eEvidence: nieuwe EU-wet vanaf 18 augustus 2026 — wat moet jij als ondernemer weten?
Er is een nieuwe Europese wet in aantocht: de eEvidence-verordening. Klinkt als iets voor grote bedrijven? Dat klopt grotendeels. Maar er zijn ook kleinere ondernemers voor wie dit relevant is en dat wil je op tijd weten. We leggen het gewoon uit.
Wat is het en waarom bestaat het?
De EU wil dat justitie in verschillende landen makkelijker digitaal bewijs kan opvragen bij bedrijven. Denk aan e-mails, IP-adressen, accountgegevens en communicatiedata die van pas komen bij het oplossen van strafzaken. Op dit moment duurt zo'n verzoek via de bestaande kanalen gemiddeld 120 dagen, soms zelfs 10 maanden. Dat moet sneller.
De eEvidence-verordening regelt dat. Autoriteiten kunnen straks een verstrekkingsbevel (gegevens aanleveren) of een bewaringsbevel (gegevens bewaren voor later gebruik) uitvaardigen direct bij jou als dienstverlener.
Ingangsdatum: 18 augustus 2026.
In Nederland is de ACM (Autoriteit Consument en Markt) aangewezen als toezichthouder. Zij handhaven samen met het Openbaar Ministerie.
Voor wie geldt dit?
Dit is het belangrijkste onderdeel van het artikel. De wet geldt voor "dienstaanbieders" die diensten aanbieden in de EU. Dat klinkt breed en dat is het ook, maar er is een duidelijke definitie.
Volgens artikel 3 van de eEvidence-verordening val je eronder als je een van deze diensten aanbiedt:
- Elektronische communicatiediensten — telefonie, internetproviders
- Diensten rond domeinnamen en IP-adressen — registrars, DNS-providers
- Online diensten waarbij gebruikers onderling kunnen communiceren — e-maildiensten, social media, messaging platforms
- Online diensten waarbij gegevensopslag een wezenlijk onderdeel is van de dienst — cloudopslag, hosting, online marktplaatsen, online gaming
Die laatste categorie is de interessante voor veel ondernemers. Lees hem goed: de wet geldt alleen als de opslag van data bij jou een wezenlijk (= essentieel) onderdeel is van de dienst die jij aanbiedt aan je klanten.
En die webdesigner met Supabase dan?
Stel: jij bent freelance webdesigner of IT-dienstverlener. Je bouwt websites, past AI toe op platforms van klanten, en gebruikt daarvoor tools zoals Supabase, cloudopslag of een hostingdienst. In die systemen staat ook data van jouw eindklanten.
Gelden de eEvidence-regels dan voor jou?
Het antwoord zit hem in één vraag: bied jij zelf een dienst aan waarbij opslag van klantdata het kernonderdeel is — of gebruik jij tools van anderen om jouw werk te doen?
✅ Je gebruikt Supabase als tool voor je eigen werk → waarschijnlijk geen probleem
Je bouwt een website voor een klant en gebruikt Supabase als database achter de schermen. Jij bent de ontwikkelaar, Supabase is de aanbieder van de opslagdienst. Supabase valt onder de eEvidence-verordening, niet jij.
Voorbeeld: Tim is webdesigner. Hij bouwt maatwerksites en beheert die voor zijn klanten. Hij gebruikt Supabase voor de technische infrastructuur, maar biedt géén eigen opslagplatform aan als dienst. → Tim valt waarschijnlijk niet direct onder deze wet.
⚠️ Je biedt zelf een platform aan waarbij klantdata opgeslagen wordt → opletten
Het wordt anders als jij een eigen SaaS-product of platform aanbiedt, waarbij klanten inloggen op jouw omgeving en hun gegevens worden opgeslagen in jouw systemen en die opslag is precies waarvoor ze voor jou betalen of jou inschakelen.
In dat geval ben jij in de ogen van de wet de dienstaanbieder, en kunnen de eEvidence-regels op jou van toepassing zijn.
Voorbeeld: Jacob heeft een eigen klantportaal gebouwd voor meerdere opdrachtgevers. Klanten van zijn opdrachtgevers loggen in op Jacobs platform, en al hun gegevens worden beheerd in zijn systemen. Opslag is hierbij de kern van wat hij levert. → In dit geval moet Jacob wel serieus kijken of hij hieronder valt.
🤔 De grijze zone: AI-diensten namens klanten
Steeds meer ondernemers passen AI toe namens hun klanten; gepersonaliseerde chatbots, geautomatiseerde analyses, slimme koppelingen. Als daarbij persoonsgegevens van eindklanten worden opgeslagen in systemen die jij beheert en aanbiedt als dienst, dan kan jij als dienstaanbieder worden gezien.
Dit is echt per situatie anders. De sleutelvraag blijft: is de opslag van die data een wezenlijk onderdeel van wat jij aanbiedt?
Wat moet je concreet doen?
- Je gebruikt tools van anderen (Supabase, AWS, etc.) voor je eigen werk→ Geen actie nodig de aanbieder van die tools regelt dit zelf.
- Je biedt zelf een platform of dienst aan met klantdata als kern→ Check of je onder de definitie van dienstaanbieder valt.
- Je valt er duidelijk onder→ Registreer je vóór 18 augustus 2026 in de Court Database (CDB).
- Je twijfelt→ Laat je adviseren door een IT-jurist.
Heb je een brief ontvangen van de ACM of het Ministerie van Justitie en Veiligheid? Dan is het duidelijk: je valt eronder en moet actie ondernemen.
Wat kost het als je niets doet?
De eEvidence-verordening voorziet in boetes van maximaal 2% van de wereldwijde jaaromzet. Bovendien moet een geldboete dwingend worden opgelegd als je niet voldoet aan een bevel tot het verstrekken of bewaren van informatie (artikel 16 lid 10 van de verordening). Dat is serieus geld, ook voor kleinere bedrijven.
Hoe blijf je op de hoogte?
Schrijf je in voor de nieuwsbrief van ECP Platform voor de InformatieSamenleving via eevidence.nl. Zij houden je op de hoogte van wanneer en hoe de registratie in de Court Database (CDB) opengaat. Dat kan nu nog niet de EU is het systeem aan het bouwen.
Kortom
De eEvidence-wet is er primair voor de grote spelers: providers, hostingbedrijven, cloud-aanbieders, grote platforms. Als kleine ondernemer die tools van anderen gebruikt, hoef je je waarschijnlijk geen zorgen te maken.
Maar bied jij zelf een platform of dienst aan waarbij opslag van klantdata de kern is van wat je levert? Dan is het verstandig om dit serieus te nemen — vóór augustus 2026.
Twijfel je? Praat erover. Wij kijken graag met je mee of je de juiste vragen stelt, en verwijzen je door naar een IT-jurist als dat nodig is.
Vragen over deze of andere wet- en regelgeving? Stuur ons gewoon een berichtje.
Dit blog is bedoeld als algemene informatie en is geen juridisch advies. Voor jouw specifieke situatie raden we aan een IT-jurist te raadplegen.