+31 40 369 06 80
[email protected]

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Afspraak

Law & More Logo

Nieuws, Ondernemingsrecht

DORA en ICT-dienstverleners: wie draagt welke verantwoordelijkheid?

november 12, 2025

DORA (Digital Operational Resilience Act) heeft sinds 17 januari 2025 de spelregels veranderd voor financiële instellingen en hun ICT-dienstverleners. Deze Europese verordening stelt nieuwe eisen aan de digitale weerbaarheid van de financiële sector, maar zorgt tegelijk voor onduidelijkheid over wie nu eigenlijk waarvoor verantwoordelijk is.

Twee groepen professionals in een modern kantoor bespreken verantwoordelijkheden, met zakelijke en IT-specialisten aan weerszijden van een tafel.

Hoewel financiële instellingen formeel verantwoordelijk blijven voor DORA-naleving, moeten zij deze verantwoordelijkheden contractueel afdwingen bij hun ICT-dienstverleners. Die verdeling van verantwoordelijkheden leidt tot complexe situaties waarin beide partijen hun eigen verplichtingen hebben.

ICT-dienstverleners kunnen niet meer volstaan met standaard algemene voorwaarden. Ze moeten echt actief meewerken aan compliance-eisen.

In de praktijk grijpen veel financiële instellingen DORA aan om bestaande contracten opnieuw te bespreken, soms ook over punten die niet letterlijk in de wet staan. Voor ICT-dienstverleners is het dus belangrijk om te weten welke eisen wettelijk verplicht zijn en hoe ze hun verantwoordelijkheden slim kunnen inrichten binnen deze nieuwe regels.

Overzicht van DORA en de toepasbaarheid op ICT-dienstverleners

Een groep zakelijke professionals overlegt in een moderne kantoorruimte met laptops en digitale schermen die gegevens en beveiliging tonen.

DORA is een Europese verordening die sinds januari 2025 geldt en de digitale weerbaarheid van financiële instellingen versterkt. Die regels hebben directe gevolgen voor ICT-dienstverleners die aan de financiële sector leveren.

Wat is de Digital Operational Resilience Act (DORA)?

De Digital Operational Resilience Act is een EU-verordening die de kwaliteit van ICT-systemen in de financiële sector regelt. De EU heeft deze regels ingevoerd omdat cyberaanvallen en technologische verstoringen steeds vaker impact hebben op financiële dienstverlening.

DORA stelt strenge eisen aan de ICT-infrastructuur van financiële instellingen. De verordening vult bestaande wetgeving aan, zoals NIS en GDPR.

Belangrijke kenmerken van DORA:

  • Van kracht sinds 17 januari 2025
  • Geldt voor alle EU-lidstaten
  • Verplicht uniforme regels voor ICT-risicobeheer
  • Heeft directe gevolgen voor ICT-leveranciers

De verordening onderkent dat financiële instellingen steeds afhankelijker zijn van externe ICT-dienstverleners. Vooral bij cloudoplossingen, datacenters, cybersecurity en softwareontwikkeling speelt dit een grote rol.

Belangrijkste doelen van DORA voor ICT-dienstverleners

DORA wil vooral de digitale weerbaarheid van de financiële sector verhogen. Voor ICT-dienstverleners betekent dat een belangrijke rol in het behalen van deze doelen.

Primaire doelen:

  • Versterken van ICT-risicobeheer in de leveranciersketen
  • Verbeteren van incident management en rapportage
  • Waarborgen van operationele continuïteit
  • Verhogen van transparantie in ICT-dienstverlening

De verordening zorgt ervoor dat ICT-dienstverleners contractueel verplicht zijn om aan specifieke eisen te voldoen. Organisaties moeten ernstige ICT-gerelateerde incidenten melden bij de bevoegde autoriteiten.

DORA maakt onderscheid tussen gewone en kritieke ICT-dienstverleners. Kritieke leveranciers krijgen meer eisen opgelegd dan reguliere.

ICT-dienstverleners werken samen aan ICT-bewustwordingsprogramma’s. Ze moeten ook volledig meewerken aan toezicht door autoriteiten.

Reikwijdte van DORA binnen de financiële sector

DORA geldt zodra een ICT-dienstverlener diensten levert aan een financiële instelling binnen de EU. De reikwijdte is breed en omvat allerlei soorten financiële organisaties.

Financiële instellingen onder DORA:

  • Banken en kredietinstellingen
  • Verzekeraars
  • Investeringsmaatschappijen
  • Pensioenfondsen
  • Elektronischgeldinstellingen

SaaS-leveranciers vallen onder DORA wanneer hun diensten worden gebruikt door financiële instellingen. Dit geldt ook voor cloud providers en andere ICT-dienstverleners.

De verordening heeft een uitgebreid toetsingskader om te bepalen of een organisatie een financiële instelling is. Vooral voor kleinere investeringsmaatschappijen is het niet altijd duidelijk of DORA geldt.

ICT-dienstverleners moeten nagaan of hun klanten onder DORA vallen. Als dat zo is, moeten ze de risico’s van die samenwerking meenemen in hun ICT-risicobeheer.

De formele verantwoordelijkheid voor naleving ligt bij de financiële instelling. In de praktijk dwingen financiële instellingen deze verantwoordelijkheid contractueel af bij hun ICT-dienstverleners.

Verdeling van verantwoordelijkheden: financiële instellingen versus ICT-dienstverleners

Twee groepen professionals, financieel en ICT, die samenwerken aan een tafel in een modern kantoor.

DORA maakt duidelijk verschil tussen de hoofdverantwoordelijkheid van financiële instellingen voor compliance en de verplichtingen die ICT-dienstverleners moeten nakomen. De formele verantwoordelijkheid blijft altijd bij de financiële instelling, maar die dwingt ze contractueel af bij de dienstverleners.

Hoofdverantwoordelijkheden van financiële instellingen

Financiële instellingen dragen de volledige eindverantwoordelijkheid voor DORA-compliance. Ook als ze ICT-diensten uitbesteden aan externe partijen, blijven ze zelf verantwoordelijk.

De instelling moet alle ICT-risico’s opnemen in haar risicobeheer. Dat betekent dat ze de digitale weerbaarheid van uitbestede diensten actief moet bewaken en controleren.

Kernverplichtingen van financiële instellingen:

  • ICT-risicobeheer implementeren en onderhouden
  • Contractuele afspraken maken die voldoen aan artikel 30 van DORA
  • Toezicht houden op de prestaties van ICT-dienstverleners
  • Incident- en herstelplannen ontwikkelen
  • Exit-strategieën voorbereiden bij beëindiging van diensten

Financiële instellingen bepalen ook welke ICT-dienstverleners als kritisch gelden. Die beslissing heeft grote gevolgen voor de eisen aan de dienstverlener.

De instelling kan haar verantwoordelijkheid niet wegcontracteren door uitbesteding. Ze blijft altijd aansprakelijk voor compliance tegenover toezichthouders.

Specifieke verplichtingen voor ICT-dienstverleners

ICT-dienstverleners krijgen contractuele verplichtingen opgelegd door hun klanten in de financiële sector. Die verplichtingen komen rechtstreeks voort uit DORA-eisen.

Basisverplichtingen voor alle ICT-dienstverleners:

  • Duidelijke beschrijving van geleverde diensten verstrekken
  • Dienstlocaties communiceren en wijzigingen melden
  • Gegevensbescherming waarborgen
  • Kosteloze ondersteuning bij ICT-incidenten bieden
  • Volledige medewerking verlenen aan toezichtonderzoeken

Kritieke ICT-dienstverleners krijgen extra verplichtingen. Ze moeten samenwerken met toezichthouders en toegang geven tot systemen en informatie.

Deze dienstverleners moeten ook beleidsmaatregelen invoeren voor operationele risico’s. Dat gaat bijvoorbeeld over incidentmanagement en herstelprocedures.

Hoewel ICT-dienstverleners geen directe wettelijke verantwoordelijkheid dragen onder DORA, bindt het contract hen wel aan compliance-eisen. Daardoor zijn ze in de praktijk toch deels medeverantwoordelijk voor naleving van de regels.

Samenspel tussen uitbesteding en compliance

Als je ICT-diensten uitbesteedt, blijft de compliance-verantwoordelijkheid gewoon bij de financiële instelling liggen. Je moet er dus altijd voor zorgen dat uitbestede processen voldoen aan de DORA-eisen.

Het is slim om contractuele waarborgen op te nemen die compliance afdwingen. Dat betekent: duidelijke eisen stellen aan je dienstverleners en actief monitoren of ze zich eraan houden.

Belangrijke aandachtspunten bij uitbesteding:

  • Risicobeoordeling van de ICT-dienstverlener
  • Contractuele vastlegging van DORA-verplichtingen
  • Regelmatige monitoring van compliance
  • Exit-strategieën bij non-compliance

ICT-dienstverleners moeten open zijn over hun processen en systemen. Ze moeten financiële instellingen echt de ruimte geven om hun toezichthoudende rol te pakken.

Het werkt alleen als beide partijen hun rol snappen. Financiële instellingen dragen de eindverantwoordelijkheid, terwijl ICT-dienstverleners de operationele compliance-taken op zich nemen.

Belangrijkste compliance-eisen volgens DORA

DORA stelt strenge eisen aan financiële instellingen. Je moet risicobeheer, registratie van ICT-diensten, incidentmanagement en rapportage aan toezichthouders op orde hebben.

Risicobeheer en verplichtingen rondom risicoanalyse

Financiële instellingen moeten een stevig ICT-risicomanagement neerzetten. Dat systeem moet alle digitale risico’s scherp in beeld brengen en beheersen.

Je voert die risicoanalyse regelmatig uit. Organisaties kijken kritisch naar hun ICT-systemen en processen en zoeken naar zwakke plekken.

Belangrijke onderdelen van het risicobeheer:

  • Identificatie van cyberdreigingen
  • Beoordeling van ICT-infrastructuur
  • Analyse van externe dienstverleners
  • Documentatie van alle beveiligingsmaatregelen

Het bestuur ligt onder het vergrootglas als het gaat om ICT-risicobeheer. Zij moeten governance-kaders neerzetten en actief toezicht houden.

Cybersecurity speelt een centrale rol in die risicoanalyse. Organisaties checken hun verdediging tegen cyberaanvallen en technologische verstoringen.

Beheer en registratie van ICT-diensten en dienstverleners

DORA eist een volledig informatieregister van alle ICT-diensten. Dat register bevat details over interne systemen én externe leveranciers.

Het informatieregister moet deze gegevens hebben:

  • Dienstverleners: Namen en contactgegevens
  • Diensten: Precieze beschrijving van de ICT-diensten
  • Locaties: Waar de diensten geleverd worden
  • Contracten: Belangrijke afspraken en voorwaarden

Organisaties houden dat register up-to-date. Elke wijziging leg je meteen vast.

Voor kritieke ICT-dienstverleners gelden strengere regels. Die leveranciers krijgen extra toezicht van financiële autoriteiten.

Het register helpt je om afhankelijkheden te spotten. Je ziet direct welke diensten onmisbaar zijn voor je bedrijfsvoering.

Incidentmanagement en meldingsplicht

Organisaties moeten ICT-incidenten direct melden bij toezichthouders. Dat geldt voor ernstige verstoringen en cyberaanvallen.

Meldingsplicht geldt voor:

  • Cyberaanvallen die de dienstverlening raken
  • Technologische verstoringen van kritieke systemen
  • Datalekken bij ICT-processen
  • Significante cyberdreigingen

De melding moet binnen de gestelde termijnen gebeuren. Je informeert de AFM of DNB met details van het incident.

Een incidentmanagementplan is verplicht. Hierin staat hoe je reageert op ICT-problemen.

Herstelmaatregelen leg je vast. Je laat zien welke stappen je neemt om schade te beperken.

Ook ICT-dienstverleners hebben een meldingsplicht. Ze moeten klanten informeren over incidenten die financiële diensten raken.

Monitoring en rapportage richting toezichthouder

Toezichthouders zoals AFM en DNB checken DORA-compliance regelmatig. Financiële instellingen leveren rapporten over hun digitale weerbaarheid.

Compliance-rapporten moeten aan bepaalde standaarden voldoen. Die bevatten concrete info over ICT-risicobeheer en beveiligingsmaatregelen.

Rapportage-onderwerpen:

  • Status van risicobeheer
  • Overzicht van ICT-incidenten
  • Resultaten van penetratietests
  • Updates over dienstverleners

Periodieke toezichtonderzoeken zijn verplicht. Inspecteurs voeren audits uit en nemen systemen onder de loep.

Organisaties werken mee aan toezicht. Ze geven toegang tot systemen en documentatie als dat nodig is.

Hoe vaak je moet rapporteren hangt af van de grootte van je organisatie. Grote instellingen moeten vaker aanleveren dan kleinere bedrijven.

Rollen in de keten: onderaannemers, uitbesteding en ketenverantwoordelijkheid

ICT-dienstverleners werken vaak samen met een hele keten van onderaannemers als ze diensten leveren aan financiële instellingen. Toch blijft de hoofdaannemer eindverantwoordelijk, ook als taken worden doorgegeven aan anderen.

Verantwoordelijkheden bij dooruitbesteding door ICT-dienstverleners

De ICT-dienstverlener met het contract bij de financiële instelling draagt de hoofdverantwoordelijkheid. Ook als onderdelen worden uitbesteed aan onderaannemers, blijft dat zo.

Ketenaansprakelijkheid betekent dat de hoofdaannemer altijd verantwoordelijk blijft voor alle diensten. De financiële instelling kan de hoofdaannemer aanspreken, ongeacht welke onderaannemer het probleem veroorzaakte.

ICT-dienstverleners voeren due diligence uit op hun onderaannemers. Ze checken of onderaannemers aan dezelfde eisen voldoen als zijzelf.

De hoofdaannemer moet:

  • Onderaannemers zorgvuldig selecteren en monitoren
  • Zorgen voor naleving van alle contractuele verplichtingen
  • Incidenten van onderaannemers rapporteren aan de financiële instelling
  • Continuïteitsplannen maken voor de hele keten

Beoordelingscriteria voor onderaannemers

ICT-dienstverleners werken met strikte selectiecriteria voor onderaannemers. Die criteria zijn gebaseerd op DORA en de afspraken met financiële instellingen.

Technische eisen gaan over beveiliging, operationele weerbaarheid en compliance-processen. Onderaannemers moeten aantonen dat ze aan dezelfde technische eisen voldoen als de hoofdaannemer.

Financiële stabiliteit telt zwaar mee. ICT-dienstverleners beoordelen of onderaannemers financieel gezond en toekomstbestendig zijn.

Belangrijke beoordelingscriteria:

  • Certificeringen: ISO 27001, SOC 2, andere relevante standaarden
  • Track record: Ervaring met vergelijkbare opdrachten
  • Capaciteit: Genoeg middelen en personeel
  • Governance: Heldere processen en rapportagestructuren

Contractuele afspraken en auditrechten

Contracten tussen ICT-dienstverleners en onderaannemers bevatten uitgebreide afspraken over verantwoordelijkheden en controle. Zo houdt de hoofdaannemer grip op de keten.

Auditrechten geven ICT-dienstverleners het recht om onderaannemers te controleren. Vaak mag de financiële instelling ook audits uitvoeren bij alle partijen in de keten.

Contracten regelen rapportageverplichtingen, incidentmeldingen en escalatieprocedures. Onderaannemers moeten dezelfde info aanleveren als de hoofdaannemer aan de financiële instelling geeft.

Service Level Agreements (SLA’s) vertalen zich door naar onderaannemers. De hoofdaannemer zorgt dat onderaannemers dezelfde prestatienormen hanteren.

Standaard contractbepalingen:

  • Doorlopende monitoring en rapportage
  • Recht op onbeperkte audits
  • Directe communicatie met de financiële instelling bij ernstige incidenten
  • Beëindigingsrechten bij non-compliance

Praktische implicaties voor ICT-dienstverleners en financiële instellingen

DORA brengt flinke veranderingen voor iedereen in de sector. ICT-dienstverleners moeten hun contracten aanpassen en nieuwe rapportageprocessen opzetten.

Financiële instellingen krijgen er werk bij: ze moeten registers bijhouden en hun uitbestedingsbeleid opnieuw onder de loep nemen.

Impact op SaaS-providers en andere digitale diensten

SaaS-providers merken direct de gevolgen van DORA. Ze moeten hun algemene voorwaarden herschrijven om aan de eisen van financiële instellingen te voldoen.

Cloudservices vallen onder strengere regels voor gegevensbescherming en toegankelijkheid. Providers moeten garanderen dat data toegankelijk blijft na afloop van contracten, zelfs bij een faillissement.

Software-as-a-Service leveranciers moeten open zijn over hun onderaannemers. Elke verandering in de keten moeten ze vooraf melden aan hun financiële klanten.

Cybersecurity-dienstverleners krijgen extra taken op het gebied van incidentrapportage. Ze moeten ernstige beveiligingsincidenten meteen doorgeven aan hun financiële klanten.

Meetbare prestatie-indicatoren zijn nu verplicht in Service Level Agreements. Deze SLA’s moeten aansluiten op de risico’s van elke financiële instelling.

Opstellen en onderhouden van een informatieregister

Financiële instellingen moeten een compleet informatieregister bijhouden van al hun ICT-diensten. Dat vormt de basis voor risicobeheer en toezicht.

Het register moet het volgende bevatten:

  • Dienstverleversinformatie: Naam, contactgegevens en locatie van alle ICT-providers
  • Contractgegevens: Looptijden, beëindigingsvoorwaarden en wijzigingsprocedures
  • Risicobeoordelingen: Classificatie als kritiek of niet-kritiek per dienstverlener
  • Onderaannemers: Volledige ketenoverzichten met alle betrokken partijen

Ze moeten het register binnen 30 dagen na elke wijziging updaten. Dit geldt voor nieuwe contracten, wijzigingen of beëindigingen.

Toezichthouders mogen deze registers inzien tijdens inspecties. De AFM en DNB gebruiken deze informatie voor hun eigen risicobeoordelingen.

Beheer van contracten en wijzigingsprocedures

Contractbeheer wordt er niet makkelijker op met DORA. Financiële instellingen moeten hun uitbestedingscontracten opnieuw bekijken en aanpassen aan de nieuwe regels.

Bestaande contracten moeten opnieuw onderhandeld worden om DORA-proof te zijn. Voor alle kritieke ICT-diensten moet dit voor 17 januari 2025 rond zijn.

Wijzigingsprocedures moeten duidelijke escalatiepaden krijgen. Als er discussie is over de uitleg van DORA, kunnen partijen verwijzen naar interpretatieclausules die aansluiten bij de rechtsontwikkeling.

Exit-strategieën zijn verplicht voor alle ICT-uitbesteding. Hierin staan concrete stappen voor datatransfer en de continuïteit van dienstverlening.

De minimum opzegtermijnen verschillen per dienst:

  • Kritieke systemen: 12 maanden opzegtermijn
  • Standaard ICT-diensten: 6 maanden opzegtermijn
  • Ondersteunende systemen: 3 maanden opzegtermijn

Financiële instellingen moeten voor elke uitbestede ICT-dienst back-up plannen maken. Jaarlijkse continuïteitsoefeningen testen deze plannen.

Toekomstige ontwikkelingen en samenhang met andere Europese wetgeving

DORA werkt samen met andere Europese regels zoals NIS2 en ITS. Het doel? Een sterker digitaal veiligheidsnet. Toezichthouders krijgen meer macht, en bedrijven zullen zich moeten voorbereiden op strengere controles.

Verbinding tussen DORA, NIS2 en ITS

DORA vormt samen met NIS2 en ITS een pakket aan Europese cybersecurity-wetgeving. NIS2 draait om kritieke infrastructuur, terwijl DORA zich echt op de financiële sector richt.

ICT-dienstverleners die onder NIS2 én DORA vallen, moeten aan beide sets regels voldoen. Soms betekent dat dubbele rapportage aan verschillende toezichthouders.

De Europese ITS-verordening (Implementing Technical Standards) vult DORA aan met technische details. Zo weten bedrijven beter waar ze aan toe zijn.

Overlap tussen de wetgeving:

  • Incidentmeldingen zijn overal verplicht
  • Risicobeheer is een must
  • Derde partijen krijgen extra verantwoordelijkheden

Toezichthouders in Europa proberen samen te werken om de regels overal gelijk toe te passen. Zo voorkomen ze dat bedrijven per land met andere eisen te maken krijgen.

Vooruitblik: wijzigende eisen en toezicht

Toezichthouders bereiden zich voor op striktere handhaving vanaf januari 2025. Ze mogen straks boetes opleggen tot 2% van de wereldwijde omzet.

Europese toezichthouders werken aan gezamenlijke richtlijnen voor ICT-dienstverleners. Dat zorgt hopelijk voor uniforme interpretatie van de regels in de hele EU.

Experts verwachten de komende jaren aanscherpingen van de technische standaarden. Nieuwe cyberdreigingen zorgen voor strengere eisen rond detectie en respons.

ICT-dienstverleners moeten rekening houden met:

  • Jaarlijkse updates van beveiligingseisen
  • Meer meldplichten
  • Strengere certificeringsvereisten

Regulators geven aan dat ze snel zullen handhaven na de inwerkingtreding. Wie niet voldoet, loopt kans op hoge boetes en reputatieschade.

Frequently Asked Questions

ICT-dienstverleners krijgen specifieke DORA-verplichtingen, afhankelijk van hun classificatie als kritiek of niet-kritiek. De verantwoordelijkheden worden contractueel vastgelegd volgens de wettelijke eisen.

Welke verantwoordelijkheden hebben ICT-dienstverleners onder de DORA-regelgeving?

ICT-dienstverleners moeten aan verschillende verplichtingen voldoen, afhankelijk van hun rol. Ze moeten altijd meewerken aan contractuele afspraken over dienstverlening en gegevensbescherming.

Bij ICT-incidenten moeten ze hun financiële klanten kosteloos ondersteunen. Ook moeten ze volledig meewerken aan toezichtonderzoeken.

Kritieke ICT-dienstverleners krijgen extra verplichtingen. Ze moeten samenwerken met toezichthouders, toegang geven tot systemen en informatie, en ernstige incidenten direct melden.

Hoe wordt de verantwoordelijkheidsverdeling tussen financiële instellingen en ICT-dienstverleners bepaald volgens DORA?

De financiële instelling blijft formeel verantwoordelijk voor DORA-naleving. In de praktijk leggen ze die verantwoordelijkheid contractueel bij de ICT-dienstverlener neer.

Financiële instellingen moeten heldere afspraken maken met hun ICT-partners. De DORA-verordening beschrijft deze contractuele bepalingen vrij concreet.

De ICT-dienstverlener moet actief meewerken aan het nakomen van die contractuele verplichtingen. Beide partijen spelen hun eigen rol in het waarborgen van digitale weerbaarheid.

Wat zijn de gevolgen van niet-naleving van DORA-verplichtingen voor ICT-dienstverleners?

Niet-naleving kan leiden tot contractbreuk met financiële klanten. Financiële instellingen kunnen het contract beëindigen als een dienstverlener niet meewerkt.

Kritieke ICT-dienstverleners lopen het risico op direct toezicht door Europese autoriteiten. Dat kan leiden tot verplichte maatregelen en zelfs sancties.

Reputatieschade en verlies van klanten liggen op de loer. Dienstverleners kunnen ook aansprakelijk zijn voor schade door non-compliance.

Welke maatregelen dienen ICT-dienstverleners te treffen om aan DORA te voldoen?

ICT-dienstverleners moeten hun algemene voorwaarden aanpassen aan DORA. Standaardcontracten moeten kloppen met de wettelijke eisen.

Ze hebben passende beleidsmaatregelen nodig voor operationele en beveiligingsrisico’s. Denk aan incidentmanagement en herstelprocedures.

Een compliance-check van bestaande contracten is verstandig. Dienstverleners moeten bepalen of hun klanten hen als kritiek aanmerken.

Op welke wijze dient de risicobeheersing plaats te vinden bij de outsourcing naar ICT-dienstverleners?

Financiële instellingen moeten risico’s van ICT-uitbesteding goed meenemen in hun risicobeheer. Dat begint met een grondige beoordeling van de dienstverlener en hun services.

Het is belangrijk om contractuele afspraken echt af te stemmen op het risicoprofiel van de financiële entiteit. Generieke clausules schieten meestal tekort als je kijkt naar DORA-compliance.

Je moet ICT-dienstverleners continu monitoren en evalueren. Ook is het slim om alvast na te denken over exit-strategieën en alternatieven, voor het geval het misgaat.

Hoe kunnen ICT-dienstverleners aantonen dat zij voldoen aan de gestelde DORA-eisen?

Je moet als ICT-dienstverlener echt goed je beleid en procedures voor risicobeheer documenteren. Klanten verwachten transparante rapportages, dus daar kom je niet onderuit.

Het helpt om regelmatig audits te laten uitvoeren. Ook compliance-assessments laten zien dat je op orde bent.

Financiële klanten vragen vaak om mee te werken aan penetratietests, en dat is eigenlijk gewoon een must. Externe validaties of certificeringen geven net dat beetje extra vertrouwen.

Let erop dat je contracten duidelijke, meetbare prestatie-indicatoren bevatten. Zo kun je makkelijk aantonen dat je aan de regels voldoet.

Previous
Verblijfsvergunning voor ondernemers: Wat zijn de mogelijkheden?
Next
AI en strafrecht: kan een algoritme medeverantwoordelijk zijn?
Privacy Settings
We use cookies to enhance your experience while using our website. If you are using our Services via a browser you can restrict, block or remove cookies through your web browser settings. We also use content and scripts from third parties that may use tracking technologies. You can selectively provide your consent below to allow such third party embeds. For complete information about the cookies we use, data we collect and how we process them, please check our Privacy Policy
Youtube
Consent to display content from - Youtube
Vimeo
Consent to display content from - Vimeo
Google Maps
Consent to display content from - Google
Spotify
Consent to display content from - Spotify
Sound Cloud
Consent to display content from - Sound
Save

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Ma/Vrij 08.00-22.00
Za/Zo 9.00-17.00
[email protected]
+31 40 369 06 80