De Europese Unie heeft de afgelopen jaren aanzienlijke stappen gezet op het gebied van data protectie en cybersecurity. Regels als de Algemene Verordening Gegevensbescherming (AVG), de Cyberbeveiligingswet (NIS2) en de AI-verordening vormen samen een juridisch kader dat de digitale veiligheid en privacy binnen de EU moet waarborgen. Tegelijkertijd leidt deze toenemende regeldruk tot vragen over de impact op innovatie en economische groei. Dit roept de vraag op: in hoeverre biedt deze regelgeving ruimte voor technologische vooruitgang, en kan het een stimulerende rol spelen binnen het digitale innovatieklimaat van Europa?
Het juridische kader: bescherming en vertrouwen
De basis van het Europese digitale beleid is geworteld in de bescherming van fundamentele rechten, zoals het recht op privacy en de integriteit van digitale infrastructuren. De AVG heeft hierbij een centrale rol gespeeld door wereldwijd een normatief effect te creëren voor de verwerking van persoonsgegevens. De Cyberbeveiligingswet (NIS2) en de AI-verordening zijn bedoeld om dit kader verder aan te vullen met verplichtingen rondom netwerkbeveiliging en verantwoord AI-gebruik.
Met deze regelgeving beoogt de Europese wetgever niet slechts risicobeperking, maar deze regelgeving dient tevens als instrument om het vertrouwen in digitale diensten te vergroten. Bedrijven die kunnen aantonen dat zij voldoen aan de Europese regelgeving, bieden klanten en zakenpartners namelijk een mate van zekerheid omtrent de veiligheid en betrouwbaarheid van hun producten en diensten. Dit versterkt de marktpositie van deze bedrijven, zowel binnen als buiten Europa.
Innovatie in de schaduw van regelgeving
Critici stellen dat de toenemende regeldruk innovatie bemoeilijkt, met name voor startups en kleine en middelgrote ondernemingen (MKB). In Nederland is deze discussie actueel, en laaide afgelopen week nog eens op met de publicatie van het State of Dutch Tech Report 2025.
Compliancekosten, juridische onzekerheden en de complexiteit van de regelgeving worden genoemd als factoren die investeringen in nieuwe technologieën zouden ontmoedigen. Met name de AI-verordening, die organisaties verplicht om te investeren in AI-geletterdheid en risicobeoordelingen, wordt gezien als potentieel vertragend.
Men gaat er echter aan voorbij dat tegelijkertijd deze regelgeving duidelijke kaders biedt waarin innovatie kan plaatsvinden. De introductie van ‘regulatory sandboxes’, waarin bedrijven onder toezicht nieuwe AI-toepassingen kunnen testen, is daar een concreet voorbeeld van. Dit biedt ruimte voor experiment en ontwikkeling, zonder dat essentiële maatschappelijke waarborgen uit het oog worden verloren.
Trans-Atlantische datastromen: tussen samenwerking en autonomie
Een belangrijk aspect van de huidige discussies rondom data protectie en cybersecurity betreft de trans-Atlantische samenwerking. Het Schrems II-arrest van het Hof van Justitie van de EU, waarbij het Privacy Shield werd ongeldig verklaard, heeft blootgelegd hoe verschillend Europa en de Verenigde Staten aankijken tegen gegevensbescherming. Het nieuwe EU-U.S. Data Privacy Framework tracht hierin balans te brengen, maar blijft onderwerp van discussie vanwege de ruime toegangsmogelijkheden die Amerikaanse inlichtingendiensten hebben tot persoonsgegevens.
Deze juridische en geopolitieke realiteit dwingt Europese beleidsmakers om regelgeving niet slechts als intern instrument te zien, maar als strategisch middel om internationale normen te beïnvloeden. Het zogenoemde ‘Brusselse effect’, waarbij niet-Europese bedrijven Europese privacy- en beveiligingsstandaarden overnemen om toegang te houden tot de Europese markt, versterkt de rol van de EU als normsteller op het wereldtoneel.
Het Schrems II-arrest
Uitspraak van het Hof van Justitie van de Europese Unie (HvJ-EU) op 16 juli 2020 in zaak C-311/18. In deze uitspraak verklaarde het Hof het EU-VS Privacy Shield, een kader voor trans-Atlantische gegevensoverdracht, ongeldig vanwege zorgen over de bescherming van persoonsgegevens tegen Amerikaanse surveillanceprogramma’s. Tegelijkertijd bevestigde het Hof de geldigheid van standaardcontractbepalingen (Standard Contractual Clauses, SCC’s) voor gegevensoverdracht, mits aanvullende waarborgen worden getroffen om een passend beschermingsniveau te waarborgen. [bron]
Regelgeving als dynamisch instrument
De dynamiek van digitale technologieën vereist een juridische benadering die enerzijds stabiliteit biedt, maar anderzijds ruimte laat voor aanpassing aan nieuwe ontwikkelingen.
De AI-verordening verplicht bijvoorbeeld organisaties om AI-geletterdheid te bevorderen, maar biedt ruimte om dit in te vullen naar gelang de specifieke risico’s en context. Dit risicogebaseerde karakter zorgt ervoor dat niet alle organisaties dezelfde inspanningen hoeven te leveren, wat met name voor kleinere entiteiten belangrijk is.
Daarnaast wordt binnen het Europese beleid steeds nadrukkelijker ingezet op publiek-private samenwerking. Door samen te werken met marktpartijen en kennisinstellingen ontstaat een beter begrip van de implicaties van nieuwe technologieën, waardoor regelgeving beter afgestemd kan worden op de praktijk.
Conclusie: een noodzakelijke balans
Het spanningsveld tussen regulering en innovatie is een terugkerend thema in de Europese digitale strategie. Regulering wordt soms ervaren als een rem op innovatie, maar biedt tegelijkertijd de kaders en het vertrouwen die nodig zijn om digitale technologieën maatschappelijk en economisch te verankeren. Door regelgeving proportioneel, risicogestuurd en toekomstbestendig vorm te geven, kan Europa een digitale markt creëren die niet alleen veilig en betrouwbaar is, maar ook ruimte biedt voor duurzame technologische vooruitgang.
Talha Yilmaz
Advocaat – Compliance Expert
Tegelijkertijd moet worden erkend dat innovatie en technologische vooruitgang niet op zichzelf staande doelen zijn. Vooruitgang is geen heilige graal, en economische belangen mogen nooit zwaarder wegen dan de bescherming van fundamentele rechten. In de kern van iedere digitale ontwikkeling moet de mens centraal staan, met een onverminderde focus op het recht op privacy en de bescherming van persoonsgegevens. Dit recht is niet ondergeschikt aan technologische ambities, maar vormt de basis voor een digitale samenleving die veilig, eerlijk en rechtvaardig is.
Een voortdurende dialoog tussen beleidsmakers, bedrijfsleven en kennisinstellingen is daarbij onmisbaar. Alleen zo kan de EU haar positie als digitale innovator behouden, zonder afbreuk te doen aan de bescherming van de rechten en belangen van haar burgers. Innovatie die voortkomt uit respect voor grondrechten is immers de meest duurzame innovatie.
Meer weten?
Klaar om cyber security en compliance eenvoudig en toegankelijk te maken?