Wat hebben AVG, NIS2 en eEvidence met elkaar gemeen?

Voor veel IT managers voelt het inmiddels vertrouwd. Er komt nieuwe Europese wet of regelgeving aan. Eerst lijkt het abstract, iets voor later, iets juridisch. Vervolgens vertalen die Europese kaders zich naar nationale wetten, met een implementatieperiode van een jaar of twee. Op papier ruim voldoende tijd, maar in de praktijk vliegt die tijd razendsnel voorbij.

Bij de AVG zagen we het gebeuren en bij NIS2 opnieuw. De impact werd onderschat, ook op bestuursniveau. Tot het moment dat de deadline dichterbij kwam en de vragen vanuit de boardroom steeds concreter werden. Zijn we compliant? Waar staat onze data? Wie heeft toegang? Uiteindelijk is het de IT afdeling die onder tijdsdruk moet zorgen dat techniek, processen en contracten kloppen.

Met e Evidence staan we opnieuw op datzelfde punt. Augustus 2026 voelt nog ver weg. Maar wie eerdere trajecten heeft meegemaakt, weet hoe snel dat omslaat. Voor je het weet ligt het vragenvuur bij IT en dan is de ruimte om rustig na te denken al verdwenen.

Daarbij is e Evidence geen richtlijn zoals NIS2, maar een verordening. Er is geen verplichte implementatie voor organisaties, wel directe impact op datatoegang en controle. Juist dat maakt het relevant in het kader van digitale soevereiniteit.

e Evidence in het kort

e Evidence is Europese wetgeving die regelt hoe politie en justitie digitaal bewijs kunnen opvragen over landsgrenzen heen. Vanaf augustus 2026 kunnen autoriteiten in het ene EU land rechtstreeks data opvragen bij dienstverleners in een ander EU land. Dat gaat sneller dan via de klassieke rechtshulp en met minder tussenkomst van het land waar de data zich bevindt.

Het gaat hierbij om elektronische gegevens zoals e mail, gebruikersinformatie en clouddata. Voor dienstverleners betekent dit nieuwe verplichtingen. Voor organisaties die van die diensten gebruikmaken betekent het vooral dat de vraag naar toegang tot data verandert. En daarmee ook de vraag naar controle.

De risico’s komen niet alleen meer vanuit de VS

De afgelopen jaren lag de focus sterk op transatlantische risico’s, vooral in 2025 was dit massaal een topic-of-discussion. Amerikaanse cloudproviders en de CLOUD Act domineerden de discussie. Data kon fysiek in Europa staan, maar juridisch onder Amerikaans recht vallen. Veel IT teams hebben hun cloud en infrastructuurstrategie hierop aangepast, bijvoorbeeld met Europese alternatieven of hybride opzet, of zijn tenminste aan deze veranderingen begonnen.

Met e Evidence verschuift dat speelveld. Het risico zit niet meer alleen buiten Europa, maar ook binnen Europa zelf. Data die bij een Europese provider staat of draait op externe applicaties, kan via een buitenlandse autoriteit worden opgevraagd. Zeker in omgevingen met internationale leveranciers of gedeelde platforms vervaagt het gevoel van grip sneller dan vaak wordt aangenomen.

Dat vraagt om een herziening van aannames die jarenlang logisch leken. Data in Europa is niet automatisch data onder jouw controle.

De gevolgen voor data en infrastructuur

Voor IT infrastructuur en datastorage raakt e Evidence aan de kern. Niet omdat de wet dat technisch afdwingt, maar omdat bestaande infrastructuurkeuzes ineens juridische consequenties krijgen. Waar staat welke data? Onder welk juridisch regime valt die? Wie beheert de toegang? En kun je dat ook aantonen? Architecturen die vooral zijn ontworpen op performance, schaalbaarheid en kosten krijgen er een nieuwe uitdaging bij.

Ook back-up en recovery spelen hierin een rol. Niet alleen vanuit beschikbaarheid of ransomwarebescherming, maar vanuit controle. Kun je garanderen dat data niet ongezien wordt verstrekt? Kun je uitleggen waarom bepaalde keuzes zijn gemaakt? En zijn die vastgelegd in techniek en governance, of vooral gebaseerd op vertrouwen in leveranciers?

Wat nu?

De les van AVG en NIS2 is helder. Wachten leidt tot keuzes onder druk, tot tijdelijke oplossingen of zelfs boetes. e Evidence biedt de kans om het anders te doen.

Nu is het moment om data placement, cloudgebruik en infrastructuurkeuzes opnieuw te bekijken. Zorg ervoor dat de regie in eigen handen blijft, in ieder geval voor de meest gevoelige data. Dat kan door bewust te bepalen welke data waar hoort te staan, welke technische waarborgen nodig zijn en hoe je controle organiseert. Dat kost tijd, maar levert rust op wanneer de vragen straks komen.

Webinar

Op 30 januari om 13:30 organiseren we een webinar waarin we e Evidence benaderen vanuit IT perspectief. We kijken naar de concrete impact op data en infrastructuur. We bespreken wat er verandert, waar aannames niet meer kloppen en welke keuzes je nu al kunt maken.

Inschrijven kan via deze link: https://events.teams.microsoft.com/event/af2dee3e-8104-4afa-8d87-6d5a61962d7e@76c4b9ef-f707-41c7-a97d-5a214214b657