Jarenlang was de AVG de verordening die de compliance-agenda domineerde. Privacyteams zetten processen op, benoemden functionarissen voor gegevensbescherming (DPO’s), stelden verwerkingsregisters op en voerden gegevensbeschermingseffectbeoordelingen (DPIA’s) uit. Maar in 2026 is de AVG slechts één onderdeel van een steeds uitgebreider wordend regelgevingskader. De NIS2-richtlijn schrijft risicobeheer op het gebied van cyberbeveiliging voor. De EU AI-verordening vereist inventarisaties van AI-systemen en risicoclassificatie. De Wet op digitale diensten en de Wet op digitale markten leggen digitale platforms verplichtingen op inzake transparantie en eerlijkheid. Elke verordening heeft zijn eigen toepassingsgebied, definities, deadlines en handhavingsinstantie.
Het resultaat is een compliance-landschap dat geen enkel team in zijn eentje kan beheersen. En toch proberen de meeste organisaties volgens het IAPP Organizational Digital Governance Report 2024 deze verplichtingen nog steeds afzonderlijk te beheren – met aparte teams, aparte tools en aparte rapportagelijnen. Het rapport noemt dit het "analoge" volwassenheidsniveau en beschrijft hiermee de meerderheid van de ondervraagde organisaties.
Het probleem van analoog beheer
Het IAPP-rapport ondervroeg privacyprofessionals in diverse sectoren en constateerde dat de meeste organisaties werken met gescheiden beheersstructuren. Het privacyteam beheert de AVG. Het informatiebeveiligingsteam houdt zich bezig met NIS2 en incidentrespons. AI-beheer – voor zover dat al bestaat – is verspreid over IT, juridische afdelingen en afzonderlijke bedrijfsonderdelen die AI-tools hebben geïmplementeerd zonder centraal toezicht.
Deze gescheiden aanpak leidt tot drie problemen.
Ten eerste ontstaan er blinde vlekken. Een datadienst die persoonsgegevens verwerkt (binnen het toepassingsgebied van de AVG) kan ook een onderdeel van kritieke infrastructuur zijn (binnen het toepassingsgebied van NIS2) en gebruikmaken van AI-aangedreven analyses (binnen het toepassingsgebied van de AI-verordening). Als drie afzonderlijke teams deze dienst onafhankelijk van elkaar beoordelen, ziet elk team slechts zijn eigen deel. Niemand heeft zicht op het volledige risicobeeld.
Ten tweede leidt dit tot dubbel werk. Datamapping voor de AVG, inventarisaties van bedrijfsmiddelen voor NIS2 en registers van AI-systemen voor de AI-verordening bevatten vaak overlappende informatie over dezelfde diensten. Zonder coördinatie houden organisaties drie parallelle inventarissen bij die dezelfde realiteit vanuit verschillende invalshoeken beschrijven.
Ten derde vertraagt het de respons. Wanneer zich een beveiligingsincident voordoet, zorgt het NIS2-team voor de technische respons, beoordeelt het privacyteam of er sprake is van een datalek in het kader van de AVG, en moet iemand controleren of AI-systemen zijn getroffen. In een analoog bestuursmodel vinden deze beoordelingen achtereenvolgens plaats, waarbij informatie tussen teams wordt uitgewisseld via e-mails en vergaderingen. Bij een snel evoluerend incident is deze vertraging gevaarlijk.
Van analoog naar afgestemd
Het IAPP-rapport beschrijft drie volwassenheidsniveaus voor digitaal beheer:
Analoog. Beheerfuncties werken onafhankelijk van elkaar. Elk team heeft zijn eigen tools, zijn eigen risicoregister en zijn eigen rapportagelijn. Coördinatie vindt ad hoc plaats, meestal naar aanleiding van incidenten of audits. Dit is waar de meeste organisaties zich momenteel bevinden.
Uitgebreid. Teams beginnen gegevens te delen en te coördineren bij overlappende verplichtingen. Een gemeenschappelijke gegevensinventaris dient zowel voor AVG- als voor NIS2-doeleinden. Privacy- en beveiligingsteams houden gezamenlijke risicobeoordelingen. Verantwoordelijkheden op het gebied van AI-governance worden toegewezen, zelfs als de functie nog steeds is ingebed in bestaande teams. Uit het IAPP-onderzoek bleek dat 69% van de Chief Privacy Officers nu verantwoordelijkheden op het gebied van AI-governance draagt — een duidelijk teken dat augmented governance de norm aan het worden is op leidinggevend niveau, zelfs wanneer operationele processen achterblijven.
Afgestemd. Governance is bij opzet geïntegreerd. Eén enkele gegevens- en service-inventaris voedt de workflows voor privacy, beveiliging en AI-compliance. Bij risicobeoordelingen wordt gelijktijdig rekening gehouden met alle toepasselijke regelgeving. Rapportages aan het management bieden een uniform overzicht van de blootstelling aan regelgeving, in plaats van drie afzonderlijke dashboards. Er zijn maar weinig organisaties die dit niveau hebben bereikt, maar dit is de richting waarin men zich beweegt.
Waarom 2026 het omslagpunt is
Verschillende wettelijke deadlines vallen samen in 2025-2026, waardoor geïntegreerd governance een praktische noodzaak wordt in plaats van een ambitieus doel.
De omzettingstermijnen voor NIS2 zijn in oktober 2024 verstreken en de nationale handhaving wordt in alle EU-lidstaten opgevoerd. Organisaties die onder de regeling vallen, moeten aantonen dat zij cyberbeveiligingsrisicobeheer, incidentrapportage en beveiliging van de toeleveringsketen toepassen — verplichtingen die in belangrijke mate overlappen met de beveiligingsvereisten van de AVG onder artikel 32.
De eerste verplichtingen van de EU AI-verordening (verboden AI-praktijken) zijn vanaf februari 2025 van kracht, gevolgd door verplichtingen voor implementatiepartijen in augustus 2025 en augustus 2026. Organisaties moeten hun AI-systemen inventariseren, deze indelen naar risiconiveau, zorgen voor menselijk toezicht en het gebruik ervan documenteren – informatie die rechtstreeks aansluit bij bestaande inventarissen van datadiensten en DPIA-processen.
Dit zijn geen toekomstige vereisten. Het zijn huidige verplichtingen met handhavingsgevolgen.
Hoe geïntegreerd beheer er in de praktijk uitziet
De overgang van analoog naar afgestemd beheer vereist geen ingrijpende organisatorische herstructurering. Het begint met drie praktische stappen.
Stap 1: Eén gezamenlijke inventaris van gegevens en diensten. In plaats van afzonderlijke registers bij te houden voor privacy, beveiliging en AI, stelt u één inventaris van gegevensdiensten op. Documenteer voor elke dienst welke gegevens deze verwerkt (AVG), de beveiligingsstatus en kriticiteit ervan (NIS2), en of deze een AI-systeem gebruikt of vormt (AI-verordening). Deze enkele bron van waarheid elimineert dubbel werk en brengt afhankelijkheden tussen verschillende regelgevingen aan het licht.
Stap 2: Gelaagde risicobeoordeling. Zodra uw inventaris kenmerken uit meerdere regelgevingen omvat, kunt u bij uw risicobeoordelingen alle dimensies tegelijkertijd in aanmerking nemen. Een dienst die bijzondere persoonsgegevens verwerkt, geen multi-factor authenticatie heeft en een AI-model gebruikt voor geautomatiseerde beslissingen, vormt niet alleen een privacyrisico of een beveiligingsrisico — het is een samengesteld risico dat gecoördineerde risicobeperking vereist.
Stap 3: Gedeelde rapportage en beoordeling. Gebruik één enkel risicoregister dat verplichtingen uit verschillende regelgevingen markeert. Wanneer het management vraagt "waar lopen we risico's?", mag het antwoord niet vereisen dat drie afzonderlijke rapporten worden samengesteld. Readmodel® is ontworpen als een tool voor datamapping en AVG-naleving, maar de architectuur ervan ondersteunt van nature beheer op basis van meerdere regelgevingen. Elke datadienst in Readmodel® kan worden gedocumenteerd met:
- Gegevensitems en classificaties — welke persoonsgegevens worden verwerkt, met gevoeligheidsniveaus die de risicoscore bepalen
- Beveiligingsstatus — inlogtypes, multi-factor authenticatie, opslag van inloggegevens, versleuteling en naleving van back-upvoorschriften per dienst
- NIS2-attributen — kriticiteit van de dienst, beoordeling van de bedrijfscontinuïteit, herstelgereedheid en detectie van single points of failure via de veerkrachtmodule
- AI-verordening — AI-systeemvlaggen, risiconiveaus en documentatie van menselijk toezicht per dienst
- Rechtsgronden en bewaartermijnen — Documentatie op basis van artikel 6 van de AVG per gegevensitem, niet per dienst, voor een nauwkeurige compliance-mapping
Het risicoregister bundelt dit alles in één overzicht met concrete actiepunten. De veerkrachtmodule beoordeelt de bedrijfscontinuïteit en identificeert single points of failure. DPIA-tracking is ingebouwd in het risicoregister voor diensten die hoge of kritieke risiconiveaus bereiken.
Zo ziet afgestemd beheer er op operationeel niveau uit: één platform, één inventaris, meerdere compliance-perspectieven toegepast op dezelfde gegevens.
De kosten van het afwachten
Organisaties die vasthouden aan analoog governance — afzonderlijke spreadsheets voor de AVG, afzonderlijke vragenlijsten voor NIS2 en geen systematische AI-inventaris — zullen met toenemende wrijving te maken krijgen naarmate de handhaving in alle drie de regelgevingsdomeinen wordt geïntensiveerd. De overlappingen tussen deze regelgevingen zijn niet toevallig. EU-wetgevers hebben ze ontworpen om samen te werken, met gedeelde concepten zoals risicogebaseerde benaderingen, verantwoordingsprincipes en documentatievereisten.
De vraag is niet óf u uw governance moet integreren. De vraag is óf u dit proactief doet, op uw eigen voorwaarden, of reactief, onder druk van auditors, toezichthouders of incidenten.
Het IAPP-rapport maakt de richting duidelijk. De organisaties die zullen floreren in het tijdperk van meervoudige regelgeving zijn degenen die de overstap hebben gemaakt van analoog naar afgestemd – en zij zijn begonnen met het in kaart brengen van wat zij in huis hebben.