De afgelopen jaren is gebleken dat wetgeving zoals de GDPR en, recenter, de NIS2-richtlijn leidt tot stagnatie, verwarring en terughoudendheid binnen organisaties. In beide gevallen ligt de oorzaak niet in de intentie van de wetgeving, maar in de manier waarop deze wordt geïnterpreteerd en geïmplementeerd. Onduidelijke definities, brede verplichtingen en open normen zorgen ervoor dat organisaties vaak niet weten wat wel of niet toelaatbaar is. Daardoor worden investeringen uitgesteld, technologieën niet geïmplementeerd en neemt het risico op non-compliance juist toe.
Deze whitepaper toont aan dat er wel degelijk oplossingen bestaan die structureel bijdragen aan compliance én operationele eenvoud. Aan de hand van een praktijkvoorbeeld – de Palm-ID Card, een nieuw ontwikkelde biometrische toegangskaart die fundamenteel anders werkt dan gangbare oplossingen – wordt geïllustreerd hoe technologie die vanaf de basis ontworpen is met privacy en security by design, veel van de structurele problemen van wetgeving oplost in plaats van ze te beheren.
Structurele knelpunten in GDPR en NIS2
De GDPR vraagt van organisaties dat zij zorgvuldig omgaan met persoonsgegevens en daar volledige verantwoording over afleggen. Maar in de praktijk:
- Zijn kernbegrippen zoals ‘gerechtvaardigd belang’, ‘passende maatregelen’ en ‘minimale gegevensverwerking’ juridisch vaag.
- Ontstaat verwerking al zodra een kaartnummer wordt gekoppeld aan een persoon, tijdstip of gedraging.
- Hebben veel organisaties geen volledig zicht op hoe data wordt verwerkt in externe systemen.
Het gevolg is dat organisaties risico’s trachten te beheersen met documentatie, DPIA’s en verwerkersovereenkomsten, maar zelden de fundamentele vraag stellen: Is deze verwerking überhaupt noodzakelijk?
NIS2: technische en organisatorische maatregelen zonder handvatten
NIS2 legt vergelijkbare verplichtingen op voor de beveiliging van netwerk- en informatiesystemen, maar:
- Laat het aan organisaties zelf over wat ‘passend’ is.
- Verlegt risico’s naar toeleveranciers via ketenverantwoordelijkheid.
- Vereist aantoonbare beveiliging, zonder technische richtlijnen.
Ook hier leidt de vaagheid tot terughoudendheid en onzekerheid. Terwijl NIS2 expliciet streeft naar het versterken van cyberweerbaarheid, is het risico groot dat organisaties verzanden in papierwerk en procedures zonder daadwerkelijke risicoreductie.
Palm-ID Card als voorbeeld van risicobeperking door ontwerp
De Palm-ID Card is een voorbeeld van een technologie die vanaf het begin is ontworpen volgens de principes van privacy by design, security by design en minimal data exposure. In plaats van bestaande oplossingen aan te passen aan wetgeving, is de Palm-ID Card ontwikkeld vanuit de vraag: hoe kunnen we toegang veilig regelen zonder persoonsgegevens te verwerken of systemen kwetsbaar te maken?
Ontwerpkeuzes die compliance mogelijk maken
- De kaart werkt volledig stand-alone en is niet verbonden met een netwerk.
- Biometrische data wordt uitsluitend opgeslagen op de kaart en nooit extern gedeeld.
- Bij een succesvolle biometrische match wordt een versleuteld nummer gegenereerd.
- Alleen het toegangscontrolesysteem van de klant bepaalt de koppeling aan een persoon.
- Er wordt geen logging uitgevoerd tenzij de klant daar expliciet voor kiest.
Waarom dit wél werkt onder GDPR en NIS2
- Geen centrale opslag betekent geen risico op datalekken bij systeeminbraak.
- Geen netwerkconnectie betekent geen kwetsbaarheid voor remote aanvallen.
- Geen verwerking door de leverancier betekent geen verwerkersovereenkomst of DPIA.
- Geen standaard logging betekent minimale impact op privacy en naleving van bewaartermijnen.
Doordat de Palm-ID Card niets weet, niets bijhoudt en niets verspreidt, hoeft hij juridisch ook niets te verantwoorden. Het product faciliteert toegang — niet identiteit. En dat maakt het fundamenteel anders dan vrijwel elke andere toegangsoplossing.
Van compliance naar ontwerpkeuze
Zowel GDPR als NIS2 leggen de nadruk op verantwoordelijkheid: niet alleen voor het naleven van regels, maar ook voor het onderbouwen van keuzes. De Palm-ID Card sluit hier naadloos op aan door het risico aan de bron te reduceren:
- Geen persoonsgegevens → geen verwerking → geen verplichting
- Geen netwerk → geen kwetsbaarheden → geen dreiging vanuit NIS2
- Geen logging → geen opslagbeleid → geen retentieconflict
Deze ontwerpkeuzes maken de Palm-ID Card niet alleen juridisch aantrekkelijk, maar ook operationeel eenvoudig en toekomstbestendig. Het resultaat is een product dat wetgeving niet belemmert, maar overbodig maakt door zijn intrinsieke veiligheid en eenvoud.
Conclusie
De stagnatie rondom GDPR en NIS2 is niet te wijten aan onwil, maar aan onduidelijkheid. In beide gevallen geldt: wie risico’s kan vermijden, hoeft ze niet te beheren. De Palm-ID Card toont aan dat technologie, mits vanaf de basis goed ontworpen, kan bijdragen aan rust, zekerheid en eenvoud in een omgeving die steeds complexer wordt. Organisaties doen er goed aan niet langer te zoeken naar oplossingen die wetgeving proberen te omzeilen of in te passen, maar te investeren in producten die wetgeving overbodig maken door risico’s bij de bron weg te nemen.
Meer weten? Neem contact op met een specialist van privacy, security en technologie.