Wouter Hoeffnagel - 02 juli 2026

Nederlandse organisaties zijn niet klaar voor digitale wetgeving EU

Bijna de helft van de Nederlandse organisaties is onvoldoende voorbereid op Europese digitale wetgeving. Dat blijkt uit de Barometer Digital Decade 2026 van ICTRecht, die is gebaseerd op gegevens van 516 Nederlandse organisaties uit acht sectoren.

Nederlandse organisaties zijn niet klaar voor digitale wetgeving EU image

Volgens het onderzoek loopt de digitale basis van organisaties in vrijwel alle onderzochte sectoren achter op wat Europese regelgeving vereist. Tegelijkertijd naderen verschillende wettelijke deadlines en bereiden toezichthouders zich voor op handhaving.

AI-gebruik is breed verspreid 

De barometer laat zien dat het gebruik van kunstmatige intelligentie breed is verspreid. In de productiesector gebruikt 80 procent AI in producten. In de zorg zet 52 procent AI in voor triage of diagnose en in de financiële sector gebruikt 48 procent AI voor onder meer kredietbeoordeling, risicomodellering of personeelsbeoordeling. Volgens ICTRecht vallen veel van deze toepassingen onder de AI Act als hoog-risico, waarvoor vanaf december 2027 aanvullende verplichtingen gelden.

Ook verbonden producten zijn volgens het onderzoek gemeengoed geworden. Van de productiebedrijven maakt 85 procent producten met software of internetconnectiviteit en bij 78 procent genereren die producten data met waarde voor de eindgebruiker. Tegelijkertijd opereert 42 procent van de productiebedrijven digitaal nog op basisniveau. De Cyber Resilience Act introduceert vanaf september 2026 meldplichten en treedt eind 2027 volledig in werking.

DORA

De Digital Operational Resilience Act (DORA), die sinds januari 2025 geldt voor banken, verzekeraars en pensioenfondsen, heeft volgens de barometer ook gevolgen voor andere sectoren. Zo levert 29 procent van de Nederlandse ICT-bedrijven en alle onderzochte datacenteraanbieders diensten aan financiële instellingen. Daardoor kunnen zij onder het regime voor kritieke ICT-dienstverleners vallen.

De publieke sector krijgt volgens het onderzoek te maken met meerdere Europese digitale wetten tegelijk. Daarbij gaat het onder meer om regels voor toegankelijkheid, gezondheidsdata, digitale identiteit, kunstmatige intelligentie en cybersecurity. Meer dan de helft van de publieke organisaties scoort op vrijwel alle onderzochte thema's als relevant. Tegelijkertijd bevindt 41 procent van de publieke dienstverlening zich digitaal op basisniveau. Binnen het sociaal domein ligt dat aandeel op 65 procent.

Ook juridische adviessector blijft achter

Ook de juridische adviessector blijft volgens de barometer achter. Van de advocaten- en accountantskantoren werkt 46 procent digitaal op basisniveau. De gemiddelde digitale volwassenheid bedraagt 2,5 op een schaal van 5. Bij kleine en middelgrote kantoren is dat 2,2, terwijl grote kantoren met meer dan 250 medewerkers gemiddeld uitkomen op 3,2.

Volgens ICTRecht kunnen organisaties die achterblijven met de implementatie van de regelgeving te maken krijgen met verschillende gevolgen. Zo kunnen boetes onder de AI Act oplopen tot 7 procent van de wereldwijde jaaromzet. Onder NIS2 en DORA kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Producten die niet voldoen aan de Cyber Resilience Act kunnen daarnaast een verkoopverbod krijgen. Ook wijst ICTRecht op mogelijke reputatieschade als gevolg van bijvoorbeeld datalekken of teruggeroepen producten.

De barometer sluit af met een essay over de afhankelijkheid van Amerikaanse clouddiensten en de uitdagingen rond digitale soevereiniteit.

"De Barometer laat zien dat de wetgevingsexposure van organisaties groter is dan de meeste denken," zegt Arnoud Engelfriet, Chief Knowledge Officer van ICTRecht. "Niet omdat er meer wetten zijn dan verwacht, maar omdat de wetten breder raken dan het publieke debat doet vermoeden. De kloof tussen wat de wetgeving veronderstelt en wat de organisatorische realiteit is, vertaalt zich in concrete risico's: producten die op de markt komen zonder dat duidelijk is of ze aan de eisen voldoen, zorginstellingen die AI inzetten voor diagnose zonder conformiteitsbeoordeling, ICT-leveranciers die aan banken leveren zonder zich bewust te zijn van de keteneisen die op hen rusten. Bestuurders moeten nu keuzes maken om niet verrast te worden door de toezichthouder."

Het rapport is hier beschikbaar. De Digital Decade Roadmap kan hier worden aangevraagd.

Fundaments BW + BN Gartner IT Symposium Barcelona 06-2026 AI BW + BN
Fundaments BW + BN