.mr-online.nl/ai-neemt-een-derde-van-het-juridische-werk-over/

[2] Waasdorp, G.J. & Krijnen, M., Jongeren, AI en de arbeidsmarkt 2026, Intelligence Group. Besproken in: AI verandert instroom van jongeren: minder juniorbanen, meer focus op skills, HRMorgen, mei 2026. https://www.hrmorgen.nl/2026/05/ai-verandert-instroom-van-jongeren-minder-juniorbanen-meer-focus-op-skills/

[3] Bruinsma, H., Hoe kunstmatige intelligentie de vorming en rol van jonge advocaten verandert, Advocatie, 8 oktober 2025. https://www.advocatie.nl/nieuws/hoe-kunstmatige-intelligentie-de-vorming-en-rol-van-jonge-advocaten-verandert/

[4] Swiers, K., Startersbanen verdwijnen razendsnel, maar Gen Z vindt mogelijk een uitweg, MT/Sprout. https://mtsprout.nl/leiderschap/startersfuncties-verdwijnen

[5] Boerman, P., Waarom werven op A.I.-skills een strategische vergissing is, Werf&, 16 maart 2026. [https://www.werf-en.nl/waarom-werven-op-a-i-skills-een-strategische-vergissing-is/