AVG-compliance in de cloud: wat BI-specialisten moeten weten

Bij BWNEXT zien we dat datagovernance in de cloud pas werkt als beleid, technische beheersmaatregelen en juridische kaders vanaf het begin als één geheel worden ingericht. Juist voor organisaties die bewezen Data, Cloud en AI-talent zoeken dat ook in productie kan leveren, zijn in 2026 drie kaders bepalend: de AVG, de EU Data Act en ISO/IEC 27017. Tegen die achtergrond draait cloudgovernance om grip op wie toegang heeft tot welke data, hoe data wordt geclassificeerd en hoe privacyverplichtingen aantoonbaar worden nagekomen.

t](https://digital-strategy.ec.europa.eu/en/policies/data-act) (van toepassing sinds 12 september 2025) en ISO/IEC 27017 als cloudspecifieke beveiligingsnorm.

Belangrijkste inzichten:

• Cloudgebruik groeit snel: volgens Eurostat gebruikte in 2025 ruim 52% van de EU-bedrijven betaalde clouddiensten, bij grote ondernemingen lag dat aandeel doorgaans nog hoger.
• De EU Data Act verbiedt cloudproviders om overstapkosten te rekenen, volledig van kracht vanaf 12 januari 2027.
• ISO 27017 voegt 7 cloudspecifieke controls toe bovenop ISO 27001 en geeft voor 37 bestaande controls extra implementatieguidance.
• AVG-handhaving neemt toe: de Autoriteit Persoonsgegevens (AP) heeft de bevoegdheid aanzienlijke boetes op te leggen en meldingen van datalekken moeten binnen 72 uur worden ingediend.
• Een BI-specialist of data engineer die governance niet als technisch fundament behandelt, creëert risico's die later het hele dataplatform raken.

Waarom datagovernance in de cloud meer is dan een compliance-checkbox

Wat BWNEXT herhaaldelijk tegenkomt bij opdrachten in de data- en cloudpraktijk: organisaties hebben een cloudplatform gebouwd, dashboards draaien, pipelines lopen, maar de governance is achteraf ingestoken als vinklijstje. Een data governance-specialist of BI-specialist wordt dan gevraagd de boel achteraf op orde te brengen, terwijl het dataplatform al maanden in productie draait.

Dat is precies de volgorde die het duurst uitpakt. Niet alleen qua compliancerisico, maar ook qua technische schuld. Een dataplatform zonder classificatiebeleid, zonder duidelijke verwerkersovereenkomsten en zonder toegangscontrole per domein is moeilijker te migreren, moeilijker te auditen en moeilijker schaalbaar te maken richting AI-toepassingen.

Cloudgroei maakt governance urgenter, niet makkelijker

Volgens Eurostat (Europese Commissie) gebruikte in 2025 circa 52,7% van de EU-bedrijven betaalde clouddiensten, een stijging van ruim 7 procentpunt ten opzichte van 2023. Bij grote ondernemingen lag het cloudgebruik doorgaans al op of boven de 80%. Meer clouddiensten betekent meer gegevensverwerkingslocaties, meer leveranciers en daarmee meer juridische aanknopingspunten voor de AVG.

De EU streeft er bovendien naar dat tegen 2030 drie op de vier EU-bedrijven cloudservices, big data of AI inzetten. Datagovernance is daarmee geen eenmalig project, maar een structurele discipline die meegroeit met het platform.

Het verschil tussen datakwaliteit en datagovernance

Een veelgemaakte verwarring: datakwaliteit (zijn mijn gegevens correct en volledig?) is iets anders dan datagovernance (wie mag wat met welke data, en op basis van welke regels?). Governance omvat classificatiebeleid, eigenaarschapsdefinities, toegangscontrole, retentiebeleid en aansluiting op wettelijke verplichtingen zoals de AVG. Datakwaliteit is een onderdeel van governance, maar governance is breder.

Een BI-specialist of data engineer die alleen kijkt naar pijplijnkwaliteit, ziet maar een deel van het plaatje. De governance-laag bepaalt uiteindelijk of het dataplatform duurzaam is en of het bij een audit of incident overeind blijft.

Zelf aan de slag:

• Controleer of je dataplatform een dataclassificatiebeleid heeft (minimaal drie niveaus: openbaar, intern, vertrouwelijk).
• Inventariseer hoeveel externe cloudleveranciers persoonsgegevens verwerken en of voor elk een getekende verwerkersovereenkomst bestaat.
• Check of het retentiebeleid per dataklasse gedocumenteerd is, inclusief automatische verwijdertermijnen.
• Stel vast wie per domein de data owner is, niet alleen de technische beheerder.

Wat de AVG in de cloud concreet van je vraagt

"Klanten zien ons als sparringspartner; de data manager kan echt op ons advies vertrouwen."

— Bas

De AVG (Algemene Verordening Gegevensbescherming) is de Europese privacywet die organisaties verplicht om persoonsgegevens rechtmatig, transparant en doelgebonden te verwerken. De Autoriteit Persoonsgegevens is de Nederlandse toezichthouder en kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet bij overtredingen.

In een cloudcontext zijn er drie AVG-uitdagingen die BWNEXT bij vrijwel elk project tegenkomt.

Gegevensoverdracht buiten de EER

Amerikaense cloudproviders vallen onder de CLOUD Act, wat betekent dat Amerikaanse autoriteiten in theorie toegang kunnen opeisen tot data, ongeacht waar die data fysiek staat. Dit creëert een potentieel conflict met de AVG, die stelt dat persoonsgegevens van EU-burgers passend beschermd moeten zijn bij overdracht buiten de Europese Economische Ruimte. Organisaties die uitsluitend op contractuele afspraken of dataresidentie vertrouwen, lopen het risico dat dit bij een Transfer Impact Assessment als onvoldoende wordt beoordeeld.

Praktische oplossingen: Standard Contractual Clauses combineren met klant-beheerde encryptiesleutels, of kiezen voor cloudproviders die volledig onder EU-jurisdictie vallen. Voor sectoren als zorg, financiële dienstverlening en overheid in Nederland is datalocatie doorgaans een harde eis, niet slechts een voorkeur.

Datalekken en de 72-uursnorm

Bij een datalek geldt een meldplicht van 72 uur aan de Autoriteit Persoonsgegevens. Wie data verspreid heeft over meerdere internationale clouds, heeft in de praktijk dikwijls meer tijd nodig om vast te stellen wélke data gelekt is en onder welke jurisdictie die valt. Een goed ingericht governanceframework, met centrale registratie van verwerkingsactiviteiten en duidelijk gedefinieerde data-eigenaren per domein, verkort de responstijd aanzienlijk.

Verwerkersovereenkomsten als contractueel anker

Elke cloudleverancier die persoonsgegevens namens jouw organisatie verwerkt, is een verwerker in de zin van de AVG. Een getekende verwerkersovereenkomst (Data Processing Agreement) is verplicht. Maar de overeenkomst is pas waardevol als de technische en organisatorische maatregelen die erin staan ook feitelijk zijn geïmplementeerd. BWNEXT hanteert bij cloudimplementaties de werkwijze om verwerkersovereenkomsten niet als juridisch sluitstuk te behandelen, maar als checklist voor technische inrichting: welke encryptiestandaard, welk toegangsmodel, welke retentietermijn?

Zelf aan de slag:

• Controleer of alle sub-processors van je primaire cloudleverancier in de verwerkersovereenkomst zijn opgenomen.
• Test of je incident response-procedure binnen 72 uur een volledig lek-overzicht kan produceren, inclusief betrokken datakategorieën en betrokkenen.
• Ga na of gebruikte cloudplatforms (Azure, AWS, GCP) een Data Processing Addendum hebben getekend en of EU-datahosting expliciet is geconfigureerd.

ISO 27017 en de EU Data Act: twee kaders die je cloudarchitectuur bepalen

ISO 27017: cloudbeveiliging die verder gaat dan ISO 27001

ISO/IEC 27017 is de internationale norm die cloudspecifieke beveiligingscontroles biedt bovenop ISO 27001 en ISO 27002. De norm introduceert 7 aanvullende cloudspecifieke controls en geeft voor 37 bestaande ISO 27002-controls extra implementatieguidance voor zowel cloudproviders als cloudafnemers.

Waar ISO 27001 de algemene informatiebeveiligingseisen omschrijft, adresseert ISO 27017 uitdagingen die uniek zijn voor de cloud: gedeelde verantwoordelijkheidsmodellen, multi-tenancy, virtuele infrastructuur en het beheer van data gedurende de volledige levenscyclus van een cloudservice, inclusief veilige verwijdering bij contractbeëindiging.

Voor een BI-specialist of data engineer betekent dit concreet: bij het inrichten van een dataplatform op Azure, AWS of GCP moeten controls als datacategorisatie, toegangslogging en het expliciet vastleggen van verantwoordelijkheidsverdeling (wie is verantwoordelijk voor wat in het gedeelde model) standaard onderdeel zijn van de architectuurdocumentatie.

EU Data Act: portabiliteit en einde aan leveranciersafhankelijkheid

De EU Data Act is op 11 januari 2024 in werking getreden en van toepassing sinds 12 september 2025. De verordening verplicht cloudproviders om overstapdrempels te verwijderen en dataportabiliteit te garanderen. Concreet: vanaf 12 januari 2027 is het cloudproviders volledig verboden om overstapkosten in rekening te brengen.

Voor organisaties die nu een cloudplatform bouwen of migreren, heeft dit directe architectuurimplicaties. Lock-in op een enkel platform wordt juridisch steeds moeilijker te rechtvaardigen, maar ook technisch riskanter als de architectuur geen standaard-API's en portabele dataformaten gebruikt. BWNEXT adviseert bij cloudmigratietrajecten dan ook altijd een portabiliteitsevaluatie als onderdeel van de platformkeuze, naast de technische en kostenmatige afwegingen. Meer over die afwegingen is te lezen in het artikel over Azure-dataplatform migreren: valkuilen en slimme keuzes.

Vergelijking: governance-kaders naast elkaar

Zelf aan de slag:

• Controleer of de contracten met cloudproviders al rekening houden met de portabiliteitsverplichtingen van de EU Data Act (van kracht per 12 sept. 2025).
• Vraag je cloudprovider om een overzicht van de ISO 27017-controls die zij implementeren en leg de verantwoordelijkheidsverdeling vast.
• Inventariseer welke dataplatformen geen standaard exportformaten ondersteunen en beoordeel het lock-in risico.

Hoe een BI-specialist governance verankert in het dataplatform

Een BI-specialist die werkt aan een dataplatform, staat op het snijpunt van techniek en beleid. Governance is daarmee geen juridische bijlage, maar een ontwerpkeuze die de architectuur raakt.

Dataclassificatie als fundament van toegangsbeleid

Zonder een heldere dataclassificatie zijn toegangsrechten willekeurig. In de praktijk zien BWNEXT-consultants bij opdrachtgevers dat datasets in een lakehouse of een Databricks-omgeving vaak op projectbasis worden aangemaakt, zonder dat de classificatie en het bijbehorende toegangsmodel van tevoren zijn vastgelegd. Het gevolg: elke nieuwe pipeline vereist een ad-hoc beveiligingsdiscussie, wat de doorlooptijd van projecten doorgaans aanzienlijk verlengt.

Een bruikbaar basismodel onderscheidt drie niveaus: openbaar (geen persoonsgegevens, vrij toegankelijk binnen de organisatie), intern (bedrijfsgevoelig, rolgebaseerde toegang) en vertrouwelijk (persoonsgegevens of bedrijfskritische gegevens, strikt need-to-know). Hogere niveaus vereisen ook hogere controles: encryptie at rest en in transit, auditlogging en verplichte verwerkersovereenkomsten.

Metadata-gedreven governance in Databricks, Snowflake en Microsoft Fabric

Moderne dataplatformen bieden native governance-functies die direct aansluiten op AVG-eisen. In Databricks kan Unity Catalog worden gebruikt voor gecentraliseerde toegangscontrole en datalineage. Snowflake biedt Dynamic Data Masking en Row Access Policies. Microsoft Fabric heeft Microsoft Purview als governance-laag ingebakken.

De architectuurkeuze voor een governance-tooling-laag hoort bij de initiële platformkeuze, niet bij de operationalisering achteraf. BWNEXT hanteert hiervoor de aanpak om bij platformselectie drie dimensies te evalueren: de volwassenheid van de governance-functies, het kostenmodel van die functies, en hoe goed ze aansluiten op de bestaande compliance-infrastructuur van de opdrachtgever. Meer over platformselectie staat in het artikel over cloudarchitectuur en NIS2-compliance.

Van BI-dashboard naar verantwoord dataproduct

Een BI-transformatie die alleen kijkt naar gebruiksgemak en selfservice, maar niet naar datakwaliteitsregels en toegangscontrole, creëert op termijn een governance-gat. Neem een head of analytics bij een middelgrote productiefirma: rapportages worden breed gedeeld, maar niemand heeft vastgesteld welke kolommen persoonsgegevens bevatten of wie er wijzigingen in de brondata mag aanbrengen. Bij een AP-verzoek of interne audit wordt de kwetsbaarheid pas zichtbaar. Een aanpak die governance van meet af aan inbouwt in het dataproductontwerp, voorkomt die situatie. Meer over BI-transformatie als geheel staat in het artikel van Excel naar self-service analytics.

Zelf aan de slag:

• Controleer of je Unity Catalog, Purview of een vergelijkbaar governance-platform is geconfigureerd met actief datalineage-tracking.
• Verifieer of elke tabel of dataset in je platform een geregistreerde data owner heeft die verantwoordelijk is voor classificatie en toegangsrecht.
• Test of de automatische retentietermijnen worden gehandhaafd: verwijder je persoonsgegevens daadwerkelijk na de afgesproken bewaartermijn?
• Stel een kwartaalreview in voor het toegangsbeleid: zijn er accounts die toegang hebben die ze niet meer nodig hebben?

Best practices checklist voor datagovernance en AVG-compliance in de cloud

Best Practices Checklist voor IT Consultancy, Data, Cloud en AI:

• Dataclassificatiebeleid vastgesteld: Elk dataset in het platform heeft een classificatieniveau (openbaar, intern, vertrouwelijk), zodat toegangsbeleid reproduceerbaar en auditeerbaar is.
• Verwerkersovereenkomsten compleet en actueel: Voor elke cloudleverancier die persoonsgegevens verwerkt is een getekende DPA aanwezig, inclusief sub-processors en retentieafspraken.
• Toegangscontrole op basis van dataclassificatie: Toegangsrechten zijn rolgebaseerd ingericht en sluiten aan op de classificatielagen, niet op projectbasis ad-hoc vergeven.
• Datalekprocedure getest op 72-uursrespons: Het incident response-proces is aantoonbaar in staat om binnen de AVG-termijn een volledig overzicht te produceren van betrokken data en betrokkenen.
• EU Data Act portabiliteitscheck uitgevoerd: Contracten met cloudproviders zijn gereviewed op overstapclausules en dataportabiliteit in lijn met de verordening van kracht per 12 september 2025.
• ISO 27017-verantwoordelijkheidsverdeling gedocumenteerd: Voor het gebruikte cloudplatform is vastgelegd welke beveiligingscontroles de provider levert en welke de eigen organisatie moet implementeren.
• Governance-tooling geactiveerd in het dataplatform: Unity Catalog, Microsoft Purview of een vergelijkbaar platform is operationeel en niet slechts geïnstalleerd.
• Periodieke privacyimpactbeoordeling (PIA) ingepland: Voor nieuwe dataverwerkingen of platformwijzigingen wordt standaard een PIA uitgevoerd voordat productie gaat.

Veelgemaakte fouten die governance-trajecten doen mislukken

Governance als sluitpost van het project

De meest voorkomende fout is governance behandelen als een uitrolactiviteit in de laatste projectfase. In de praktijk zien BWNEXT-consultants dat compliance-vereisten pas worden meegenomen nadat de architectuur al vaststaat, wat aanpassingen duur en tijdrovend maakt. Het fundament leggen begint bij de eerste architectuurdiscussie, niet bij de go-live.

Verwerkersovereenkomsten die niet kloppen met de technische werkelijkheid

Een verwerkersovereenkomst die encryptie at rest beschrijft, terwijl het platform geen versleuteling heeft geconfigureerd, biedt geen enkele bescherming. Bij BWNEXT is de aanpak om de DPA te behandelen als een technische checklist: elke clausule over beveiliging wordt geverifieerd in de platformconfiguratie. Organisaties die dit overslaan, ontdekken de discrepantie doorgaans pas bij een externe audit of incident.

Datasoevereiniteit onderschatten bij Amerikaanse cloudproviders

Zoals eerder beschreven vallen Amerikaanse providers onder de CLOUD Act. Veel organisaties in Nederland zijn zich bewust van dit risico, maar nemen geen concrete maatregelen. De combinatie van Standard Contractual Clauses met klant-beheerde encryptiesleutels is de architecturale maatregel die de EDPB heeft goedgekeurd als mitigatie. Voor sectoren met hoge compliance-eisen, zoals financiële dienstverlening en zorg, is het overstappen naar of toevoegen van EU-native cloudopties doorgaans de meest afdoende route.

Te weinig aandacht voor de BI-specialist als governance-actor

Bij grote cloudplatformen wordt governance ingericht door cloudarchitecten en security-engineers. De BI-specialist die dagelijks met de data werkt, wordt zelden betrokken bij het ontwerp van het governancemodel. Dat is een gemiste kans: BI-specialisten kennen de datastromen, weten welke kolommen gevoelig zijn en begrijpen hoe businessgebruikers data interpreteren. Ze zijn de meest aangewezen partij om dataclassificatie en toegangsbeleid praktisch te vertalen naar de werkelijkheid van het dataplatform.

Zelf aan de slag:

• Controleer of governance expliciet is opgenomen als deliverable in het projectplan, niet alleen als requirement in de intake.
• Vraag de cloudprovider om een actuele lijst van gecertificeerde beveiligingscontroles (ISO 27001, ISO 27017, SOC 2) en vergelijk deze met wat in de verwerkersovereenkomst is afgesproken.
• Betrek de BI-specialist actief bij het classificeren van datasets in het platform, niet pas na livegang.

Veelgestelde vragen

Wat is datagovernance in de cloud en waarom is het anders dan on-premises?

Datagovernance in de cloud omvat het beleid, de technische controls en de juridische kaders waarmee een organisatie controle houdt over toegang, kwaliteit en compliance van data in cloudplatformen. In een cloudomgeving is datagovernance complexer dan on-premises, omdat data verspreid kan staan over meerdere providers, regio's en diensten, elk met hun eigen beveiligings- en jurisdictiemodel. De gedeelde verantwoordelijkheid tussen cloudprovider en afnemer, zoals beschreven in ISO 27017, maakt expliciete documentatie van die verdeling een technische en juridische noodzaak.

Welke boetes kan de Autoriteit Persoonsgegevens opleggen bij een AVG-overtreding in de cloud?

De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder op de AVG en heeft de bevoegdheid boetes op te leggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Bij een datalek in een cloudplatform waarbij persoonsgegevens niet adequaat beschermd waren, kan de AP ook aanwijzingen geven, dwangsommen opleggen en de overtreding publiceren. Organisaties zijn verplicht een datalek binnen 72 uur te melden, wat een goed ingerichte governancestructuur vereist om die termijn te halen.

Hoe helpt BWNEXT bij het inrichten van AVG-compliant datagovernance?

BWNEXT richt bij cloudimplementaties governance in als architectuuronderdeel, niet als sluitpost. Dat betekent: dataclassificatie en toegangscontrolemodellen worden tijdens de platformkeuze en -ontwerp meegenomen, verwerkersovereenkomsten worden getoetst aan de feitelijke technische configuratie en tooling zoals Unity Catalog of Microsoft Purview wordt operationeel gemaakt als onderdeel van de oplevering. BWNEXT-consultants zijn senior specialisten met end-to-end projectervaring op het snijpunt van data engineering, cloud architectuur en compliance, en werken voor organisaties in Brainport en breder in Nederland.

Wat verandert de EU Data Act voor cloudgebruikers in Nederland?

De EU Data Act (van toepassing sinds 12 september 2025) verplicht cloudproviders om overstapdrempels te verwijderen en dataportabiliteit te garanderen. Vanaf 12 januari 2027 is het cloudproviders volledig verboden om overstapkosten in rekening te brengen bij klanten die naar een andere provider willen migreren. Voor Nederlandse organisaties betekent dit dat contracten met cloudleveranciers gereviewed moeten worden op portabiliteitsen exitclausules, en dat architectuurkeuzes rekening moeten houden met standaard-API's en dataformaten die migratie realistisch houden.

Wat doet ISO 27017 dat ISO 27001 niet doet?

ISO 27017 is een aanvullende norm op ISO 27001 die specifiek is ontwikkeld voor cloudomgevingen. Waar ISO 27001 de algemene eisen voor een informatiebeveiligingsmanagementsysteem beschrijft, voegt ISO 27017 zeven cloudspecifieke controls toe en geeft voor 37 bestaande controls aanvullende implementatieguidance gericht op uitdagingen als multi-tenancy, gedeelde verantwoordelijkheid en veilige verwijdering van data bij contractbeëindiging. ISO 27017 kan niet op zichzelf worden gecertificeerd, maar wordt als uitbreiding van het ISO 27001-certificaat gerealiseerd, wat voor cloudafnemers en inkoopafdelingen een relevante kwalificatie is bij leveranciersselectie.

Conclusie

Datagovernance in de cloud is in 2026 geen optioneel project meer. De AVG met zijn handhavingsbevoegdheden, de EU Data Act die portabiliteit en exitrechten vastlegt, en ISO 27017 als best practice-norm vormen samen een kader dat elke organisatie die serieus met cloud werkt, moet kennen en inrichten.

Wat in de praktijk het verschil maakt, is volgorde: governance hoort bij de eerste architectuurdiscussie, niet bij de laatste uitrolistap. Een BI-specialist of data engineer die dat fundament meeontwerpt in plaats van achteraf aanpast, bespaart zijn opdrachtgever aanzienlijk meer tijd dan wanneer compliancerisico's pas zichtbaar worden bij een audit of incident.

Voor organisaties in Nederland die senior expertise zoeken om governance, AVG-compliance en cloudarchitectuur als samenhangend geheel in te richten, biedt BWNEXT een aanpak die begint bij het fundament. Niet met een standaardoplossing, maar met een analyse van wat de organisatie daadwerkelijk nodig heeft: van platformkeuze tot verwerkersovereenkomst en van toegangsbeleid tot portabiliteitsstrategie.