De rol van commissarissen bij de nieuwe EU wet-, en regelgeving rondom data

Wat beoogt de nieuwe EU-wetgeving op het gebied van data te realiseren en wat betekent deze concreet voor u als commissaris? Welke stappen moeten organisaties nemen om compliant te blijven en tegelijkertijd te profiteren van de kansen die digitalisering biedt. Data is immers de nieuwe olie; de grondstof die talloze ontwikkelingen in gang zet. En hoe kan de organisatie waaraan u bent verbonden een strategische data-aanpak ontwikkelen die aan de eisen voldoet? Dit blog informeert u over de stand van zaken en de te zetten stappen.

Na de Algemene Verordening Gegevensbescherming (AVG) heeft de Europese Commissie, als onderdeel van de Digital Decade  diverse nieuwe wetten geïntroduceerd die de digitale toekomst van Europa zullen vormgeven. Ook worden bepaalde wetten, zoals de AVG aangepast en geüpdatet. Deze wetten hebben directe en diepgaande invloed op het digitaliseringsprogramma van iedere organisatie, waaronder het vormgeven van een datastrategie en de inzet van generatieve AI. Maar ook extra eisen aan cybersecurity, zoals de Nis2 met vergaande verplichtingen voor bestuurders persoonlijk.

In totaal zijn er nu ruim 126 digitale wetten in voorbereiding of van kracht. De kernwetten zijn de Data Act, de Data Governance Act, de AI Act, NIS2 en de Digital Services Act. Dit zijn generieke wetten die algemeen gelden en in de gehele EU van kracht zijn of worden. Er zijn ook diverse EU-richtlijnen die eerst (moeten) worden omgezet naar nationale wetgeving. Voor overheids/publieke sector data, bijvoorbeeld, vindt implementatie plaats via Wet Open Overheid en Wet Hergebruik Overheidsinformatie.

Daarnaast zijn er wijzigingen in Corporate Governance, zoals de nieuwe CGC met VOR (Verklaring Omtrent Risicobeheersing) vanaf 2025. Bestuurders wordt gevraagd expliciet te rapporteren over compliance-, operationele- en verslaggevingsrisico's. 

Niet zo verwonderlijk dat de vele wetten en andere ontwikkelingen rondom data de boardroom flink bezighouden. Een top 10 van actuele vragen en dilemma’s:

• Hoe te anticiperen op complexe wetgeving rondom data
• Opslag data on premise (op de eigen locatie) of bij externe datacenters
• Hoe AI in te zetten om data beter te benutten
• Vragen over de veiligheid van Amerikaanse Cloud providers
• Goede inschatting van kansen en risico’s rondom data
• Waar wordt de verantwoordelijkheid belegd voor datagebruik
• Waar op letten bij een audit op kwaliteit van datagebruik
• Hoe blijven we concurrerend ten opzichte van de US en China
• Het strategisch belang van digitalisering binnen de organisatie
• Hoe gaan commissarissen om met hun verantwoordelijkheid  

Als we naar deze ontwikkelingen kijken vanuit een bredere geopolitieke context, dan zien we dat Europa streeft naar digitale soevereiniteit te midden van toenemende geopolitieke spanning.

China leidt op 37 van 44 cruciale technologieën, terwijl Europa worstelt met afhankelijkheid. Je zou kunnen stellen dat ESG een nieuwe betekenis krijgt. In plaats van Environmental, Social, and Governance lijkt het nu te gaan om Energy, Security and Geopolitics. 

"Data is de nieuwe olie" is een veelgehoorde uitspraak. Data hebben een enorme economische waarde. De EU-dataeconomie omvat naar verwachting in 2026 €829 miljard. Organisaties beschouwen data dan ook steeds vaker als strategische asset.

Daarbij blijkt het vaststellen van juridisch eigendom van data lastig. “Eigendom van data” in juridische zin bestaat niet. Als we spreken over eigendom van data gaat het feitelijk om wie effectieve juridische, technische en/of financiële controle heeft over en toegang tot data. “Data” is geen vaststaand begrip of werkbaar woord. Daarom is het essentieel om data in te delen vanuit verschillende categorieën zoals: persoonlijke data, big data, meta open data en overheidsdata, Verschijningsvormen van data: statische data (at rest), data in beweging (in transit) of dynamisch in gebruik (in use). Dat maakt afbakening en grip op de materie mogelijk. Meta data is een vaak niet gewaardeerde asset. Meta data zegt iets over andere data en heeft daardoor mogelijk grote waarde, denk aan betaalverkeergegevens, zoals nu geregeld via de Payment Services Directive.

Een belangrijk aandachtspunt binnen de datastrategie is de samenwerking met externe partners. Bijvoorbeeld de keuze tussen hyperscalers als AWS, Google Cloud en Azure in vergelijking met EU-oplossingen als IONOS, Fuga cloud en OVHcloud en anderen. Daarbij gaat de afweging over innovatie en schaalbaarheid enerzijds, en digitale soevereiniteit en compliance anderzijds. Zaken als datalocatie, vendor lock-in, kosten en transparantie staan centraal in de keuze voor samenwerkingspartners.

Bij het maken van beleid rondom data en wetgeving, gelden de volgende aanbevelingen: 

1. Ontwikkel een datastrategie en governance

Data is uw nieuwe strategische asset, maar zonder heldere governance blijft de waarde onbenut. Als commissaris bent u verantwoordelijk voor het toezicht op een robuuste datastrategie die waarde creatie, risicobeheer en compliance integreert. Heb uw data huishouding (eigen data en data van derden) op orde. Uw organisatie heeft een duidelijk mandaat nodig voor datagebruik, eigenaarschap van processen en meetbare KPI's. Zonder deze fundamenten loopt u achter de feiten aan in plaats van voorop. Zorg dat datastrategie geen IT-project wordt, maar een boardroom-prioriteit..

2. Blijf op de hoogte van snel veranderende wet- en regelgeving 

De regelgevingstsunami wacht niet op uw organisatie. Met ruim 126 nieuwe digitale wetten transformeert het speelveld radicaal. Uw toezichthoudende rol vereist dat u proactief anticipeert op komende wetgeving zoals de AI Act, Data Act en NIS2. Reactieve compliance is duur, risicovol en schaadt uw concurrentiepositie structureel. Investeer in juridische expertise en early warning systemen die uw organisatie voorbereiden. Bepaal welke rol uw organisatie heeft en stel vast welke wet- en regelgeving daarop van toepassing is en hoe deze zich verhoudt in onderlinge samenhang en niet wet voor wet. Bijvoorbeeld: verwerkingsverantwoordelijke onder de AVG, datahouder onder de Data Act, aanbieder van een AI systeem onder de AI Act en entiteit onder Nis2.

3. Bereid organisatie voor op compliance requirements in CGC

De nieuwe Corporate Governance Code met VOR (Verklaring Omtrent Risicobeheersing) verhoogt de persoonlijke verantwoordelijkheid van bestuurders aanzienlijk. Vanaf 2025 moeten beursgenoteerde ondernemingen en OOB’s  rapporteren over compliance-, operationele- en verslaggevingsrisico’s. Dit vraagt om robuuste interne controlesystemen, gedocumenteerde processen en regelmatige effectiviteitsbeoordeling. Uw reputatie en aansprakelijkheid staan op het spel bij tekortkomingen. Zorg dat uw organisatie nu al voldoet aan de verscherpte eisen. 

4. Maak cybersecurity topprioriteit (NIS2 verplichtingen)

Cybersecurity is geen IT-issue meer, maar een strategisch risico dat persoonlijke aansprakelijkheid van bestuurders en uw verantwoordelijkheid als commissaris raakt. NIS2 verplicht tot integratie van cyberrisico's in uw governance en strategisch beleid. Structurele passiviteit bij cyberdreigingen kan leiden tot kennelijk onbehoorlijk bestuur en persoonlijke aansprakelijkheid. Uw organisatie heeft een proactieve cybersecuritystrategie nodig met regelmatige updates aan de RvC. Onwetendheid is geen verweer meer. Cybersecurity is bestuurlijke zorgplicht. 

5. Overweeg datalocatie strategisch (EU versus non-EU)

De keuze waar uw data wordt opgeslagen bepaalt uw digitale soevereiniteit en compliance risico's fundamenteel. Hyperscalers bieden schaalbaarheid en innovatie, maar kunnen vendor lock-in en jurisdictierisico's met zich meebrengen. EU-cloudoplossingen voorzien wellicht in meer datasoevereiniteit maar hebben beperkingen in functionaliteit en schaal. Uw beslissing over datalocatie beïnvloedt AVG/NIS2 compliance, geopolitieke risico's en strategische autonomie. Maak deze afweging bewust en documenteer uw overwegingen voor toekomstige verantwoording. 

6. Vind balans tussen risicobeheersing en strategische groei

Compliance mag geen innovatieremmer worden. De rol va de bestuurder rol is het vinden van de juiste balans tussen groei en governance. Overmatige risicomijding leidt tot concurrentienadeel, terwijl onvoldoende controle reputatie- en aansprakelijkheidsrisico's creëert. Investeer in systemen die compliance inbedden in bedrijfsprocessen, zonder de operationele efficiëntie te belemmeren. Uw organisatie heeft 'intelligent risk-taking' nodig: berekende risico's nemen binnen heldere kaders. Transformeer compliance van kostenpost naar strategisch voordeel.

Kortom, organisaties doen er goed aan om zo snel mogelijk "Digital Decade proof" te worden door proactief om te gaan met deze fundamentele verschuivingen in data governance en regelgeving.

Zet stappen bij het opstellen van beleid, het beleggen van verantwoordelijkheden en het kiezen van partners binnen en buiten de organisatie. Het KPMG Compliance Framework biedt bijvoorbeeld een gestructureerde aanpak, waarbij verplichtingen worden vertaald naar concrete business requirements, zodat organisaties effectiever prioriteiten kunnen stellen en risico's beheren.