Zoveel Acts, zo weinig overzicht: tijd voor een toezichtshub?
Wat hebben de AI Act, DMA, DSA, DGA, DA, CSA en NIS2 gemeen? Juist: ze zijn allemaal “Acts”. Maar wie denkt dat ze daarmee onder één paraplu vallen, komt bedrogen uit. Geen van deze wetten is hetzelfde, elk heeft zijn eigen doelen, definities en handhavingskaders. En toch moeten ze allemaal worden toegepast, gehandhaafd én gecontroleerd. Dat roept een vraag op die steeds luider klinkt: wie houdt hier toezicht op wie?
De AVG was voor veel juristen al een stevige uitdaging. Maar vergeleken met het huidige toezichtstelsel voor digitalisering oogt de AVG inmiddels bijna overzichtelijk. In 2025 is het toezicht op digitalisering een lappendeken van bevoegdheden, samenwerkingsprotocollen en Europese overlegstructuren. Nationale toezichthouders krijgen steeds meer verantwoordelijkheden toebedeeld, vaak zonder duidelijke afbakening of regie. Het risico op dubbel werk, lacunes of tegenstrijdige handhaving is reëel – en groeit met iedere nieuwe verordening.
Die conclusie trekken ook Geursen en Kranenborg in hun preadvies voor de Nederlandse Vereniging voor Wetgeving. Zij waarschuwen dat de wildgroei aan digitale regelgeving zonder duidelijke toezichtstructuur kan leiden tot inefficiëntie en rechtsonzekerheid. Hun boodschap is helder: de huidige aanpak met versnipperde verantwoordelijkheden en informele samenwerking is niet toekomstbestendig. Er is dringend behoefte aan overzicht, regie én een centrale, coördinerende toezichtshub voor digitalisering in Nederland.
Wat is er aan de hand?
Tussen 2020 en 2025 is er binnen de Europese Unie een ware explosie aan wetgeving geweest gericht op digitalisering. Deze wetten, vaak verordeningen, beogen het digitale domein veiliger, eerlijker, transparanter en innovatiever te maken. Denk bijvoorbeeld aan de Digital Markets Act, die machtsmisbruik door grote platforms moet tegengaan. Of de Digital Services Act, die verplichtingen oplegt aan platforms over het modereren van illegale content. Maar ook de Data Governance Act, de Data Act en natuurlijk de veelbesproken AI Act behoren tot dit rijtje. Allemaal hebben ze iets gemeen: ze grijpen in op de digitale economie én ze vragen om handhaving en toezicht.
Met het ontstaan van al deze wetgeving ontstaat er automatisch ook een complex web aan toezichtsbehoeften. De ene wet vereist toezicht op de toegang tot data, de andere op het gebruik van AI of op de werking van platformmarkten. Sommige wetten, zoals de DSA, bouwen voort op bestaande kaders zoals het consumentenrecht en het gegevensbeschermingsrecht. Andere introduceren geheel nieuwe toezichtstelsels, zoals het AI Board of de European Board for Digital Services. Elke verordening komt bovendien met zijn eigen definities van ‘bevoegde autoriteit’, ‘markttoezichthouder’ of ‘coördinator’. De fragmentatie is enorm.
Nederland kiest voor pragmatiek: bestaande toezichthouders krijgen nieuwe taken. Zo is de ACM verantwoordelijk voor de handhaving van veel Digital Acts, ook als het domein buiten haar oorspronkelijke werkveld valt. De AP behoudt haar rol bij alles wat raakt aan persoonsgegevens. De RDI houdt zich bezig met de technische kant van netwerken en systemen. Die aanpak werkt – tot op zekere hoogte. Want met elk nieuw toezichtdomein komt ook de verplichting tot samenwerking, overleg, afstemming en coördinatie. En die blijken zelden goed geregeld.
Hoe werkt het?
In de Nederlandse praktijk betekent dit dat bij bijna iedere nieuwe EU-verordening een nationale uitvoeringswet komt waarin bestaande toezichthouders als bevoegde instantie worden aangewezen. De ACM wordt vrijwel standaard genoemd als handhaver, ook bij regelgeving waar zij eerder geen rol speelde, zoals de Data Act of AI Act. De AP blijft het centrale orgaan voor privacytoezicht, maar krijgt nu ook een formele rol bij data-altruïsme en databemiddeling. De RDI wordt verantwoordelijk voor toezicht op technische normen en netwerkveiligheid, met name onder de NIS2-Richtlijn en de Cybersecurity Act.
Toezicht houdt echter niet op bij de landsgrens. Vrijwel alle Europese Digital Acts verplichten nationale toezichthouders om samen te werken – zowel onderling binnen Nederland als met collega’s in andere lidstaten en met Europese toezichthoudende entiteiten. Zo moeten de ACM en AP samen toezien op databemiddelaars onder de DGA. Voor de DSA ondertekenden elf toezichthouders, waaronder de ILT, OM en Kansspelautoriteit, een gezamenlijk samenwerkingsprotocol. En voor de AI Act is samenwerking vereist tussen instanties die elkaar voorheen zelden spraken, zoals de AP, het College voor de Rechten van de Mens en de AFM.
Daarnaast ontstaan op Europees niveau allerlei nieuwe gremia. De DSA kent de Europese Raad voor Digitale Diensten (EBDS), de DGA en DA hebben het Europees Comité voor Gegevensinnovatie (EDIB), de AI Act introduceert het AI Board. Al deze entiteiten zijn bedoeld om samenwerking, coördinatie en richtsnoeren mogelijk te maken. Maar ze verschillen in samenstelling, bevoegdheden en status. Sommige zijn slechts adviesgroepen, andere krijgen een semi-coördinerende taak. Wat ze allemaal gemeen hebben: ze vragen tijd, capaciteit en juridische afstemming van nationale toezichthouders.
Waarom is dit belangrijk?
Een van de kernobservaties uit het preadvies van Geursen en Kranenborg is dat het toezichtssysteem onder druk staat. Niet alleen door de hoeveelheid nieuwe regels, maar vooral door de diversiteit in vereisten, bevoegdheden en samenwerking. Elke verordening lijkt het wiel opnieuw uit te vinden. Waar de ene wet volledige onafhankelijkheid eist van toezichthouders, blijft de ander vaag. Waar de ene verordening gezamenlijke onderzoeken stimuleert, zwijgt de ander over samenwerking. Dit gebrek aan uniformiteit ondermijnt de rechtszekerheid en maakt toezicht kwetsbaar.
Daarnaast is samenwerking makkelijker gezegd dan gedaan. Toezichthouders hebben verschillende culturen, werkwijzen, juridische grondslagen en prioriteiten. De AP werkt op basis van fundamentele rechten, de ACM op basis van markteconomie en consumentenbelang. Hun wettelijke opdrachten zijn verschillend, net als hun instrumentarium. Samenwerken betekent dus: overleggen, afstemmen, protocollen maken, en soms: onderhandelen. Zonder centrale regie leidt dat onvermijdelijk tot inconsistenties, vertragingen of gaten in de handhaving.
Tot slot is er het capaciteitsprobleem. Nieuwe toezichttaken betekenen niet automatisch meer middelen. De ACM krijgt er met de DMA, DSA, DA en AI Act veel werk bij, zonder structurele budgetgarantie. De AP heeft al jarenlang te maken met onderbezetting, ondanks haar cruciale rol bij de AVG en nu ook in het bredere datadomein. Samenwerking, afstemming, Europese deelname en gezamenlijke handhaving zijn tijdrovend en duur. Zolang toezichthouders structureel moeten schipperen met capaciteit, komt de effectiviteit van het toezicht onder druk te staan.
Afsluiting
Het toezicht op digitalisering is volop in beweging. Voor juristen betekent dit: je kunt je niet beperken tot de letter van de wet, maar moet ook weten wie handhaaft, hoe dat toezicht werkt, en waar de knelpunten zitten. Of je nu jurist bent binnen een overheidsorganisatie, advocaat, compliance officer of beleidsmaker – het is cruciaal om te begrijpen hoe toezicht in de praktijk is georganiseerd.
De eerste stap is het volgen van de implementatie van de nieuwe verordeningen, zoals de AI Act en de nationale Cyberbeveiligingswet (CWB) die de NIS2 omzet. Die wetgeving bepaalt niet alleen rechten en plichten, maar ook welk orgaan verantwoordelijk is. Vervolgens is het essentieel om per dossier te analyseren of er sprake is van overlappend toezicht. In zaken waar bijvoorbeeld de AVG en de DMA tegelijk gelden, loont het om te onderzoeken hoe de AP en ACM samenwerken – en of dat juridisch houdbaar is.
Op systeemniveau is het tijd voor een volgende stap: een nationaal coördinatiekader. De auteurs van het preadvies stellen voor om het Samenwerkingsplatform Digitale Toezichthouders (SDT) uit te bouwen tot een centrale toezichtshub. Geen nieuwe toezichthouder, maar een structuur die overzicht biedt, samenwerking faciliteert, capaciteit bundelt en de consistentie bewaakt. In een digitale economie waarin technologie rechtsgebieden overstijgt, is toezicht zonder silo’s noodzakelijk. AI, data en platforms laten zich niet netjes indelen. Het toezicht daarop evenmin.
AI dwingt juristen om toezicht als systeem te herzien. Niet als proces achteraf, maar als ontwerpkeuze vooraf.