Vaak behandelen organisaties de GDPR zoals een rijexamen. Studeren, slagen, het certificaat behalen, en dan weer snel verder. Maar GDPR-compliance is geen eenmalige oefening.
Stel je dit voor: een brief van de Gegevensbeschermingsautoriteit belandt op je bureau. Het verzoek lijkt eenvoudig genoeg: “bezorg ons bewijs van hoe de organisatie privacy de afgelopen twee jaar heeft beheerd.” Dat moet toch vlot gaan?
Dan begint het echte zoeken. Privacyverklaring? Check! Cookiebanner? Geregeld! Maar daarna loopt het vast. Het is onmogelijk om aan te tonen dat gegevensbescherming consistent werd opgevolgd. De policies en beleidsregels bestaan, maar er is geen spoor dat ze effectief toegepast worden. De DPO is enkele maanden geleden vertrokken, en de opvolger? Die probeert alle informatie bij elkaar te zoeken vanuit losse e-mailthreads.
Je raadt het al. Wat ontbrak er? Een privacyprogramma.
Wat is een privacyprogramma?
Een privacyprogramma is de manier waarop een organisatie privacy van dag tot dag beheert. Het omvat governance, processen, controles, rollen, documentatie en de bijhorende cultuur. Samen zorgen ze ervoor dat privacy iets is wat de organisatie actief doet. Niet iets wat enkel bestaat in een map vol PDF-bestanden.
Het is ook interessant om eens te kijken naar wat een privacyprogramma níét is: Het is geen DPIA, geen verwerkingsregister en geen beleidsdocument. Het is ook geen remediëringsproject dat eindigt zodra de laatste bevinding gesloten is.
De beste vergelijking van een privacyprogramma is een managementsysteem. Een privacyprogramma is voor de GDPR zoals een ISMS voor ISO 27001: een managementsysteem om privacy binnen je organisatie te beheren, niet enkel te documenteren.
Hebben we een privacyprogramma nodig?
Hieronder delen we vier redenen om ja te zeggen op een privacyprogramma. De eerste twee zijn juridisch, de laatste twee eerder praktisch.
Verantwoordingsplicht is een verplichting op programmaniveau.
De GDPR vraagt niet alleen dat je de regels volgt. Ze vraagt dat je het ook kunt bewijzen, en dat op elk moment. Eén document volstaat daarvoor niet. Het gaat om wat er elke dag, in de praktijk, in jouw organisatie gebeurt.
Als je een privacyprogramma goed opzet, dan zal je dit kunnen bewijzen.
Bewijs van continuïteit.
Stel dat de privacytoezichthouder jouw bedrijf onder de loep neemt. Ze vragen niet of je een mooie privacypagina hebt op je website. Ze willen weten: wat is er de afgelopen jaren concreet gebeurd? Welke beslissingen zijn genomen, door wie, en wanneer? Hoe zijn problemen opgelost? Wie heeft welke training gevolgd?
Bedrijven zonder privacyprogramma kunnen die vragen vaak niet beantwoorden. Niet omdat ze niets deden, maar omdat er nooit iemand was die het bijhield.
Ad hoc werkt niet als je bedrijf groeit.
Stel: je hebt één product, één kantoor, één land. Dan kun je privacyvragen misschien nog per geval oplossen. Maar wat als je bedrijf uitbreidt? Meer producten, meer landen, meer leveranciers, AI-tools erbij? Dan wordt ad hoc al snel een probleem. Je verliest het overzicht, dingen vallen tussen de mazen, en elke nieuwe stap voelt als blussen in plaats van bouwen.
De AI-verordening komt eraan.
Europa heeft nieuwe regels voor kunstmatige intelligentie. Bedrijven die bepaalde AI-toepassingen gebruiken, moeten kunnen aantonen dat ze die risico’s actief opvolgen, van begin tot einde, en dat ze bijsturen waar nodig.
Dat klinkt heel erg zoals wat een privacyprogramma doet.
Heb je zo’n programma al? Dan is de overstap naar AI-governance een extra stap, maar geen sprong in het diepe. Heb je er geen? Dan start je twee grote projecten tegelijk. En de veel bedrijven hebben daar noch de tijd, noch de mensen voor.
Wat zit er in een privacyprogramma?
Bij CRANIUM werken we met een eigen framework (gebaseerd op ISO 27701) om een privacyprogramma op te bouwen. Dat framework bestaat uit acht bouwstenen, met het programma zelf als negende die alles samenbrengt. Dit kan ook als vertrekpunt voor jou dienen:
- Bewustwording en communicatie. Mensen moeten weten wat privacy betekent in hun dagelijkse werk. Denk aan opleidingen, interne richtlijnen en medewerkers die het programma actief uitdragen binnen hun team.
- Een overzicht van welke persoonsgegevens je verwerkt, waarom, op welke wettelijke basis, en waar ze naartoe gaan. Denk aan een gedetailleerde lijst van al je gegevensverwerkingen.
- Rechten van betrokkenen. Iedereen van wie je gegevens verwerkt, heeft rechten. Ze kunnen oa. vragen om inzage, correctie of verwijdering van hun gegevens. Jouw organisatie moet die vragen tijdig en correct kunnen beantwoorden.
- Relatie met externe partijen. Werk je samen met leveranciers die persoonsgegevens verwerken? Dan heb je duidelijke afspraken nodig, vastgelegd in een contract, vóór de samenwerking van start gaat.
- Internationale gegevensdoorgiften. Verstuur je persoonsgegevens buiten Europa? Dan gelden er extra regels om die gegevens te beschermen.
- Beheer van datalekken. Wat doe je als er iets misloopt? Een goed programma beschrijft hoe je een datalek detecteert, intern meldt, en waar nodig communiceert naar de toezichthouder en de betrokkenen.
- Privacy by design en by default. Privacy wordt meegenomen van bij het begin, bij de ontwikkeling van nieuwe producten, processen of tools, en niet pas achteraf als er al een probleem is.
- Technische en organisatorische maatregelen. Alle concrete stappen die je neemt om persoonsgegevens te beveiligen: toegangscontroles, encryptie, opleidingen, procedures, enzovoort.
Vaak wordt er enkel gefocust op het hebben van de juiste documenten. Maar documenten alleen zijn niet genoeg. Bewijs van wat je effectief doet, telt.
Wat bedoelen we daarmee? Een risicoanalyse die werd uitgevoerd én gedocumenteerd. Een privacyverzoek dat op tijd werd behandeld, met tijdstempel. Een opleiding die werd gevolgd, gekoppeld aan een naam. Een leverancier die werd beoordeeld vóór het contract werd ondertekend.
Het goede nieuws: eens je programma goed loopt, hoef je niet telkens opnieuw te beginnen. Mensen kunnen vertrekken, prioriteiten kunnen verschuiven, maar het programma blijft overeind.
Welke privacy frameworks bestaan er?
Je hoeft een privacyprogramma niet van nul op te bouwen. Er bestaan frameworks die je een stevige basis geven. Vier zijn het overwegen waard:
ISO/IEC 27701 is de internationale norm voor privacybeheer. Het bouwt verder op ISO 27001, de bekende norm voor informatiebeveiliging. Heb je die al? Dan is 27701 de meest logische volgende stap. Sinds 2025, kan je ISO 27701 ook afzonderlijk van ISO 27001 behalen.
NIST Privacy Framework komt uit de Verenigde Staten en is flexibel en risicogebaseerd. Het sluit goed aan op bestaande beveiligingsprocessen. Een goede keuze als je organisatie zowel in Europa als in de VS actief is.
AICPA GAPP (Generally Accepted Privacy Principles) is opgebouwd rond duidelijke principes die goed aansluiten bij auditprocessen en managementrapportering. Handig als audits al een centrale rol spelen in jouw organisatie.
EDPB-richtlijnen 07/2020 zijn geen klassiek framework, maar wel de Europese referentie voor wat een goed privacyprogramma inhoudt. Ze komen rechtstreeks van de Europese privacytoezichthouders.
Welk framework past bij jouw organisatie? Dat hangt grotendeels af van wat je al hebt. Werk je al met ISO 27001? Kies dan voor 27701. Actief in de VS? Bekijk NIST. Sterk auditgericht? GAPP ligt voor de hand. Puur Europees? De EDPB-richtlijnen zijn je vertrekpunt, aangevuld met de structuur van één van de andere raamwerken.
Waar beginnen aan je privacyprogramma?
Geen enkele organisatie kan alles tegelijk aanpakken. En een tool kopen lost het probleem ook niet op als de basis nog niet op orde is. De beste eerste stap is een eerlijke blik naar binnen: wat heb je al? Wat werkt, wat niet? Waar zitten de grootste gaten?
Vanuit die analyse bepaal je waar je begint. We raden aan om eerst de basis te controleren:
- Verwerkingsregister
- Rechten van betrokkenen
- Beheer van datalekken
- Technische en organisatorische maatregelen
Zijn die op orde en up to date? Dan bouw je verder met de onderdelen die meer tijd en afstemming vragen:
- Relatie met leveranciers en verwerkers
- Internationale gegevensdoorgiften
- Gegevensbescherming by design en by default
- Bewustwording en communicatie, van basisopleiding tot een netwerk van privacychampions
Creëer daarna een realistisce planning. Twaalf tot achttien maanden is een haalbare horizon om van ad hoc naar een volwaardig programma te evolueren.
Maar vergeet dit niet. Een privacyprogramma is meer dan een document of een checklist. Het moet landen in je organisatie. Hoe voer je verandering door? Wie trekt het intern? Welke teams hebben meer begeleiding nodig? Die vragen zijn minstens even belangrijk als de technische inhoud van het programma zelf.
Conclusie: een valkuil?
Bedrijven die in de problemen komen met privacy, struikelen zelden over één specifieke fout. Ze struikelen omdat ze privacy behandelen als een project met een einddatum. Afgerond, vinkje gezet, verder.
Maar privacy stopt niet. Hoe meer een bedrijf groeit, hoe complexer het wordt. Meer klanten, meer data, meer systemen, meer verwachtingen van toezichthouders. AI-toepassingen, biometrische gegevens, internationale overdrachten: elk nieuw element voegt een laag toe.
Een privacyprogramma geeft je grip op die complexiteit door een systeem te bouwen dat meegroeit met je organisatie en klaar is voor wat er nog op je af komt.
