Maand: maart 2025

Vanaf 12 september 2025 moeten bedrijven voldoen aan de EU-Datawet.

Volgens de Datawet zijn de gegevens die worden gegenereerd bij het gebruik van slimme producten niet het eigendom van de fabrikanten, maar moeten ze ook toegankelijk en bruikbaar zijn voor gebruikers.

Bedrijven maken zich zorgen over hun bedrijfsgeheimen en de auteursrechtelijke bescherming van hun databases.

Met de Datawet wil de EU innovatie stimuleren. Maar de wet waaraan bedrijven zich vanaf 12 september 2025 moeten houden, is controversieel.

Digitale producten zoals slimme apparaten voor thuisgebruik, fitnesstrackers, verbonden voertuigen en Industrie 4.0-machines genereren steeds meer data. Platformen, cloudopslag en AI-toepassingen verzamelen ook enorme hoeveelheden informatie.

Volgens schattingen van de Europese Commissie wordt 80 procent van deze gegevens niet gebruikt. De gegevens kunnen worden gebruikt om nieuwe producten en diensten te ontwikkelen, wat tegen 2028 een extra BBP van 270 miljard euro zou opleveren.

De Europese Commissie gebruikte deze berekeningen om haar voorstel voor de Datawet in 2022 te rechtvaardigen. Het idee achter de nieuwe EU-verordening: gegevens die worden gegenereerd tijdens het gebruik van slimme producten, behoren niet toe aan de fabrikanten van de apparaten of machines, maar moeten ook toegankelijk en bruikbaar zijn voor gebruikers.

Zij kunnen verzoeken om overdracht van gegevens en metadata aan derden, bijvoorbeeld aan een start-up of ander innovatief technologiebedrijf. Hiermee wordt beoogd een prikkel te creëren om de gegevens te delen.

Leveranciers van slimme producten, vooral in de machine- en installatiebouw, maken zich grote zorgen over hun bedrijfsgeheimen. Velen vrezen dat hun gegevens gebruikt kunnen worden om concurrerende producten te ontwikkelen. Wij hebben de kansen en risico’s van de nieuwe EU-verordening onderzocht.

Fabrikanten moeten producten zo ontwerpen dat gebruikers toegang hebben tot de gegevens. Als aanbieders de gegevens niet rechtstreeks in het product kunnen uitlezen, zijn zij verplicht om de gegevens onmiddellijk en kosteloos ter beschikking te stellen aan de gebruikers – en in individuele gevallen zelfs continu en in realtime.

De Datawet maakt het makkelijker om te wisselen van cloudprovider (gegevensverwerkingsdienst), omdat gebruikers hun gegevens zonder problemen moeten kunnen migreren. Providers moeten zorgen voor interoperabiliteit, lock-in-effecten beperken en transparante contractvoorwaarden bieden. Zij zijn ook verplicht om de overgang binnen een redelijke termijn te ondersteunen, zonder daarvoor onredelijke kosten in rekening te brengen. Dit versterkt de concurrentie tussen aanbieders.

De reikwijdte van de Datawet omvat zowel persoonsgegevens als niet-persoonsgegevens. Op persoonsgegevens zijn ook de AVG en de Nederlandse wet op de gegevensbescherming van toepassing.

Gegevensbescherming is niet van toepassing op industriële gegevens. Het is echter waarschijnlijk dat slimme producten voor thuisgebruik veel gemengde gegevens genereren. Bij twijfel dienen deze te worden beschermd conform de AVG.

De verkrijgers van de gegevens moeten er daarom voor zorgen dat de gebruikers daadwerkelijk toestemming geven voor het beoogde gebruik van hun gegevens. Als het apparaat ook persoonsgegevens van derden registreert, moeten zij ook toestemming geven voor het gebruik ervan.

Fabrikanten en ontvangers van gegevens hebben duidelijke processen nodig voor toestemming, gegevensverwerkingsdoeleinden en anonimisering of pseudonimisering.

Met de Datawet wil de EU de data economie bevorderen en op gang brengen. Iedereen die een idee heeft dat data nodig heeft om het uit te voeren, moet de data kunnen krijgen. Maar wat als hij de gegevens gebruikt om concurrerende producten te produceren?

De Datawet regelt dit als volgt: In het gegevensoverdrachtscontract moet een verbod worden overeengekomen om de gegevens te gebruiken voor concurrerende producten. Er is echter op dit moment geen mogelijkheid tot toetsing of handhaving. Er is een groot risico aan verbonden.

Een mogelijk gevolg zou kunnen zijn dat sommige fabrikanten de voorzorg nemen om hun producten zo te ontwerpen dat ze minder gegevens verzamelen en meer ‘dom’ dan slim zijn.

Tot nu toe behoorden de gegevens toe aan de fabrikanten van de producten en machines. Dergelijke databanken kunnen auteursrechtelijk beschermd zijn. Bedrijven genoten daarom investeringsbescherming voor hun database-investeringen, waarop ze vertrouwden.

Volgens de Datawet moeten ze de gegevens nu vrijgeven. Hoewel de oorspronkelijke eigenaar van de gegevens , bijvoorbeeld de fabrikant, heeft recht op een vergoeding met een passende marge op grond van de Datawet.

In de praktijk is het echter noodzakelijk dat de betrokkene weet wie de gegevens gebruikt om een ​​dergelijke claim te kunnen indienen.

Ook de bescherming van bedrijfsgeheimen wordt verzwakt.

In individuele gevallen kunnen de gegevens ook bedrijfsgeheimen bevatten. Deze gegevens dienen beschermd te blijven onder de Datawet. Op grond van de Datawet mag de oorspronkelijke eigenaar van de gegevens weigeren de gegevens openbaar te maken als deze een bedrijfsgeheim bevatten en de bescherming van het bedrijfsgeheim niet op een andere manier kan worden gewaarborgd, of als er sprake is van uitzonderlijke omstandigheden die tot aanzienlijke schade kunnen leiden.

Een grotere beschikbaarheid van gegevens kan daadwerkelijk innovatie en groei stimuleren. Als gebruikers goed geïnformeerd zijn en bereid zijn hun gebruikersgegevens te verkopen, kunnen start-ups en andere ontwikkelaars van nieuwe producten en diensten gemakkelijker en goedkoper toegang krijgen tot gegevens.

Door de lagere mate van gegevensbescherming hebben bedrijven in landen als de VS en China gemakkelijker toegang tot gegevens dan Europese bedrijven en kunnen ze daardoor sneller innoveren.

Kopers van slimme producten kunnen in de toekomst geld verdienen door hun gebruikersgegevens te verkopen. U kunt er echter ook voor kiezen om uw gegevens niet te delen. Dit verhoogt fundamenteel de waarde en aantrekkelijkheid van de producten. Uiteindelijk kan het voor fabrikanten rendabel zijn om door te gaan met het produceren van slimme producten.

Om zich voor te bereiden op de Datawet, moet de industrie eerst een overzicht krijgen van de data en vervolgens een zinvol databeheersysteem opzetten, als dat nog niet bestaat. Dit is vooral belangrijk voor de naleving van de AVG. Op basis hiervan kunnen zij ervoor zorgen dat gebruikers toegang hebben tot gebruikersgegevens en deze kunnen raadplegen.

Bedrijven moeten hun contractvoorwaarden ook tijdig aanpassen aan de eisen van de Datawet. In dit kader zijn regelingen omtrent toegang tot gegevens, doorgifte aan derden en vergoeding van belang.

De Datawet zou innovatie juist kunnen bevorderen. Er zijn echter wel enkele uitdagingen bij de implementatie. Hiermee wordt voorkomen dat bedrijven gedwongen worden om bedrijfsgeheimen openbaar te maken. Er moeten ook effectieve voorzorgsmaatregelen worden genomen om ervoor te zorgen dat gebruikersgegevens niet door concurrenten worden gebruikt.

Wij zijn van mening dat de verplichting om een ​​contractuele overeenkomst aan te gaan, niet voldoende is. Anders zou de Datawet ook de innovatie kunnen afremmen, omdat slimme technologieën van meet af aan minder slim worden ontworpen om hun eigen investeringen te beschermen.

AI is alleen zo goed als de data die het leert. AI-aangedreven oplossingen stellen vaak dezelfde kritische vraag. Hoeveel data is genoeg om een ​​betrouwbaar en efficiënt model te trainen?

Velen geloven dat het voeden van een AI-systeem met zoveel mogelijk data het automatisch slimmer zal maken. Dat is niet altijd het geval. Als de data rommelig inconsistent of irrelevant is, zal het AI-model moeite hebben om zinvolle resultaten te leveren.

De focus zou moeten liggen op het verzamelen van hoogwaardige data die de beoogde functie direct kan ondersteunen. Een goed samengestelde dataset met diverse en relevante data zal beter presteren dan een enorme dataset vol redundantie en ruis.

De hoeveelheid benodigde gegevens is afhankelijk van de complexiteit van de sector en het vereiste nauwkeurigheidsniveau. De beste aanpak is om te beginnen met een beheersbare dataset, test de prestaties en verfijn het model indien nodig met aanvullende gegevens.

Elke sector heeft unieke gegevensvereisten om ervoor te zorgen dat AI zinvolle inzichten en betrouwbare prestaties levert. Meer gegevens betekent niet altijd betere inzichten. Een kleinere dataset met goed gestructureerde en hoogwaardige informatie zal beter presteren dan een enorme dataset vol inconsistenties.

Het waarborgen van de gegevenskwaliteit omvat het verwijderen van duplicaten, het corrigeren van inconsistenties en het diversifiëren van de dataset om scenario’s uit de echte wereld te dekken. AI-systemen die zijn getraind op nauwkeurige, goed gelabelde gegevens, zullen betere voorspellingen doen en betrouwbaardere ondersteuning bieden.

AI-modellen zijn vraatzuchtig en consumeren data in verbazingwekkende mate, maar na jaren van het horen over de overweldigende vloed aan data, blijkt dat de wereld van AI eigenlijk meer nodig heeft.

Een grote uitdaging is het risico van verminderde outputdiversiteit. Deze zelfreferentiële aanpak kan de diversiteit van modeloutputs beperken, waardoor er homogeniteit ontstaat in gegenereerde reacties. Het continu trainen van modellen op door AI gegenereerde tekst kan bijvoorbeeld resulteren in repetitieve content of te vereenvoudigde verhalen.

Synthetische data kan er voor zorgen dat er meer synthetische data is dan echte data in AI-modellen zal zijn, wat er uiteindelijk toe zal leiden dat het we worden overspoeld met synthetisch gegenereerde data. Als gevolg hiervan kunnen de doelen op het gebied van milieu, maatschappij en bestuur verder onder druk gezet worden, aangezien we AI-innovatie niet in evenwicht brengen met duurzaamheid.

Gezien deze uitdagingen moeten we slimmere strategieën hanteren om AI duurzaam en efficiënt te gebruiken. Eén oplossing is om te focussen op kleine taalmodellen, die grote taalmodellen verfijnen en reduceren tot een zeer specifieke, geconcentreerde vorm.

Een belangrijke overweging voor duurzame AI-ontwikkeling is het moderniseren van de data-infrastructuur. Naarmate AI groeit, groeit ook de behoefte aan slimmere, energiezuinigere systemen. We moeten verder kijken dan GPU-vermogen om innovatie in evenwicht te brengen met duurzaamheid en de omliggende infrastructuur te verbeteren.

Een strategie omvat de beveiliging van essentiële diensten, het omvat ook de beveiliging van het steeds toenemende aantal verbonden objecten in onze huizen, kantoren en fabrieken.

De strategie richt zich op het opbouwen van collectieve capaciteiten om te reageren op grote cyberaanvallen en op samenwerking met partners over de hele wereld om internationale veiligheid en stabiliteit in cyberspace te waarborgen.

Cybersecuritybedreigingen zijn bijna altijd grensoverschrijdend en een cyberaanval op de kritieke faciliteiten van één land kan de EU als geheel treffen. EU-landen moeten sterke overheidsinstanties hebben die toezicht houden op cybersecurity in hun land en die samenwerken met hun tegenhangers in andere lidstaten door informatie te delen. Dit is met name belangrijk voor sectoren die van cruciaal belang zijn voor onze samenlevingen.

De eerste richtlijn over de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn) zorgt voor de oprichting en samenwerking van dergelijke overheidsinstanties. Deze richtlijn werd eind 2020 herzien, wat leidde tot het voorstel en de goedkeuring van de NIS2-richtlijn. Lidstaten hadden tot 18 oktober 2024 de tijd om NIS2 volledig om te zetten en te implementeren.

ENISA is het Agentschap van de Europese Unie voor cyberbeveiliging, dat in 2005 werd opgericht. Het mandaat werd in 2019 herzien en sindsdien heeft het Agentschap een permanent mandaat.

De belangrijkste doelstellingen en taken van ENISA zijn vastgelegd in de basiswet, namelijk de Cybersecurity Act (CSA). ENISA biedt ondersteuning aan lidstaten, EU-instellingen en bedrijven op belangrijke gebieden, waaronder de implementatie van de NIS-richtlijn, de Cyber ​​Resilience Act en de Cyber ​​Solidarity Act. Het Agentschap ondersteunt ook het cyberbeveiligingscertificeringsproces van ICT-producten, ICT-diensten en ICT-processen, zoals vastgelegd in Titel III van de CSA.

De Cybersecurity Act werd in 2019 aangenomen en versterkte de rol van het Europees Agentschap voor Cybersecurity (ENISA). Het gaf het agentschap een permanent mandaat en gaf het de bevoegdheid om bij te dragen aan het opvoeren van zowel operationele samenwerking als crisismanagement in de EU. Het heeft ook meer financiële en personele middelen dan voorheen.

De Cybersecurity Act stelde ook het European Cybersecurity Certification Framework (ECCF) in, dat gemeenschappelijke cybersecurityvereisten en evaluatiecriteria biedt voor de certificering van ICT-producten, ICT-diensten en ICT-processen. Meer informatie vindt u op de speciale website van ENISA.

Een gerichte wijziging van de Cybersecurity Act, aangenomen op 15 januari 2025, breidde de reikwijdte van de certificering uit naar beheerde beveiligingsdiensten.

De Cyber ​​Resilience Act trad in werking op 10 december 2024. Het stelt gemeenschappelijke normen vast voor producten met digitale elementen, waaronder hardware en software. Dergelijke producten moeten voldoen aan specifieke cybersecurityvereisten gedurende hun hele levenscyclus, waaronder automatische beveiligingsupdates en incidentrapportage. De wet introduceert ook een zorgplicht voor fabrikanten, die ervoor zorgt dat producten zowel qua ontwerp als qua standaard veilig zijn. Deze verordening beschermt consumenten en bedrijven tegen cyberdreigingen door een veiligere digitale omgeving mogelijk te maken.

De Cyber ​​Solidarity Act werd op 15 januari 2025 aangenomen, met als doel de paraatheid, detectie en reactie op cyberbeveiligingsincidenten in de hele EU te verbeteren.

Onderzoek naar digitale beveiliging is essentieel voor het bouwen van innovatieve oplossingen die ons kunnen beschermen tegen de nieuwste, meest geavanceerde cyberdreigingen. Daarom is cyberbeveiliging een belangrijk onderdeel van Horizon 2020 en zijn opvolger Horizon Europe.

In 2016 werd het Horizon 2020 contractuele publiek-private partnerschap (cPPP) op het gebied van cybersecurity opgericht tussen de Europese Commissie en de Europese Cy ber Security Organisation (ECSO), een vereniging bestaande uit leden uit de cyberindustrie, de academische wereld, overheidsdiensten en meer.

Onze fysieke en digitale infrastructuren zijn nauw met elkaar verweven. Daarom heeft de Commissie ook geïnvesteerd in cyberbeveiliging als onderdeel van haar infrastructuurinvesteringsprogramma, de Connecting Europe Facility (CEF), voor de periode 2014-2020.

CEF-ondersteuning is gegaan naar computer security incident response teams, operators of essential services (OES), digital service providers (DSP’s), single points of contact (SPOC) en nationale bevoegde autoriteiten (NCA’s). Dit verbetert de cyberbeveiligingscapaciteiten en de grensoverschrijdende samenwerking binnen de EU, ter ondersteuning van de implementatie van de EU Cybersecurity-strategie.

De Europese cybersecurity industriële, technologische en onderzoekscompetentiecentrum zullen hun expertise bundelen en de Europese ontwikkeling en inzet van cybersecuritytechnologie op elkaar afstemmen. Het zal samenwerken met de industrie, de academische gemeenschap en anderen om een ​​gemeenschappelijke agenda voor investeringen in cybersecurity op te stellen en te beslissen over financieringsprioriteiten voor onderzoek, ontwikkeling en uitrol van cybersecurityoplossingen via de programma’s Horizon Europe en Digital Europe.

Op 24 februari 2025 werd een ontwerpaanbeveling van de Raad over de EU-blauwdruk voor cybersecuritycrisisbeheer (Cyber ​​Blueprint) gepubliceerd. Het doel van deze aanbeveling is om op een duidelijke, eenvoudige en toegankelijke manier het EU-kader voor cybercrisisbeheer te presenteren. De voorgestelde blauwdruk actualiseert het uitgebreide EU-kader voor cybersecuritycrisisbeheer en brengt de relevante EU-actoren in kaart, waarbij hun rollen gedurende de hele crisiscyclus worden geschetst. Dit omvat paraatheid en gedeeld situationeel bewustzijn om cyberincidenten te anticiperen, en de nodige detectiemogelijkheden om ze te identificeren, inclusief de respons- en hersteltools die nodig zijn om die incidenten te beperken, af te schrikken en in te dammen.