Organisaties die met meerdere wetten te maken krijgen, ervaren vaak hetzelfde ongemak. De AVG stelt eisen, de Cyberbeveiligingswet stelt eisen, en straks doet de AI Act dat ook. Het lijkt alsof u voor elk kader opnieuw begint, met een eigen lijst, een eigen aanpak en een eigen stapel bewijs. Dat voelt als dubbel, soms vijfdubbel werk.
In de praktijk overlappen die wetten meer dan u denkt. In dit artikel leggen we uit hoe u dat in uw voordeel gebruikt.
Verschillende wetten vragen vaak hetzelfde
Neem een alledaagse maatregel: het afdwingen van multifactorauthenticatie, dat extra inlogstap naast het wachtwoord. Die ene maatregel raakt aan opvallend veel kaders tegelijk:
- De AVG verlangt passende beveiliging van persoonsgegevens (artikel 32)
- De aankomende Cyberbeveiligingswet (de Nederlandse NIS2-implementatie, naar verwachting in 2026 van kracht) rekent multifactorauthenticatie en toegangsbeheer tot de zorgplicht (NIS2, artikel 21, lid 2)
- Voor AI-systemen met een hoog risico stelt de AI Act vergelijkbare cyberveiligheidseisen (artikel 15); ook sectorale kaders kennen vergelijkbare grondbeginselen
Het is dus niet zo dat elke wet iets compleet anders van u vraagt. Vaak vragen ze, in andere bewoordingen, om dezelfde onderliggende maatregel. Wie dat ziet, kan ophouden met vijf keer hetzelfde regelen.
De meeste wetten bouwen voort op een gedeelde basis van goede beveiliging en zorgvuldig databeheer. Die basis één keer goed inrichten dekt een groot deel van meerdere kaders tegelijk. Let wel: één maatregel dráágt bij aan meerdere kaders, maar dekt zelden een heel kader in zijn eentje. Elk kader vraagt daarnaast vaak om andere maatregelen, zoals back-ups, incidentbeheer en ketenbeveiliging.
Wat een crosswalk doet
Een crosswalk is, in gewone taal, een vertaaltabel tussen kaders. Het legt vast dat één maatregel meetelt voor meerdere wetten. U richt de maatregel één keer in, en de crosswalk zorgt dat ze verschijnt in elk kader waaraan ze bijdraagt.
Het beeld dat het beste past, is een wiel met spaken. In het midden staat de maatregel. De spaken lopen naar de verschillende wetten die er een beroep op doen. U onderhoudt het middelpunt, niet elke spaak apart.
Het verschil met de gangbare aanpak is groot:
- Zonder crosswalk houdt u per wet een aparte lijst bij. Verandert er iets aan de maatregel, dan moet u dat op elke lijst los bijwerken. Dat kost tijd en gaat vroeg of laat ergens mis.
- Met een crosswalk werkt u de maatregel op één plek bij, en de wijziging slaat automatisch door naar elk kader. U onderhoudt het bewijs op één plek, in plaats van in vijf losse dossiers.
Als dezelfde maatregel op meerdere plekken apart wordt bijgehouden, lopen die plekken onvermijdelijk uiteen. Dan klopt uw AVG-dossier wel, maar uw NIS2-dossier niet, terwijl het over precies dezelfde maatregel gaat. Eén bron van waarheid voorkomt dat.
Minder werk, en een vollediger beeld
Het voordeel is niet alleen efficiëntie, al is die aanzienlijk. Een crosswalk geeft u ook een vollediger beeld. Omdat elke maatregel gekoppeld is aan alle kaders waaraan ze bijdraagt, ziet u in één oogopslag wat één wijziging betekent voor uw totale naleving. Verbetert u uw toegangsbeleid, dan ziet u direct dat dit zowel uw AVG- als uw NIS2-positie versterkt.
Andersom werkt het ook. Komt er een nieuw kader bij, dan hoeft u niet vanaf nul te beginnen. Een groot deel van wat u al heeft, telt mee voor de nieuwe wet. U vult alleen aan wat echt nieuw is.
"U regelt de maatregel één keer goed. Elk kader dat er een beroep op doet, telt die bijdrage automatisch mee, al vraagt dat kader vaak ook om aanvullende maatregelen."
Begin bij wat op u van toepassing is
De eerste stap is weten welke kaders überhaupt op uw organisatie rusten. Niet elk bedrijf valt onder de Cyberbeveiligingswet, en de AI Act raakt alleen wie met bepaalde systemen werkt. Zodra dat helder is, kunt u de overlap in uw voordeel gebruiken in plaats van voor elk kader opnieuw te beginnen.
Een korte scope-check geeft u dat overzicht. Van daaruit wordt zichtbaar waar de wetten elkaar raken, en waar u met één goede maatregel meerdere verplichtingen tegelijk afdekt.
Bron: Rijksoverheid: Cyberbeveiligingswet (NIS2)
Bron: Autoriteit Persoonsgegevens: Beveiliging van persoonsgegevens
Wilt u weten waar uw verplichtingen elkaar overlappen, zodat u niet vijf keer hetzelfde regelt?
