De AVG is handhaafbaar sinds mei 2018. Dat is acht jaar. En toch duikt het in te veel projecten nog steeds op als checklistitem — ergens aan het einde, nadat de architectuur is vastgelegd, de pipelines draaien en de data al stroomt naar plekken waar het nooit had mogen komen.
Op dat moment is het duur om te herstellen. Niet alleen in tijd — ook in herstelwerk, vertraagde livegang en gesprekken die niemand wil voeren met juridische zaken, of erger, met een toezichthouder.
Het patroon
Het probleem is niet dat organisaties de AVG negeren. De meeste nemen het serieus, in elk geval in principe. Het probleem is timing en eigenaarschap.
Compliance wordt neergelegd bij een jurist of FG nadat het platform al is gebouwd. Die stelt de juiste vragen, en de antwoorden zijn ongemakkelijk: persoonsgegevens in een storage account zonder retentiebeleid, toegangsrechten die tijdelijk waren bedoeld en permanent zijn geworden, logs die voor onbepaalde tijd worden bewaard omdat niemand anders heeft besloten, data die via een externe tool buiten de EU loopt omdat dat destijds de snelste integratie was.
Elk van die punten leidt tot een herstelgesprek. Sommige tot een inkoopgesprek — het geïntegreerde systeem moet worden vervangen. Een aantal tot een juridisch gesprek.
Geen van die gesprekken had nodig hoeven zijn. De vragen die ze hebben opgeleverd zijn geen moeilijke vragen. Ze zijn alleen niet gesteld op het juiste moment.
Wat by design werkelijk betekent
Privacy by design is geen methodologie of raamwerk dat je bovenop je architectuur legt. Het is een volgordesbeslissing. Je stelt de compliancevragen voordat er ook maar iets anders wordt besloten.
Waar worden deze gegevens opgeslagen, en voldoet dat aan onze verplichtingen rondom dataresidentie? Wie heeft toegang nodig, en wat is het minimum dat ze nodig hebben om te functioneren? Hoe lang bewaren we dit, en wat triggert verwijdering? Wat gebeurt er als dit systeem wordt gehackt — wie moet dat weten, en binnen welk tijdsbestek?
Dit zijn geen juridische vragen. Het zijn architectuurinputs. De antwoorden bepalen welke tools je kunt gebruiken, hoe je toegang structureert, waar je data opslaat en hoe je logging eruitziet. Als je die beslissingen neemt zonder de antwoorden, neem je ze verkeerd — en dat ontdek je later, op het slechtst mogelijke moment.
Het kostenverschil
Die vragen stellen in week één kost een paar uur zorgvuldig nadenken en één gesprek met degene die compliance beheert binnen de organisatie.
Ze stellen in week twaalf, na de bouw, kost een gedeeltelijk herontwerp. Soms een volledig herontwerp. Het kost de vertraging in de livegang waar het bedrijf op rekende. Het kost de heraanbesteding van een tool die van meet af aan de verkeerde keuze was.
De late ontdekking maakt de organisatie niet compliant. Het maakt het project duurder en het team minder zeker van wat er is gebouwd.
2026
NIS2 is nu van toepassing op een significant deel van de organisaties waarmee we werken. De EU AI Act introduceert nieuwe verplichtingen rondom geautomatiseerde besluitvorming en datagovernance. Het regelgevend oppervlak groeit, het krimpt niet.
AVG by design was al in 2018 een goede praktijk. In 2026 is een dataplatform bouwen zonder die aanpak een risico dat steeds moeilijker te verantwoorden is — richting een bestuur, laat staan richting een toezichthouder.
Wij behandelen compliance als een architectuurinput, niet als een audituitkomst. Dat betekent dat het eerste gesprek al de compliancevragen omvat — voordat een tool is gekozen, voordat een pipeline is ontworpen, voordat er iets is vastgelegd. De kosten van dat gesprek zijn nihil. De kosten van het overslaan ervan hebben een getal, en dat getal is nooit klein.
Dit is geen compliancepost. Het is een volgordpost. Organisaties die dit goed doen zijn niet voorzichtiger — ze zijn beter in het stellen van vragen in de juiste volgorde.