< Blog

< Blog

< Blog

< Blog

Dag van de Privacy: privacy compliance is geen document, maar een proces

28 jan 2026

Vandaag, 28 januari, is het de Dag van de Privacy.
Een mooi moment om stil te staan bij een hardnekkige misvatting die ik in de praktijk nog dagelijks tegenkom.

Privacy compliance wordt vaak gereduceerd tot:

  • een privacyverklaring op de website;

  • een verwerkingsregister in een map.

Dat is noodzakelijk.
Maar het is niet voldoende.

De AVG is een proceswet

De AVG vraagt niet alleen wat je hebt opgeschreven, maar vooral:

weet je hoe binnen je organisatie wordt gehandeld bij afwijkingen, incidenten en escalaties?

Als:

  • een datalek wordt vermoed;

  • een privacyklacht binnenkomt;

  • een inzageverzoek wordt ingezet als drukmiddel;

  • een externe partij een fout maakt;

  • of persoonsgegevens “per ongeluk” ergens terechtkomen.

Juist dan wordt zichtbaar of privacy compliance echt leeft in een organisatie.

Privacy compliance ≠ vinklijst

De kern van privacy compliance is beheersing:

  • weten wie beslist;

  • weten welke stappen je zet;

  • weten wat je vastlegt;

  • en weten wanneer niet melden ook een verdedigbare keuze is.

Dat vraagt geen perfecte organisatie, maar wel heldere processen.

Een basis privacy compliance framework (voor elke organisatie)

In de praktijk werk ik met een eenvoudig, maar effectief raamwerk.
Dit geldt voor organisaties groot en klein, publiek en privaat.

  1. Inzicht in verwerkingen

  • Welke persoonsgegevens verwerken we écht?

  • Voor welk doel?

  • Wie is verantwoordelijk?

Niet als theoretische exercitie, maar als levend overzicht.

  1. Rechten van betrokkenen

  • Wat doen we bij inzage-, correctie- of verwijderverzoeken?

  • Wie beoordeelt deze?

  • Hoe voorkomen we ad-hoc beslissingen?

  1. Incidenten & datalekken

  • Wanneer spreken we van een datalek?

  • Wanneer niet?

  • Wie hakt de knoop door?

  • Hoe leggen we onze afweging vast?

Hier gaat het in de praktijk het vaakst mis.

  1. Externe partijen & samenwerking

  • Met wie delen we gegevens?

  • Wie is waarvoor verantwoordelijk?

  • Wat doen we als een derde een fout maakt?

  1. Interne rollen & besluitvorming

  • Wie is eigenaar van privacy?

  • Wanneer wordt geëscaleerd?

  • Hoe zorgen we voor consistentie?

  1. Vastleggen & aantonen

  • Kunnen we uitleggen waarom we iets hebben gedaan?

  • Ook als we hebben besloten niets te melden?

Dat is accountability in de praktijk.

Doe-het-zelf, maar niet alleen

Veel organisaties kunnen hun privacy compliance prima zelf verbeteren
mits ze weten waar te beginnen en waar hun grenzen liggen.

Daarom heb ik een Privacy Compliance Checklist opgesteld, gebaseerd op bovenstaande kernprocessen. Geen juridische theorie, maar praktische vragen die direct inzicht geven in waar je staat.

Je kunt deze checklist kosteloos opvragen.

Daarnaast nodig ik organisaties uit voor een vrijblijvend gesprek van 30 minuten om samen te kijken:

  • wat al goed geregeld is;

  • waar risico’s zitten;

  • en wat een logische volgende stap is.

Geen verplichtingen.
Wel duidelijkheid.

Privacy compliance begint niet bij een document.
Het begint bij inzicht in gegevens, processen en mensen.

Ben je klaar om in beweging te komen?

Plan hier een afspraak

Maak een afspraak

Maak een afspraak

Ben je klaar om in beweging te komen?

Plan hier een afspraak

Maak een afspraak

Maak een afspraak

Ben je klaar om in beweging te komen?

Plan hier een afspraak

Maak een afspraak

Maak een afspraak