Skip to content

AVG in 2026: dit verandert er écht volgens de Autoriteit Persoonsgegevens

Redactie Beursigforum

De toezichthouder kiest nadrukkelijk positie

Wie het jaarplan van de Autoriteit Persoonsgegevens voor 2026 leest, ziet direct dat het toezicht niet alleen intensiever wordt, maar ook gerichter. De AP maakt duidelijke keuzes en richt zich de komende jaren op drie prioriteiten: massasurveillance, artificiële intelligentie en digitale weerbaarheid. (Autoriteit Persoonsgegevens[a])

Dat lijkt op het eerste gezicht breed, maar de onderliggende boodschap is scherp. Privacy gaat niet langer alleen over individuele dataverwerkingen of losse dossiers. Het toezicht verschuift naar systemen, schaal en impact. Organisaties die op grote schaal persoonsgegevens verwerken, of afhankelijk zijn van complexe technologie, komen nadrukkelijker in beeld.

Bij Brand Compliance herkennen we deze verschuiving. Waar audits voorheen vaak draaiden om documentatie en structuur, zien we dat de focus steeds vaker ligt op de werking van systemen en de keuzes die daarachter zitten.

Van regels naar fundamentele waarden

Een opvallend element in het jaarplan is dat de AP haar toezicht expliciet baseert op fundamentele waarden zoals autonomie, non-discriminatie en transparantie.

Dat heeft directe gevolgen voor hoe de AVG wordt toegepast. Het gaat minder om de letter van de wet en meer om de vraag of een organisatie verantwoord handelt. Met andere woorden: zelfs als iets juridisch net kan, betekent dat niet automatisch dat het ook acceptabel is vanuit toezichtperspectief.

Voor organisaties betekent dit dat zij verder moeten kijken dan compliance alleen. Het is niet voldoende om te voldoen aan minimale eisen. Er wordt verwacht dat bedrijven actief nadenken over de impact van hun datagebruik op mensen.

AI en algoritmes als nieuw risicogebied

De nadruk op artificiële intelligentie in het jaarplan is geen verrassing, maar wel belangrijk. De AP kondigt aan dat er in 2026 onder andere richtlijnen komen voor generatieve AI en het trainen van modellen binnen de kaders van de AVG.

Daarnaast komt er meer aandacht voor:

  • uitlegbaarheid van geautomatiseerde beslissingen
  • risico’s zoals bias en discriminatie
  • de manier waarop AI-systemen persoonsgegevens verwerken

Dit betekent concreet dat organisaties die werken met data-analyse, profiling of AI hun processen opnieuw moeten bekijken. Niet alleen technisch, maar ook juridisch en ethisch.

Voor data-analisten en productteams is dit een belangrijke ontwikkeling. Beslissingen die voorheen als puur technisch werden gezien, vallen nu nadrukkelijk onder privacytoezicht.

Massasurveillance en tracking onder druk

Een tweede belangrijk thema is het tegengaan van massasurveillance. De AP maakt duidelijk dat technologie het steeds makkelijker maakt om mensen grootschalig te volgen, zowel online als offline.

Denk aan:

  • tracking via websites en apps
  • cameratoezicht en gedragsherkenning
  • koppeling van datasets uit verschillende bronnen

De toezichthouder gaat in 2026 nadrukkelijk toetsen of deze toepassingen:

  • een geldige juridische grondslag hebben
  • proportioneel zijn
  • geen onnodige inbreuk maken op de privacy

Voor organisaties betekent dit dat bestaande praktijken opnieuw tegen het licht moeten worden gehouden. Wat jaren geleden acceptabel was, kan nu onder verhoogde druk komen te staan.

Digitale weerbaarheid wordt onderdeel van privacy

De derde pijler, digitale weerbaarheid, laat zien dat privacy en security steeds verder naar elkaar toe groeien. De AP benadrukt dat betrouwbare verwerking van persoonsgegevens essentieel is voor vertrouwen in digitale dienstverlening.

Dit betekent dat:

  • datalekken niet alleen een securityprobleem zijn, maar ook een privacyvraagstuk
  • afhankelijkheid van externe partijen (zoals cloudleveranciers) kritisch wordt bekeken
  • organisaties moeten kunnen aantonen dat zij hun data beschermen tegen verstoringen

In de praktijk zien wij dat veel organisaties deze koppeling nog onvoldoende maken. Privacy en security worden vaak apart georganiseerd, terwijl ze in werkelijkheid sterk verweven zijn.

Wat betekent dit concreet voor organisaties?

De ontwikkelingen in het jaarplan maken één ding duidelijk: de lat ligt hoger. Niet per se omdat de AVG verandert, maar omdat de interpretatie en handhaving scherper worden.

Voor werkgevers, bestuurders en professionals die met persoonsgegevens werken, betekent dit dat actie nodig is op drie niveaus:

1. Inzicht creërenBreng in kaart welke data je verwerkt, waar deze zich bevindt en hoe deze wordt gebruikt. Zonder dit inzicht is compliance niet aantoonbaar.

2. Risico’s expliciet makenVoer niet alleen DPIA’s uit, maar zorg dat deze actueel zijn en aansluiten op de praktijk. De AP kijkt nadrukkelijk naar de kwaliteit van deze analyses.

3. Governance versterkenZorg dat verantwoordelijkheden duidelijk zijn en dat er structureel gestuurd wordt op privacy. Dit is geen operationeel detail, maar een bestuurlijke taak.

De rol van auditing en AVG-certificering

In een omgeving waarin toezicht complexer en inhoudelijker wordt, neemt het belang van onafhankelijke toetsing toe. AVG-certificering kan organisaties helpen om hun processen te structureren en aantoonbaar te maken.

Maar de waarde van AVG-certificering zit niet in het certificaat zelf. Het zit in het proces erachter:

  • het kritisch beoordelen van datastromen
  • het expliciet maken van keuzes
  • het verbeteren van interne controle

Bij Brand Compliance zien we dat organisaties die dit serieus oppakken beter voorbereid zijn op de vragen die toezichthouders stellen. Niet omdat alles perfect is ingericht, maar omdat er inzicht en onderbouwing is.

Conclusie: toezicht wordt inhoudelijker en selectiever

Het jaarplan van de Autoriteit Persoonsgegevens laat zien dat toezicht in 2026 niet alleen strenger wordt, maar vooral slimmer. De focus ligt op grote risico’s, impactvolle systemen en structurele problemen.

Voor organisaties betekent dit dat oppervlakkige compliance niet meer volstaat. De vraag is niet langer of je voldoet aan de AVG, maar of je kunt uitleggen waarom je keuzes maakt en hoe je risico’s beheerst.

Dat vraagt om volwassenheid. En juist in die ontwikkeling ligt de grootste uitdaging voor de komende jaren.