Wet of data? Het dilemma dat iedereen raakt maar niemand alleen kan oplossen

Steeds meer organisaties lopen tegen hetzelfde muur op. De BI-afdeling wil voorspellen, modelleren en sturen op data. De informatiebeheerder wijst op de Archiefwet. De privacy-officer gooit de AVG op tafel. En de jurist fluistert iets over de Woo. En dan valt het stil.

Want wie heeft er gelijk?

Niemand. En iedereen tegelijk. En dat is precies waarom dit zo'n hardnekkig probleem is.

Het begint met een ogenschijnlijk simpele vraag

Wat doe je met data die je niet meer nodig hebt voor het doel waarvoor je ze hebt verzameld, maar die wél waardevol zijn voor toekomstige analyses? Voor BI-teams is het antwoord vanzelfsprekend: bewaren. Voor informatiebeheerders, privacy-officers en juristen is het antwoord even vanzelfsprekend: vernietigen of niet meer gebruiken.

Beide antwoorden zijn correct. Vanuit hun eigen kader.

En dat is het punt. Want in de meeste organisaties leven die kaders gescheiden van elkaar. De BI-analist bouwt modellen. De informatiebeheerder beheert vernietigingslijsten. De privacy-officer bewaakt verwerkingsregisters. De jurist beoordeelt risico's. En de CISO let op toegang en beveiliging. Ze werken in dezelfde organisatie, aan dezelfde data, maar spreken zelden dezelfde taal laat staan dat ze tegelijk aan tafel zitten.

Totdat er iets misgaat.

Wat de wet zegt en waarom dat niet genoeg is

De wetgeving is op zichzelf helder. De Archiefwet verplicht tijdige vernietiging van documenten zonder blijvende waarde. De AVG verbiedt dat persoonsgegevens langer worden bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld en een BI-model is zelden dat oorspronkelijke doel. De Woo maakt overheidsinformatie opvraagbaar, ook als je dacht dat je het had vernietigd of juist had bewaard zonder grondslag. En de BIO en NIS2 stellen grenzen aan hoe lang, hoe veilig en met welke toegangsrechten data bewaard mag worden.

Vier wettelijke kaders. Meerdere toezichthouders. Elk met hun eigen sanctiemechanisme. En elk met een legitieme claim op dezelfde dataset.

Maar de wet lost het dilemma niet op. De wet beschrijft de grenzen. Wat er binnen die grenzen moet gebeuren welke keuze de organisatie maakt, wie daarvoor verantwoordelijk is en wie de consequenties draagt dat is geen juridische vraag. Dat is een bestuurlijke en organisatorische vraag. En die wordt zelden gesteld.

De drie opties die op tafel liggen en wat ze echt kosten

Elke organisatie die met dit dilemma worstelt, heeft uiteindelijk drie opties. Ze worden niet altijd bewust gekozen soms ontstaan ze gewoon, doordat niemand een beslissing neemt. Maar ze hebben alle drie een prijs, en die prijs wordt altijd betaald. De vraag is alleen door wie.

De eerste optie is niet vernietigen. De dataset blijft compleet, de modellen blijven kloppen, en voorlopig merkt niemand het. Maar onder de Archiefwet is niet-tijdig vernietigen non-compliance. Onder de AVG is onnodig bewaren van persoonsgegevens een overtreding die de Autoriteit Persoonsgegevens actief handhaaft. En onder de Woo kan die bewaarde data plotseling opvraagbaar zijn inclusief de gevoelige patronen die het BI-model erin heeft gevonden. Bewaren zonder grondslag is geen neutrale keuze. Het is innovatie kopen op rekening van compliance. En die rekening komt altijd. Meestal op het moment dat je er het minst op zit te wachten, en bij de professional die heeft getekend.

De tweede optie is een kopie aanmaken voor BI de data vernietigen conform de wet, maar eerst een analytische kopie bewaren voor modellering. Slimmer, maar niet automatisch legaal. De AVG vraagt om een uitdrukkelijk doel, een rechtsgrondslag én een bewaartermijn, ook voor die kopie. Anonimisering klinkt als de uitweg, maar echte anonimisering is technisch lastiger dan de meeste organisaties denken. Pseudonimisering is geen anonimisering onder de AVG als de kopie nog herleidbaar is tot personen, gelden alle verplichtingen gewoon weer. Wie is verwerkingsverantwoordelijke? Wie beheert de toegang? Valt de kopie onder de Archiefwet of niet? Dit zijn vragen die de informatiebeheerder, de privacy-officer, de jurist en de CISO samen moeten beantwoorden. Als die vier niet samen aan tafel zitten, wordt de governance niet geregeld en draait de analist die de kopie heeft aangemaakt op voor de consequenties.

De derde optie is de wet volgen en accepteren wat dat doet. Compliant, veilig, juridisch stevig. Maar ook eerlijk over de consequentie: de BI-dataset wordt met de tijd een gatenkaas. Vernietigde selecties laten blinde vlekken achter in de modellen. Voorspellingen kloppen steeds minder niet omdat het model slecht is, maar omdat de input structureel onvolledig is. Een BI-uitkomst op basis van een juridisch compliant maar inhoudelijk incomplete dataset is geen neutraal getal. Het is een schatting met een asterisk. Die asterisk moet worden benoemd naar het bestuur, naar de opdrachtgever, naar de gebruiker van het model. Maar de analist kan dat alleen doen als de organisatie hem de ruimte geeft om het eerlijk te zeggen, en als het bestuur bereid is het te horen.

Wie draagt de rekening?

Hier wordt het ongemakkelijk. Want in de praktijk wordt geen van deze drie opties bewust gekozen op het niveau waar ze thuishoren. Ze ontstaan. Doordat de BI-analist doorwerkt met de data die er is. Doordat de informatiebeheerder vernietigingslijsten uitvoert zonder dat iemand nadenkt over de BI-consequenties. Doordat de privacy-officer een kopie terugvindt die niemand had gemeld. Doordat de jurist bij een Woo-verzoek staat te kijken wat er eigenlijk nog bestaat.

Iedereen doet zijn werk. Vanuit zijn eigen kader. Met zijn eigen gelijk. En de rekening belandt bij degene die toevallig als laatste iets heeft getekend.

Dat is niet eerlijk. En het is ook niet effectief. Want het echte probleem de botsing tussen de ambitie om te innoveren en de plicht om compliant te zijn wordt zo nooit opgelost. Het wordt alleen doorgeschoven.

De enige vraag die telt

Dit dilemma lost zich niet op door betere tools, slimmere modellen of scherpere vernietigingslijsten. Het lost zich op als de juiste mensen tegelijk aan tafel zitten en een keuze maken die ze vervolgens ook uitleggen aan de organisatie, aan de gebruikers van de data, en aan de toezichthouder die ooit kan langskomen.

Innovatie of compliance? Dat is een valse tegenstelling. Maar zolang die keuze niet bewust wordt gemaakt, blijft het een conflict. En blijft de rekening liggen waar hij niet thuishoort: bij de professional op de werkvloer.

Dus: wat doe jij?

Herken jij dit patroon in jouw organisatie? Wie voert bij jullie dit gesprek en op welk niveau? Hebben jullie een werkbare aanpak gevonden, of worstelen jullie nog met de vraag welke optie het minste kwaad is?

En misschien wel de scherpste vraag: als het misgaat wie draait er dan op?

Deel je ervaring hieronder. Want dit is een discussie die de sector samen moet voeren niet per afdeling/team, maar als geheel. Juist omdat het antwoord niet in één kader past.