AVG bestaat uit een aantal open normen van Europese regelgeving om verplicht compliant om te gaan met data en persoonsgegevens en werd in 2018 ingevoerd in alle Europese landen met rechtstreekse werking. Organisaties dienen sindsdien aan een flink aantal eisen te voldoen, zo niet, werd gedreigd met hoge boetes, opgelegd door de landelijke toezichthouder, de Autoriteit Persoonsgegevens (AP).
De Juiste maatregelen werden in een rap tempo genomen. Zoals een privacy beleid, een privacy statement, een verwerkingsregister, verwerkersovereenkomsten om aan alle minst noodzakelijke verplichtingen aantoonbaar te voldoen. een vooral werden veel DPIA’s uitgevoerd.
En nu acht jaar later, gaat het echt over AVG proof 2026 in de praktijk.
AVG maatregelen staan niet op zichzelf, zijn niet alleen operationeel bedoeld of bekend bij een 2e lijn, de IT afdeling of bij de jurist. De AVG gaat over principle driven – open normen structuur en is juist niet een rule based- driven instrument. Voldoen aan de (interne) regels is niet voldoende.
De AVG is gebaseerd op open normen en juiste belangenafweging
Gelet op de steeds sneller gaande digitale ontwikkelingen, waarmee we te maken hebben, zoals Chat GTP, algoritmes, ‘internet of things’ en daarmee het gevaar van fraude, ID diefstal of hack van systemen, is de AVG ook niet gebeiteld in stenen regeltjes, maar bestaat uit open normen.
De omstandigheden veranderen en daarmee is AVG compliant nooit af, maar dat hoeft ook niet!
Open normen, (zoals bijvoorbeeld het noodzakelijkheidsbeginsel), geeft een kader om zelf na te denken over de eigen praktijk, de specifieke omstandigheden en risico’s zelf te kunnen beoordelen en adviezen te geven, zodat verwerkingen van persoonsgegevens, voldoen aan de AVG.
Door bijvoorbeeld (uit mediation) de bekende 5 W (en 1H)-vragen te stellen blijft de organisatie AVG Proof in 2026:
- Wie: van wie worden de persoonsgegevens verwerkt?
- Wat: in welke categorieën vallen de persoonsgegevens? (minimale gegevensverwerking, dus welke soorten gegevens zijn strikt noodzakelijk)
- Wanneer: wat is de bewaartermijn? (opslagbeperking en gegevens niet langer bewaren dan noodzakelijk voor het doel)
- Waarom: wat is het doeleinde en wat is de wettelijke grondslag? (rechtmatigheid, behoorlijkheid en transparantie)
- Waar: waar worden de gegevens opgeslagen?
- Hoe: op welke manier worden de gegevens verwerkt en zijn er minder ingrijpende manieren ? (subsidiariteit)
Door samen deze praktische vragen te blijven stellen en vooral zelf te beantwoorden wordt handen en voeten gegeven aan het privacy en security beleid. Samen met alle interne en externe stakeholders die daarbij betrokken zijn.
Daarmee is AVG proof niet meer ” rule based- driven” zoals in in 2018 maar principle driven anno 2026 en komt daarmee op een volwassen niveau in risicobeheer.
De open normen in de AVG zorgen er juist voor dat veel wel kan, mits over nagedacht (5 W’s en 1 H)
Niet angst voor hoge boetes of niet voldoen aan de wet of voor administratieve lasten, maar vanuit een vanzelfsprekende gevoelde noodzaak om zorgvuldig met data en persoonsgegevens om te willen gaan.
AVG proof 2026 is geen dode letterwet
De AVG kenmerkt zich juist door, het kan, mits (er echt over is nagedacht, juist beargumenteerd en in een afweging van de wederzijdse belangen: in plaats van mag niet en pas op! Daarmee hoef je ook geen jurist te zijn of een IT risk specialist, maar beschikt over de juiste kennis en ervaring van de organisatie en haar processen en de 5 W’s weten te stellen (omdat het bij je dagelijkse werk hoort of nu om mensen of data gaat).
Optimaal privacy beleid kenmerkt zich door:
- Open normen: De W-vragen regelmatig (laten) stellen en door iedereen die werkt met persoonsgegevens. de 5 W’s checken en weer verder, maakt dat een organisatie AVG proof is en blijft!
- Juiste mensen aan het stuur: privacy beleid en uitvoering is juist niet alleen het werkterrein van juridische en IT data specialisten. de verantwoordelijkheid in de AVG ligt daarom uitdrukkelijk bij directie en management (de governance) in privacy proof anno 2026.
- Praktische Privacy Sessies regelmatig organiseren, de interne samenwerking dwars door de gehele organisatie heen stimuleren, om van elkaar te leren en te groeien.
- Regelmatige bijsturing, evaluatie en auditing van technische beveilings en beheersmaatregelen is een continu proces, op basis van meetbaarheid, rekenschap, dialoog en commitment, dat regelmatig evalueert en herhalen, klopt het nog, kan het minder, anders etc.
- Praktische tip: Het helpt daarvoor om een data protection impact assessment (DPIA) op te stellen, maar ook om ‘privacy by design’ & ‘privacy by default’ in de praktijk toe te passen door bijvoorbeeld een actueel verwerkingsregister in te richten en bij elk nieuw bedrijfs of werk proces een ”DPIA light” privacy en security check op de risico’s in datamanagement te doen.
In 2019 heb ik als privacy jurist voorlichting gegeven en de AVG op deze wijze toegelicht, toen ik destijds werkzaam was als privacy consultant bij Privacy Management Partners in Utrecht (PMP). Zij waren hun tijd ver vooruit of anders, de tijd was toen nog niet rijp. voor het inzicht dat privacybeleid zich niet beperkt tot het nemen van de juiste maatregelen en opstellen van een paar documenten. Het gaat er om dat de AVG bestaat uit open normen waarbij altijd een belangenafweging van geval tot geval wordt gemaakt door de mensen, de verantwoordelijken zelf. Door middel van de 5 W’s en 1 Hoe.
Daarom vind ik de AVG als open normen regelgeving een pareltje, (ook als mediator, afweging van belangen die soms tegenover elkaar staan) een lichtend voorbeeld voor meer rechtsgebieden. Want vanuit open normen en niet vanuit strikte regelgeving, protocollen, noodzaakt mensen na te denken, maakt mensen meer (rechts)bewust en zelf verantwoordelijk. Daarmee alleen al zorg je voor meer betrokkenheid en verbinding met een organisatie waar je werkt, bijvangst van AVG proof.
