Deze website gebruikt cookies

We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.

Onze privacyverklaring:

Natascha van Duuren

Natascha van Duuren

Advocaat & Partner

IT, Privacy & Cybersecurity

Natascha van Duuren heeft 25 jaar ervaring op het gebied van IT en leidt het IT, Privacy & Cybersecurity Team dat bestaat uit specialisten op het gebied van privacy, compliance, aanbestedingen, IT-contractenrecht en aansprakelijkheidsrecht. In haar dagelijkse praktijk adviseert zij cliënten over outsourcing- en cloud sourcing-projecten, IT-contracten, IT-inkoop, databescherming/gegevensbescherming en cybersecurity.

Dankzij haar analytische vermogen, projectmatige aanpak en grote toewijding is ze de vaste sparringpartner van grote nationale en internationale bedrijven en instellingen. Ze is vaak betrokken bij IT-gerelateerde geschillen en de oplossing daarvan. Daarnaast leidt zij het Cybersecurity Team van De Clercq dat cliënten helpt tijdig te voldoen aan alle wet- en regelgeving die op hen afkomt en adviseert zij cliënten hoe zij cyberrisico’s kunnen beperken. Als cliënten onverhoopt toch getroffen worden door een incident, dan begeleidt zij hen bij de afhandeling daarvan.

Opleiding

Natascha studeerde aan de Vrije Universiteit Amsterdam en voltooide de postacademische specialisatieopleidingen IT-recht (Grotius, 2002) en Privacy en Persoonsgegevens (TILT, 2012) en de postacademische specialisatieopleiding Cybercrime & Cybersecurity aan de Leiden Law Academy. Zij is lid van VIRA (Vereniging Informaticarecht Advocaten), NVvIR (Nederlandse Vereniging voor Informatietechnologie en Recht), VPR (Vereniging Privacyrecht), VPR-A (Vereniging Privacyrecht Advocaten), VAI-A (Vereniging AI Advocaten) en de Nederlandse AI-coalitie.

Carrière

Natascha is haar carrière begonnen als adjunct-onderzoeker bij het Instituut voor Informatica en Recht van de Vrije Universiteit Amsterdam. Medio 1998 maakte ze als advocaat de overstap naar De Clercq, waar ze in 2005 partner werd. Naast haar werk als advocaat is ze co-auteur en redacteur van een reeks boeken met de titel “Multidisciplinaire aspecten van…” over de onderwerpen: blockchain, AI, COVID-19-apps en digitale veiligheid. Daarnaast is zij bestuurslid van de NGO Climbing the Right Tree, die zich inzet voor het creëren van carrièremogelijkheden voor jongeren in Afrika door middel IT-onderwijs.

De dagelijkse praktijk

In haar dagelijkse praktijk adviseert Natascha nationale en internationale cliënten over outsourcing- en cloud sourcing projecten, IT-transacties en IT-aanbestedingen. Ze is vaak betrokken bij IT-gerelateerde geschillen en de oplossing daarvan. Zij begeleidt cliënten bij compliancy trajecten op het gebied van privacy en security, waaronder de implementatie van de Network and Information Systems Directive (NIS2-richtlijn). Daarnaast maakt zij regelmatig onderdeel uit van een incident response team bij cyberincidenten, waarbij zij de lead heeft in de behandeling van de juridische aspecten en de afhandeling van een cyberincident.

Selected cases

Lead counsel voor een Nederlandse overheidsorganisatie in een historische NAI arbitragezaak over een mislukt overheids IT-project

Het IT-project ging om de bouw van het zogenoemde Multi Regelingen Systeem van de Sociale Verzekeringsbank. De arbitrage heeft geresulteerd in een veroordeling van de IT-leverancier tot betaling van tientallen miljoenen euro’s schadevergoeding.

Lead counsel voor diverse semi-overheidsorganisaties en commerciële (IT-)dienstverleners in de nasleep van grootschalige ransomware-aanvallen

Teamlid van incident response team in diverse grootschalige cyberincidenten. Daarbij wordt steeds nauw samengewerkt met de Data Protection Officer en CISO van de cliënt, externe forensisch specialisten en toezichthoudende instanties. Onze bijstand omvat doorgaans de melding aan de Autoriteit Persoonsgegevens, het informeren van de getroffenen en het adviseren van de getroffen organisatie over de mogelijkheid om externe derden aansprakelijk te stellen voor het cyberincident en de daaruit voortvloeiende schade.

Lead counsel voor een gerenommeerde zorginstelling bij de migratie van (zorg)applicaties naar de Microsoft Azure cloud en de uitbesteding van managed services infrastructure

Ons werkzaamheden omvatten zowel de transitie-, migratie- en transformatiefase als applicatiebeheer in de cloud. Onderdeel van ons advies was ook het uitvoeren van een Data Protection Impact Assessment (DPIA), Data Transfer Impact Assessment (DTIA) en het voeren van onderhandelingen over de data processing agreement.

Lead counsel in een compliancytraject van een Nederlands fintech bedrijf

Naast advisering over toepasselijke (fintech) wet- en regelgeving, had de advisering betrekking op een End User License Agreement, privacy statement, general terms and conditions, het opzetten van een juridische structuur en de overdracht van IP-rechten.

Lead counsel bij de Europese aanbesteding van een zorgmanagementsysteem (en gerelateerde implementatie- en consultancydiensten)

Het zorgmanagement systeem betrof een systeem dat door meer dan 8.000 medewerkers wordt gebruikt en waarmee gevoelige persoonsgegevens van meer dan 100.000 personen worden verwerkt. Naast de aanbestedingsrechtelijke aspecten en contractonderhandelingen heeft de focus bij de advisering gelegen op privacy- en securityrechtelijke aspecten.

Lead counsel tijdens onderhandelingen in een geschil met een gevestigde low-code platformleverancier in de Verenigde Staten

Geschil over de contractvoorwaarden voor verlenging van het contract. We hebben de klant bijgestaan in de onderhandelingen door een strategie voor de onderhandelingen te ontwerpen en de klant te helpen bij het onderhandelen over een acceptabele verlengingsovereenkomst, inclusief afspraken over de gebruikte licentiemetriek, maximumtarieven, servicekredieten en exitregelingen.

Lead counsel bij diverse implementatietrajecten van de Network and Information Systems Directive (NIS2-richtlijn)

De NIS2-richtlijn verplicht bedrijven en instelling die onder de werking van de NIS2 vallen, onder meer om risicobeheersmaatregelen te nemen en  governancestructuren en meldplicht procedures in te richten. Onze advisering begint veelal met een GAP-analyse om in kaart te brengen waar de organisatie staat. Vervolgens wordt een stappenplan opgesteld om tijdig compliant te zijn.

Nevenactiviteiten

2011 – heden Koninklijke Nederlandse Vereniging van Informatieprofessionals (KNVI) – Fellow en Voorzitter Interessegroep IT-recht
2013 – 2017 Gastdocent minor Recht en Ethiek Gezondheidswetenschappen VU medisch centrum  “Juridische aspecten van eHealth”
2020 – heden Namens het KNVI lid van de Nederlandse AI Coalitie (Artificial Intelligence (AI) wordt sterk bepalend voor onze toekomstige welvaart en welzijn. De NL AIC is een publiek-privaat samenwerkingsverband waarbij overheid, bedrijfsleven, onderwijs- en onderzoeksinstellingen en maatschappelijke organisaties zich inzetten om AI-ontwikkelingen in Nederland te versnellen en AI-initiatieven in Nederland met elkaar te verbinden.)
2024 – heden Externe deskundige voor de Nederlandsche Bank
2024 – heden Lid van de Vereniging van AI-Advocaten (VAIA)

Rechtsgebiedenregister

Natascha van Duuren heeft in het rechtsgebiedenregister van de Nederlandse orde van advocaten de volgende rechtsgebieden geregistreerd:

• Informatierecht/IT recht
• Privacyrecht

Deze registratie verplicht haar elk kalenderjaar volgens de normen van de Nederlandse orde van advocaten tien opleidingspunten te behalen op ieder geregistreerd rechtsgebied.

Blijf up-to-date

De laatste ontwikkelingen

IT, Privacy & Cybersecurity

ICT Projecten deel 11: Outsourcing van IT

28 april 2025

Uitbesteden is nog steeds hot is. Uit een recent onderzoek blijkt dat de Nederlandse IT-outsourcingmarkt zal blijven groeien. Bijna de helft van de respondenten geeft aan dat ze de komende twee jaar in een hoger tempo te zullen uitbesteden. Dit is momenteel het hoogste niveau in Europa. De plannen om te insourcen zijn gehalveerd, van 16% naar 8%. De financiële dienstverleningssector voorspelt de meeste outsourcinggroei: 64% van de organisaties is van plan meer uit te besteden. De hoofdredenen om te gaan outsourcen zijn: focus op kernactiviteiten, terugdringen van IT-kosten en verbetering van de IT-ondersteuning. Door outsourcing kan je focussen op waar je sterk in bent en ondersteunende taken, zoals IT, overdragen aan partijen die dáár sterk in zijn en ook schaal in hebben. Door die schaal kunnen deze partijen meer kwaliteit leveren tegen lagere kosten. Toch zijn er ook bedrijven die aarzelen of juist gas willen terugnemen. Die aarzeling is niet onbegrijpelijk. IT-outsourcing blijft complex. Ook vanuit juridisch oogpunt. 

Lees meer

IT, Privacy & Cybersecurity

Hoe bescherm je persoonsgegevens als je blockchain wilt gebruiken?

28 april 2025

De wortels van het moderne privacyrecht liggen in de jaren zeventig van de vorige eeuw en ontstaan als duidelijk wordt met welk gemak computersystemen grote hoeveelheden gegevens opslaan en verder verwerken. De Algemene verordening gegevensbescherming (AVG) is bewust technologieneutraal geïnformeerd. Een nieuwe technologie moet in beginsel gewoon ‘in te passen’ zijn in deze bestaande rechtsregels. Toch stelt blockchain ons voor uitdagingen. Enerzijds is er sprake van een nieuw en interessant gegevensverwerkings model, waarbij individuen meer controle hebben over hun persoonsgegevens. Anderzijds lijkt een aantal bijzondere karakteristieke lastig verenigbaar met de kernbeginselen uit het privacyrecht. Mijn collega Jeroen van Helden schreef hier een interessant hoofdstuk over in de KNVI bundel ‘Multidisciplinaire aspecten van blockchain’.

Lees meer

IT, Privacy & Cybersecurity

ICT Projecten deel 9: De verwerkersovereenkomst

1 april 2025

Er is bijna geen IT-project voor te stellen waarbij geen persoonsgegevens worden verwerkt. Op het moment dat persoonsgegevens worden verwerkt, zijn zowel de verwerkingsverantwoordelijke als de verwerker op grond van artikel 28 AVG verplicht om een verwerkersovereenkomst op te stellen. Naleving van deze wettelijke verplichting is van belang, al is het maar dat omdat het enkele feit dat geen verwerkersovereenkomst is gesloten kan leiden tot een boete van de Autoriteit Persoonsgegevens. Wanneer ben je nu ‘verwerkingsverantwoordelijke’ of ‘verwerker’ en welke eisen worden aan een verwerkersovereenkomst gesteld?

Lees meer