Jarenlang was de AVG de wet die de compliance-agenda domineerde. Privacyteams bouwden processen, stelden FG's aan, stelden verwerkingsregisters op en voerden DPIA's uit. Maar in 2026 is de AVG slechts een onderdeel van een groeiende regelgevingsmatrix. De NIS2-richtlijn vereist cybersecurityrisicobeheer. De EU AI Act vereist inventarisaties en risicoclassificatie van AI-systemen. De Digital Services Act en Digital Markets Act leggen transparantie- en eerlijkheidsverplichtingen op aan digitale platforms. Elke wet heeft zijn eigen reikwijdte, definities, deadlines en handhavingsautoriteit.
Het resultaat is een compliance-landschap dat geen enkel team alleen kan beheren. En toch proberen de meeste organisaties deze verplichtingen geïsoleerd te beheren — met aparte teams, aparte tools en aparte rapportagelijnen, zo blijkt uit het IAPP Organizational Digital Governance Report 2024. Het rapport noemt dit het "analoge" volwassenheidsniveau, en het beschrijft de meerderheid van de ondervraagde organisaties.
Het analoge bestuursprobleem
Het IAPP-rapport ondervroeg privacyprofessionals uit diverse sectoren en ontdekte dat de meeste organisaties werken met gescheiden bestuursstructuren. Het privacyteam beheert de AVG. Het informatiebeveiligingsteam behandelt NIS2 en incidentrespons. AI-governance — als het al bestaat — is verspreid over IT, juridische zaken en individuele bedrijfsonderdelen die AI-tools hebben geadopteerd zonder centraal toezicht.
Deze gesegmenteerde aanpak levert drie problemen op.
Ten eerste ontstaan er blinde vlekken. Een datadienst die persoonsgegevens verwerkt (AVG-scope) kan ook een kritiek infrastructuuronderdeel zijn (NIS2-scope) en AI-gestuurde analyses gebruiken (AI Act-scope). Als drie aparte teams deze dienst onafhankelijk beoordelen, ziet elk team alleen zijn eigen deel. Niemand ziet het volledige risicobeeld.
Ten tweede ontstaat er duplicatie. Gegevensverwerkingsregisters voor de AVG, asset-inventarisaties voor NIS2 en AI-systeemregisters voor de AI Act bevatten vaak overlappende informatie over dezelfde diensten. Zonder coördinatie onderhouden organisaties drie parallelle inventarisaties die dezelfde werkelijkheid vanuit verschillende hoeken beschrijven.
Ten derde vertraagt het de respons. Bij een beveiligingsincident behandelt het NIS2-team de technische respons, beoordeelt het privacyteam of het een datalek onder de AVG betreft, en moet iemand controleren of AI-systemen zijn getroffen. In een analoog bestuursmodel verlopen deze beoordelingen achtereenvolgens, met informatie-uitwisseling via e-mails en vergaderingen. Bij een snel escalerend incident is deze vertraging gevaarlijk.
Van analoog naar geïntegreerd
Het IAPP-rapport beschrijft drie volwassenheidsniveaus voor digitaal bestuur:
Analoog. Bestuursfuncties opereren onafhankelijk. Elk team heeft eigen tools, een eigen risicoregister en een eigen rapportagelijn. Coördinatie vindt ad hoc plaats, meestal naar aanleiding van incidenten of audits. Dit is waar de meeste organisaties vandaag staan.
Versterkt. Teams beginnen gegevens te delen en samen te werken aan overlappende verplichtingen. Een gemeenschappelijke data-inventarisatie dient zowel AVG- als NIS2-doeleinden. Privacy- en beveiligingsteams houden gezamenlijke risicobeoordelingen. AI-governanceverantwoordelijkheden worden toegewezen, zelfs als de functie nog is ingebed in bestaande teams. Uit het IAPP-onderzoek bleek dat 69% van de CPO's inmiddels AI-governanceverantwoordelijkheden draagt — een duidelijk teken dat versterkt bestuur op leiderschapsniveau de norm wordt, zelfs wanneer operationele processen achterblijven.
Geïntegreerd. Bestuur is integraal opgezet. Eén data- en dienstinventarisatie voedt privacy-, beveiligings- en AI-complianceworkflows. Risicobeoordelingen houden rekening met alle toepasselijke regelgeving tegelijk. Rapportage aan het management biedt een uniform beeld van regelgevingsrisico's, niet drie aparte dashboards. Weinig organisaties hebben dit niveau bereikt, maar het is de richting van ontwikkeling.
Waarom 2026 het kantelpunt is
Meerdere regelgevingsdeadlines komen samen in 2025-2026, waardoor geïntegreerd bestuur een praktische noodzaak wordt in plaats van een ambitie.
NIS2-omzettingsdeadlines verstreken in oktober 2024, en nationale handhaving wordt in heel de EU opgeschaald. Organisaties die in scope vallen moeten cybersecurityrisicobeheer, incidentrapportage en supply-chainbeveiliging aantonen — verplichtingen die aanzienlijk overlappen met de beveiligingseisen van de AVG onder artikel 32.
De eerste verplichtingen van de EU AI Act (verboden AI-praktijken) zijn van toepassing sinds februari 2025, met verplichtingen voor gebruikers vanaf augustus 2025 en augustus 2026. Organisaties moeten hun AI-systemen inventariseren, classificeren op risiconiveau, menselijk toezicht waarborgen en gebruik documenteren — informatie die direct aansluit bij bestaande datadienst-inventarisaties en DPIA-processen.
Dit zijn geen toekomstige vereisten. Het zijn huidige verplichtingen met handhavingsconsequenties.
Hoe geïntegreerd bestuur er in de praktijk uitziet
De stap van analoog naar geïntegreerd bestuur vereist geen grote organisatorische herstructurering. Het begint met drie praktische stappen.
Stap 1: Uniforme data- en dienstinventarisatie. In plaats van aparte registers voor privacy, beveiliging en AI, bouw je één inventarisatie van datadiensten. Documenteer per dienst welke gegevens worden verwerkt (AVG), de beveiligingsstatus en kritikaliteit (NIS2), en of de dienst een AI-systeem gebruikt of vormt (AI Act). Deze single source of truth elimineert duplicatie en onthult regelgevingsoverschrijdende afhankelijkheden.
Stap 2: Gelaagde risicobeoordeling. Zodra je inventarisatie multiregulatoire attributen bevat, kunnen risicobeoordelingen alle dimensies tegelijk meenemen. Een dienst die bijzondere persoonsgegevens verwerkt, geen multifactorauthenticatie heeft en een AI-model gebruikt voor geautomatiseerde besluiten is niet alleen een privacyrisico of een beveiligingsrisico — het is een samengesteld risico dat gecoördineerde mitigatie vereist.
Stap 3: Gedeelde rapportage en review. Gebruik één risicoregister dat verplichtingen over regelgevingen heen signaleert. Als het management vraagt "waar zijn we kwetsbaar?", mag het antwoord niet afhangen van het samenvoegen van drie aparte rapporten. Toegangsbeoordelingen, DPIA-tracking, back-upcompliance en AI-systeemclassificatie moeten in één overzicht samenkomen.
Hoe Readmodel® geïntegreerd bestuur ondersteunt
Readmodel® is ontworpen als data-mapping- en AVG-compliancetool, maar de architectuur ondersteunt van nature multiregulatorisch bestuur. Elke datadienst in Readmodel® kan worden gedocumenteerd met:
- Data-items en classificaties — welke persoonsgegevens worden verwerkt, met gevoeligheidsniveaus die de risicoscore bepalen
- Beveiligingsstatus — inlogtypen, multifactorauthenticatie, wachtwoordopslag, versleuteling en back-upcompliance per dienst
- NIS2-attributen — dienstkritikaliteit, bedrijfscontinuïteitsbeoordeling, herstelgereedheid en detectie van single points of failure via de veerkrachtmodule
- AI Act-classificatie — AI-systeemvlaggen, risiconiveaus en documentatie van menselijk toezicht per dienst
- Juridische grondslagen en bewaartermijnen — AVG artikel 6-documentatie per data-item, niet per dienst, voor nauwkeurige compliancemapping
Het risicoregister bundelt dit alles in één overzicht met actiegerichte hiaten. De veerkrachtmodule beoordeelt bedrijfscontinuïteit en identificeert single points of failure. DPIA-tracking is ingebouwd in het risicoregister voor diensten die een hoog of kritiek risiconiveau bereiken.
Dit is hoe geïntegreerd bestuur eruitziet op operationeel niveau: één platform, één inventarisatie, meerdere compliancelenzen op dezelfde gegevens.
De kosten van afwachten
Organisaties die doorgaan met analoog bestuur — aparte spreadsheets voor de AVG, aparte vragenlijsten voor NIS2 en geen systematische AI-inventarisatie — zullen toenemende wrijving ervaren naarmate handhaving over alle drie de regelgevingsdomeinen intensiveert. De overlap tussen deze regelgevingen is niet toevallig. EU-wetgevers hebben ze ontworpen om samen te werken, met gedeelde concepten als risicogebaseerde benaderingen, verantwoordingsbeginselen en documentatievereisten.
De vraag is niet of je je bestuur moet integreren. De vraag is of je het proactief doet, op je eigen voorwaarden, of reactief, onder druk van auditors, toezichthouders of incidenten.
Het IAPP-rapport maakt de richting duidelijk. De organisaties die floreren in het multiregulatoire tijdperk zijn degenen die van analoog naar geïntegreerd bewogen — en ze begonnen met het in kaart brengen van wat ze hebben.