Een update van het besturingssysteem

Soms worden nieuwe versies van besturingssystemen voor telefoons of PCs met veel bombarie aangekondigd: een ander design, nieuwe apps, meer functionaliteiten. Denk eens terug aan de overgang van Windows 3.11 naar Windows 95, of iOS6 naar iOS 7, waarin Apple afscheid nam van 'skeuomorfisme' en het hele besturingssysteem op de schop nam.

Het wil nog wel eens voorkomen dat de daaropvolgende versie van het besturingssysteem daar haaks op staat: geen nieuwe apps of andere interface, maar meer van hetzelfde en een focus op het verbeteren van de processen 'onder de motorkap'; het besturingssysteem ziet er grotendeels hetzelfde uit, maar verbruikt minder geheugen, werkt sneller en kent kleine maar merkbare verbeteringen die de overal gebruikerservaring naar een hoger niveau tillen.2

Voor het gevoel heeft de Europese Commissie met de European Digital Strategy een gloednieuw 'besturingssysteem' gepresenteerd met regelgeving als de Digital Markets Act, de Digital Services Act, de Data Act, de AI Act en de NIS2 Richtlijn. Ik merk daarbij expliciet op dat dit slechts een deel van de nieuwe regelgeving die van toepassing is op het 'digitale domein' – er is (veel) meer.

Een aantal richtlijnen en verordeningen zijn volgende iteraties van eerdere regelgeving, zoals NIS2 en de Digital Services Act. In dat geval nagenoeg allemaal met een bredere reikwijdte en aanvullende en meer gedetailleerde verplichtingen. Er zijn ook gloednieuwe verordeningen en richtlijnen zoals de Digital Markets Act, de Data Act en de AI Act. Deze staan vol met nieuwe definities, concepten en verplichtingen, met vaak aanzienlijke ruimte voor de Europese Commissie om regels aan of in te vullen. Hoewel dit niet nieuw is, komt hier nog bij dat er vaak wisselwerking is met andere EU-regelgeving. Hoe verhouden de verplichtingen om data te delen onder de Data Act en Digital Markets Act zich tot de AVG? Wat betekent de kwalificatie als 'data processing service' onder de Data Act voor de kwalificatie als 'cloud computing service' onder de NIS2 richtlijn, nu de overwegingen zo op elkaar lijken?3 En tot slot valt nog maar te bezien hoe dit alles zal worden geïmplementeerd in nationale regelgeving en hoe het toezicht op de regels vorm zal krijgen.

U begrijpt het: er komen ontzettend veel nieuwe regels op ons af vanuit Brussel, met impact voor nagenoeg alle bedrijven en organisaties in de EU en daar voorbij. Naar mijn ervaring staat lang niet alles goed op de radar bij bedrijven (men staart zich blind op AI), en is er niet genoeg bandbreedte en capaciteit om dit alles in een kort tijdsbestek op relevantie te beoordelen en waar nodig te implementeren.

Met het afzwaaien van de Commissie-Von der Leyen druk ik de nieuwe Commissie (die ongetwijfeld meeleest) nadrukkelijk op het hart om zich bij updates van het Europees besturingssysteem niet blind te staren op allerhande nieuwe foefjes en functionaliteiten, maar zich juist te concentreren op de juiste implementatie, interpretatie en (samen)werking van de bestaande en zojuist geïntroduceerde regelgeving. Wat er ook op ons af zal komen, u kunt er van op aan dat dit tijdschrift zijn uiterste best zal doen om de nieuwe updates van duidelijke 'change logs' te voorzien, 'vulnerabilities' onverwijld te melden en waar mogelijk patches te publiceren voor juridische 'bugs'.