Privacykwesties: Wat compliance-teams in 2026 kunnen verwachten

Door Phil Muncaster • 27 januari 2026

28 januari is Internationale Dag van de Privacy – een gelegenheid om het recht op gegevensbescherming te vieren, iets wat velen van ons tegenwoordig als vanzelfsprekend beschouwen. Dat was natuurlijk niet altijd zo. Pas op deze datum in 1981 ondertekende de Raad van Europa eindelijk een overeenkomst over privacy. Conventie 108, “voor de bescherming van personen met betrekking tot de automatische verwerking van persoonsgegevens.”

Hoewel de ontwikkelingen op het gebied van gegevensbescherming soms traag verlopen, staat de wetgeving zelden stil. Dit jaar zullen compliance-professionals genoeg te overwegen hebben, aangezien diverse bepalingen van de Britse Data (Use and Access) Act (DUAA) van kracht worden. Ze zouden kunnen overwegen om ISO 27701 te gebruiken om hun werkzaamheden te stroomlijnen.

Waarom privacy belangrijk is

Beveiliging en privacy zijn twee kanten van dezelfde medaille. Zonder de bescherming die mensen, processen en technologie bieden, zou geen enkele organisatie in staat zijn om te voldoen aan haar verplichtingen om de privacyrechten van klanten en werknemers te waarborgen. Dit is belangrijk voor Britse bedrijven in de context van de AVG (Algemene Verordening Gegevensbescherming), die toezichthouders de bevoegdheid geeft om potentieel hoge boetes (tot £17 miljoen of 4% van de wereldwijde omzet) op te leggen bij ernstige niet-naleving. Maar er zijn ook andere dwingende zakelijke redenen waarom privacy een strategische prioriteit zou moeten zijn:

Het vermijden van operationele kosten die gepaard gaan met ernstige datalekken. Deze kosten kunnen bijvoorbeeld bestaan uit extra geld voor overuren van de IT-afdeling, externe forensische experts, juridische teams en het informeren van klanten en toezichthouders.
Het voorkomen van potentieel kostbare collectieve rechtszaken na een groot datalek.
Het versterken van klantvertrouwen en -loyaliteit. Een grote datalek kan de reputatie op de lange termijn ernstig schaden. Organisaties die prioriteit geven aan klantprivacy en transparantie boven gegevensverwerking, hebben daarentegen een uitstekende kans om een hechtere relatie met hun klanten op te bouwen.
Het creëren van concurrentievoordeel en expansie door de toepassing van de beste privacyrichtlijnen zoals ISO 27701, wat toezichthouders, partners en klanten in nieuwe markten gerust kan stellen en de naleving van regelgeving kan stroomlijnen.

Wat is er nieuw aan de DUAA in 2026?

Volgens het onderzoek van IO (voorheen ISMS.online), Het rapport Staat van de informatiebeveiliging 2025Het percentage Amerikaanse en Britse bedrijven dat van leveranciers eist dat ze voldoen aan de AVG (Algemene Verordening Gegevensbescherming) steeg tussen 2024 en 2025 van 9% naar 34%. Dit illustreert zowel de zakelijke drijfveren achter de naleving van de AVG, als het feit dat er nog veel werk aan de winkel is voordat de regelgeving volledig is geaccepteerd door het bedrijfsleven.

De nieuwe DUAA is deels ontwikkeld als reactie op de bezorgdheid dat de naleving van de AVG te veel bureaucratie voor bedrijven met zich meebracht. een onderzoek beweert Dat minder dan 2% van de organisaties klaar is voor de nieuwe wet. Veel organisaties (47%) noemen updates op het gebied van governance, training en leveranciersmanagement als hun grootste uitdagingen. Dit moet veranderen. Tot de verwachte wijzigingen in de privacywetgeving die dit jaar zullen worden doorgevoerd, behoren:

Meer soepele regels voor geautomatiseerde besluitvorming (ADM). Deze regels stellen organisaties in staat om zich te beroepen op een breder scala aan wettelijke grondslagen voor het nemen van beslissingen over individuen, zolang er maar waarborgen aanwezig zijn.
Versoepelde wetgeving die de omstandigheden zal uitbreiden waaronder cookies met een laag risico zonder expliciete toestemming kunnen worden gebruikt.
Introductie van "erkende legitieme belangen" – een nieuwe wettelijke basis voor de verwerking van gegevens ten behoeve van het algemeen belang (bijv. misdaadpreventie).
Nieuwe eisen voor de afhandeling van klachten van betrokkenen, waaronder elektronische klachtenformulieren en de bevestiging van ontvangst van klachten binnen 30 dagen.
Een verhoging van de mogelijke boetes onder de Privacy and Electronic Communications Regulations (met betrekking tot cookies) om in lijn te komen met de AVG (17.5 miljoen pond of 4% van de omzet).
Een nieuwe verplichting is het naleven van de gedragscode voor kinderen van de ICO (Information Commissioner's Office) als online diensten waarschijnlijk door kinderen zullen worden gebruikt.

Dit alles vereist aanpassingen aan de bedrijfsprocessen voor de afhandeling van klachten en de beoordeling van de verplichtingen om de privacyrechten van kinderen te waarborgen. Gezien de potentieel hoge boetes, zouden organisaties met niet-conforme cookie- en elektronische marketingpraktijken ook prioriteit moeten geven aan de naleving van de PECR-regelgeving.

Edward Machin, advocaat bij de data-, privacy- en cybersecuritygroep van Ropes & Gray, deelt de volgende twee data voor in de agenda voor 2026:

Januari 2026 (ongeveer zes maanden na de koninklijke goedkeuring)De belangrijkste wijzigingen in de wetgeving inzake gegevensbescherming, zoals uiteengezet in deel 5 van de DUAA, treden in werking, met uitzondering van wijzigingen in de klachtenprocedure voor betrokkenen.

Nog te bepalen voor 2026Bepalingen die afhankelijk zijn van technische infrastructuur of meer voorbereidingstijd vergen, treden in werking, waaronder maatregelen die afhankelijk zijn van nieuwe technologie (bijvoorbeeld bepaalde registers of diensten) en de klachtenprocedure voor betrokkenen.

"Organisaties zouden hun voorbereidingen op de DUAA moeten opsplitsen in bepalingen die hen verplichten specifieke acties te ondernemen, zoals het implementeren van een klachtenprocedure voor betrokkenen, en bepalingen die meer flexibiliteit toestaan ten opzichte van de huidige praktijken, zoals de regels rondom verzoeken om inzage in persoonsgegevens, geautomatiseerde besluitvorming en cookies," vertelt hij aan IO.

"In elk geval zal DUAA in de meeste gevallen eerder een evolutie van de nalevingsprogramma's van organisaties vereisen dan ingrijpende veranderingen. Organisaties zouden echter met name een plan moeten hebben om aan de eisen van Deel 5 te voldoen, zodat deze niet verloren gaan in de drukte van het nieuwe jaar."

ISO 27701 bereikt de volwassen leeftijd

Voor compliance-teams die zich nu al afvragen hoe ze dit jaar de zoveelste golf aan nieuwe regelgeving het hoofd moeten bieden, is er goed nieuws. ISO 27701 is nu een afzonderlijke standaard.Het is geen uitbreiding van ISO 27001, maar een goedkopere, snellere en flexibelere manier voor optimale gegevensverwerking.

ISO 27701 biedt een gestructureerd raamwerk voor het opzetten, implementeren, onderhouden en continu verbeteren van een privacy-informatiebeheersysteem (PIMS). Het omvat concrete beheersmaatregelen voor:

Bescherming van persoonsgegevens zoals gereguleerd door de AVG (en de DUAA).
Wettelijke naleving, transparantie en rechten van de betrokkene (voor verwerkingsverantwoordelijken van persoonsgegevens)
Contractuele naleving en verwerking (voor verwerkers van persoonsgegevens)

Rob Rachwald, vicepresident merk- en productmarketing bij Zero Networks, omschrijft ISO 27701 als "het ultieme kookboek" voor het voldoen aan de eisen van de DUAA.

"Hoewel de DUAA de Britse GDPR pragmatischer maakt, vereist deze wet meer verantwoording en bewijs van goed bestuur, met name rond het beheer van verzoeken om inzage in persoonsgegevens en de implementatie van waarborgen voor ADM," vertelt hij aan IO.

"ISO 27701 biedt een wereldwijd erkend PIMS-model dat de vereiste processen voor rechten van betrokkenen, gegevensmapping en privacy by design al gedetailleerd beschrijft. Hierdoor kunnen organisaties direct aantonen dat ze 'redelijk en proportioneel' aan de regelgeving voldoen, waardoor een wettelijke last wordt omgezet in iets dat meetbaar is."

De norm vormt daarom, naast ISO 27001 en 42001, een steeds belangrijkere pijler van elke effectieve risicomanagementaanpak. Privacymaatregelen raken steeds meer verweven met informatiebeveiliging en AI-management. Organisaties die alle drie holistisch benaderen, zullen het best gepositioneerd zijn om compliance te gebruiken als springplank voor zakelijk succes in 2026.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 10 maart 2026

Een belangrijke deadline voor de EU-wetgeving inzake kunstmatige intelligentie nadert: dit is wat bedrijven moeten weten.

De AI-wetgeving van de EU bevindt zich in de laatste fase van haar moeizame weg van wetsvoorstel naar uitvoerbare wet. Het heeft lang geduurd...

Phil Muncaster

Cyber security 5 maart 2026

De Britse financiële dienstverleners schieten nog steeds tekort in de basisprincipes, waarschuwt de Bank of England.

De Britse financiële sector presteert ver boven zijn gewicht. Londen is, op de voet gevolgd door New York, het belangrijkste financiële centrum ter wereld en...

Phil Muncaster

Cyber security 17 februari 2026

Wat het datalek bij LastPass ons leert over compliance in 2026

De AVG was altijd al bedoeld om vaag te zijn. Door geen voorschrijvende technische beheersmaatregelen op te sommen – zoals bijvoorbeeld PCI DSS wel doet – doet de verordening haar werk beter...

Phil Muncaster

Privacykwesties: Wat compliance-teams in 2026 kunnen verwachten

Waarom privacy belangrijk is

Wat is er nieuw aan de DUAA in 2026?

ISO 27701 bereikt de volwassen leeftijd

Phil Muncaster

Gerelateerde artikelen

Een belangrijke deadline voor de EU-wetgeving inzake kunstmatige intelligentie nadert: dit is wat bedrijven moeten weten.

De Britse financiële dienstverleners schieten nog steeds tekort in de basisprincipes, waarschuwt de Bank of England.

Losgeld betalen of niet? Overwegingen van de overheid over het betalen van losgeld bij cybercriminaliteit.

Lees meer van Phil Muncaster

Een belangrijke deadline voor de EU-wetgeving inzake kunstmatige intelligentie nadert: dit is wat bedrijven moeten weten.

De Britse financiële dienstverleners schieten nog steeds tekort in de basisprincipes, waarschuwt de Bank of England.

Wat het datalek bij LastPass ons leert over compliance in 2026