Waarom bestuurders zich nu moeten voorbereiden op een nieuwe realiteit in databescherming – BRON https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:52023PC0348 – Danny Zeegers – Harry VM Van Der Plas
Wat op bedrijven afkomt in 2026 is geen nieuwe privacywet. Er komen geen extra grondslagen, geen nieuwe rechten voor burgers en geen bijkomende verplichtingen voor bedrijven, maar er verandert voor bestuurders een fundamenteel iets.
Wat de Europese Commissie met de nieuwe handhavingsverordening bij de AVG doet, is niet het herschrijven van de regels — maar het sluiten van de achterdeur. Jarenlang konden privacykwesties blijven hangen in procedurele mist: onduidelijke bevoegdheden, trage afhandeling, nationale verschillen. Dat mooie liedje is nu aan zijn laatste refrein.
De boodschap aan organisaties is helder: als privacy niet werkt in de praktijk in jou onderneming, databescherming een lachertje is zal dat sneller en zichtbaarder gevolgen hebben. Niet langer lachen met Google maar jou bedrijf wordt onderwerp van hoongelach van je plaatselijke concurrenten en je mag alvast zware boetes budgeteren x% van je BNP.
Van abstract risico naar bestuurlijke realiteit
Voor veel raden van bestuur was GDPR tot nu toe een onderwerp dat periodiek terugkwam op de agenda in deze vorm:
“Zijn we compliant?”
“Hebben we een DPO?”
“Zijn er incidenten geweest?”
Die vragen blijven relevant, maar ze zijn niet langer voldoende. De nieuwe handhavingsregels maken van databescherming een bestuurlijk proces, geen juridische randzaak. Klachten van burgers worden voortaan uniform behandeld in heel Europa. Toezichthouders moeten sneller samenwerken. Meningsverschillen worden eerder beslecht. En organisaties krijgen weliswaar betere verdedigingsrechten, maar ook minder tijd en ruimte om achter procedures te schuilen.
In de CATS Dirigent beleidsdocumenten is al gesleuteld om de beleidsdoelstellingen hierop aan te passen en als bestuur je 1000 dagen realiteit helpen in kaart te brengen. Daarover zeggen we hieronder meer. Bij audits in 2026 kwestie NIS2 of ISO 27001 heb je best je verhaal klaar.
Voor bestuurders betekent dit dus één ding: privacy komt dichter bij governance, risico en reputatie.
Kleine bedrijven: “Wij zitten toch niet in scope?”
Dat was jarenlang een geruststellende gedachte. In de praktijk blijkt ze steeds minder houdbaar. Kleine organisaties zijn misschien geen hoofdrolspelers in grensoverschrijdende onderzoeken, maar ze maken wel deel uit van ketens, platformen en dienstverleningsmodellen. Een klacht bij een grotere partner kan hen plots meesleuren in een formeel traject.
Voor boards van kleinere organisaties zit het risico niet in boetes, maar in operationele verstoring: vragen van toezichthouders, contractuele druk, reputatieschade. Privacybeleid dat enkel “op papier klopt” volstaat niet meer.
Middelgrote ondernemingen: de kwetsbare middenlaag
Voor middelgrote bedrijven is de impact het grootst. Ze zijn groot genoeg om interessant te zijn voor toezichthouders, maar vaak nog niet volwassen genoeg in hun governance. De nieuwe realiteit maakt duidelijk dat:
- klachten sneller escaleren,
- procedures transparanter worden,
- en dat inconsistent privacybeheer zichtbaar wordt.
Besturen in deze categorie zullen moeten erkennen dat databescherming geen IT- of legal-dossier meer is, maar een cross-functioneel stuurvraagstuk. Wie dat nalaat, loopt het risico verrast te worden — niet door de wet, maar door de handhaving.
Grote ondernemingen: voorspelbaarder, maar onverbiddelijk
Voor grote, internationale organisaties brengt de hervorming iets paradoxaal: meer rechtszekerheid én meer druk. De regels worden uniformer. De rol van de leidende toezichthouder wordt duidelijker. Maar tegelijk verdwijnen de vertragingen en het strategisch uitstellen. Als er iets misloopt, komt het sneller op tafel — en sneller tot een besluit.
Voor boards betekent dit dat privacy governance net zo volwassen moet zijn als financiële of operationele governance. Niet omdat de wet dat vraagt, maar omdat de snelheid van besluitvorming toeneemt.
De ongemakkelijke waarheid over de DPO
In veel organisaties bestaat een stille paradox: De DPO weet wat de GDPR/AVG zegt, maar krijgt ze niet toegepast. De nieuwe handhavingsverordening verandert dat spanningsveld. Niet door de DPO meer verantwoordelijk te maken, maar door duidelijk te maken waar het probleem zit: niet bij kennis, maar bij mandaat en structuur.
Besturen zullen zich moeten afvragen waarom hun DPO een adviseur zonder stuurkracht is als een naakte politieman zonder wapens tussen een bende politie hatende betogers. Waarom heeft u nagelaten van de DPO een regisseur van gegevensbescherming te maken en is databescherming ver na 18 mei 2018 nog steeds een te onderzoeken feature en niet ingebed in governance en bedrijfsrisico beheer.
Zonder die herpositionering zal de organisatie blijven steken in goede bedoelingen en slechte uitvoering. U kent nu de gevolgen.
Wat bestuurders nu moeten doen
De kernvraag is niet: “Zijn we compliant?” De echte vraag is: “Kunnen wij uitleggen, aantonen en verdedigen hoe privacy in onze organisatie werkt?”Dat vraagt geen paniekmaatregelen, maar wel leiding geven anno 2026 in de vorm van het uitzetten van duidelijke verantwoordelijkheden, aantoonbare besluitvorming en beleid dat niet alleen geschreven, maar toegepast is.
Denk ook aan je laks GDPR/AVG software ontwikkelingsbeleid!
In de praktijk ligt het falen van het anoniem maken van privé gegevens en het tijdig beschermen en overhevelen naar een zwaar bewaakt archief zelden bij kwade wil, maar doordat nieuwe softwareprojecten sneller worden opgeleverd dan ze worden doordacht. Privacy wordt te vaak pas bekeken wanneer de applicatie al live staat, data al circuleert en koppelingen al zijn gelegd. Architectuurkeuzes worden gemaakt zonder dataminimalisatie, logging wordt ontworpen voor functionaliteit in plaats van verantwoording, en testomgevingen draaien vrolijk op productiedata.
Wat begon als “tijdelijke oplossing” groeit uit tot structureel risico. AVG-matig belandt dit in de kast als een ongemakkelijke waarheid: ontbrekende of achteraf opgestelde DPA’s, DPIA’s die nooit zijn uitgevoerd of niet meer aansluiten op de realiteit, en privacybeleid dat wel bestaat maar het systeem nooit heeft gezien. Met de nieuwe handhavingsrealiteit wordt die kast niet langer gesloten gehouden — ze gaat open, precies op het moment dat iemand anders ernaar kijkt.
In de logica van de CATS Dirigent 1000-dagenregel is dit geen sprint, maar een transitie. Wie vandaag begint met bijsturen, hoeft morgen niet te reageren. De nieuwe GDPR volwassenheidsfase betekent dat je serieus aan je Privacybeleid moet werken. Je DPA’s naar toepassing sturen en je DPO stopt met uitleggen en in je GDPR tuin begint te planten en te oogsten.
De AVG wordt niet strenger. Maar Europa wil wel dat ze vanaf 2026 wel serieus genomen wordt. Voor raden van bestuur is dit het moment om databescherming niet langer te zien als compliancekostenpost, maar als onderdeel van goed bestuur. Wie die stap zet vóór de bekrachtiging, zal de handhaving ervaren als beheersbaar. Wie wacht, zal ze ervaren als onvermijdelijk.
CATS Dirigent – de 1000-dagenregel toegepast
Binnen de CATS Dirigent-methodiek betekent deze verordening dat privacy geen “quick win” meer is, maar een gestuurde transitie:
Fase 0–100 dagen | Stabiliseren
- Herijk DPA-templates: focus op procedure, niet alleen risico
- Actualiseer privacybeleid: wie doet wat bij klachten en onderzoeken?
- Identificeer grensoverschrijdende verwerkingen
Fase 100–365 dagen | Operationaliseren
- Koppel DPA’s aan:
- incident response
- klachtenafhandeling
- besluitvormingslogboeken
- Train DPO’s en privacy leads in procedurele AVG-handhaving
Fase 365–1000 dagen | Verankeren
- Integreer privacy governance in:
- enterprise risk management
- contractbeheer
- assurance (ISO 27001 / SOC 2 / NIS2)
- Privacy wordt “business as usual”, niet “DPO-territorium”
Slot – Nog even samengevat – Wat verandert er nu echt?
Er komt geen nieuwe AVG. Geen extra beginselen, geen bijkomende verplichtingen op papier.
Wat wél verandert, is de manier waarop de bestaande regels worden afgedwongen.
De nieuwe verordening maakt een einde aan de traagheid en versnippering die jarenlang ruimte boden voor uitstel en interpretatie. Procedures worden sneller, strakker en voorspelbaarder. Klachten van burgers krijgen een vaste vorm en een vaste plaats in het proces. Organisaties krijgen betere verdedigingsrechten, maar verliezen tegelijk de mogelijkheid om tijd te winnen via procedurele omwegen.
Voor bedrijven betekent dit een fundamentele verschuiving: privacy-non-compliance wordt niet inhoudelijk zwaarder, maar wel sneller zichtbaar, toetsbaar en sanctioneerbaar.
Kleine ondernemingen kunnen zich niet langer verschuilen achter hun omvang. Ze zijn misschien zelden leidend, maar steeds vaker onderdeel van ketens en platformen waarin privacyfouten zich doorvertalen. Informele afhandeling verdwijnt; ad-hoc privacybeheer wordt een risico.
Middelgrote organisaties bevinden zich in de gevarenzone. Ze zijn groot genoeg om in beeld te komen, maar vaak nog niet volwassen genoeg in hun governance. Hier prikt de nieuwe handhaving systematisch door papier-compliance heen en dwingt ze uitvoering af.
Voor grote en internationale ondernemingen wordt privacy eindelijk voorspelbaar — maar onverbiddelijk. Minder forum-shopping, meer harmonisatie en snellere escalatie maken van databescherming een volwaardig bestuursdossier. DPA’s worden strategische stuurinstrumenten, privacybeleid een toetssteen voor governancekwaliteit.
De conclusie is eenvoudig, maar ongemakkelijk:
wie privacy niet bestuurt, zal het voortaan moeten verantwoorden.
