De Autoriteit Persoonsgegevens (AP) – de Nederlandse toezichthouder op de Algemene Verordening Gegevensbescherming (AVG) – heeft voor 2026 een duidelijk signaal afgegeven. Waar het toezicht vroeger vooral reactief was op individuele datalekken of klachten, verschuift de focus nu naar structurele risico’s zoals machtsconcentraties, massasurveillance, AI gebruik en digitale afhankelijkheid. In deze blog bespreek ik kort wat deze drie AP-prioriteiten voor 2026-2028 en plaats ik deze in de bredere context van werving & selectie, AI en de vernieuwde NVP Sollicitatiecode.
Drie speerpunten van de AP 2026
De AP kiest in haar jaarplan 2026 expliciet voor een risico gestuurde aanpak, met focus op grootschalige systemen en organisaties met grote maatschappelijke impact. Drie thema’s staan centraal: massasurveillance, AI en digitale weerbaarheid. De privacy toezichthouder benadrukt dat zij haar beperkte capaciteit inzet waar technologie structureel ingrijpt in vrijheid, grondrechten en machtsverhoudingen. Daarbij hanteert de AP waarden als non-discriminatie, autonomie en transparantie van macht als criteria bij de selectie van toezichtdossiers. Voor organisaties betekent dit dat technische keuzes, zoals tracking en AI-tools steeds vaker worden beoordeeld op hun impact op grondrechten, niet alleen op compliance-details.
Massasurveillance: tracking is meer dan marketing
Massasurveillance is één van de meest prominente prioriteiten van de AP voor de periode 2026–2028. De toezichthouder kijkt nadrukkelijk verder dan camera’s en opsporing en rekent ook online tracking en profiling tot vormen van surveillance.
De norm is dat mensen zich vrij moeten kunnen bewegen, zowel offline als online. Dit zonder voortdurend gevolgd of gemonitord te worden. Cookie- en trackingpraktijken worden daarmee niet langer alleen als marketinginstrumenten gezien, maar als onderdeel van breder toezicht op massasurveillance.1
Organisaties die intensief gebruikmaken van thirdparty tracking, advertentienetwerken of vergaande profilering, doen er verstandig aan hun wettelijke grondslag voor verwerking, transparantie en proportionaliteit opnieuw kritisch te wegen.
AI als tweede pijler: vooraf borgen, niet achteraf blussen
AI vormt de tweede pijler van het APjaarplan 2026. De AP ziet dat AIsystemen steeds vaker beslissingen beïnvloeden over bijvoorbeeld selectie, beoordeling en risicoprofilering, met concrete risico’s op discriminatie, desinformatie en verlies van autonomie.
De AP benadrukt dat ingrijpen achteraf bij AIsystemen vaak moeilijk of zelfs onmogelijk is zodra al op grote schaal persoonsgegevens zijn verwerkt. Daarom kiest de toezichthouder voor een preventieve benadering: duidelijke kaders vooraf, met nadruk op transparantie, uitlegbaarheid en het voorkomen van structurele bias.
Deze lijn sluit aan op de Europese AIverordening, waarin AItoepassingen in HR en recruitment vaak als hoogrisico worden geclassificeerd. AIgovernance is daarmee geen toekomstmuziek meer, maar een direct bestuursrechtelijk en civielrechtelijk aandachtspunt.
Digitale weerbaarheid: privacy en security groeien naar elkaar toe
Digitale weerbaarheid is de derde prioriteit in het APjaarplan 2026. Burgers en organisaties zijn steeds afhankelijker van digitale diensten en infrastructuur. Daardoor neemt ook de impact van incidenten, datalekken en misbruik van persoonsgegevens toe. Denk bijvoorbeeld aan de grootschalige hack (en datalek bij Odido), waarbij de beveiliging van ex-klanten van Odido onterecht niet verwijderd waren uit de systemen. Dit resulteerde in nog meer slachtoffers van het datalek. De AP zet daarom in op bewustwording rond (cyber)veiligheid en digitale afhankelijkheden, waaronder afhankelijkheden van derde landen voor digitale diensten. Voor organisaties betekent dit dat digitale weerbaarheid verder gaat dan technische beveiligingsmaatregelen. Ook contractmanagement, ketenafspraken en betrouwbare datastromen horen daarbij. In de praktijk groeien privacy en informatiebeveiliging daardoor steeds meer naar elkaar toe tot één integraal governancedomein, waarin bestuurders moeten aantonen dat zij structurele risico’s beheersen.
NVP Sollicitatiecode, loontransparantie en AI in recruitment
Naast de APprioriteiten is in september 2025 de NVP Sollicitatiecode geactualiseerd. De NVP is een onafhankelijke beroepsvereniging van HR-Professionals. Deze code kan organisaties helpen als een richtlijn voor een eerlijk en transparant wervings en selectieproces, juist omdat specifieke wetgeving voor werving en selectie ontbreekt. De nieuwe versie bevat heldere uitgangspunten, maakt salaristransparantie tot norm (vooruitlopend op de EUloontransparantierichtlijn) en scherpt de regels voor AIgebruik in recruitment aan. Wat betreft het AI-gebruik is mijn advies om, vóór het gebruik van een AI-tool in de recruitment sfeer, een DPIA uit te voeren én om altijd kandidaten te informeren over het gebruik van AI. Ook de privacyregels in de Sollicitatiecode zijn geactualiseerd, onder meer rond de bewaartermijnen van sollicitatiegegevens en het vragen naar eerdere salarissen.
Hierdoor ontstaat een interessant spanningsveld, maar ook een kans. Organisaties die AI al inzetten in werving en selectie dienen niet alleen rekening te houden met de AP-focus op AI-gebruik (en non-discriminatie). Ook doen zij er verstandig aan om zich te conformeren naar de gedragsnormen uit de NVP Sollicitatiecode en aanstaande loontransparantiewetgeving.
Conclusie
De AP zet in 2026 nadrukkelijk de toon: organisaties die persoonsgegevens grootschalig verwerken, AI inzetten of afhankelijk zijn van digitale ketens, moeten aantonen dat zij hun zaken goed hebben geregeld. Voor het MKB is dat geen reden tot paniek, maar wel een duidelijk signaal om beleid, processen en contracten kritisch tegen het licht te houden.
De vernieuwde NVP Sollicitatiecode maakt bovendien duidelijk dat ook werving en selectie onder een vergrootglas liggen. Wie daar nu werk van maakt, verkleint juridische risico’s en vergroot de (digitale) weerbaarheid van de organisatie.
Heeft u behoefte aan sparring of een juridische check van uw recruitmentproces, privacybeleid of AI-gebruik? De ondernemingsjuristen van The Legal Company denken graag met u mee en vertalen de regels naar concrete, praktische oplossingen voor uw bedrijf. Neem gerust contact met ons op via info@thelegalcompany.nl of bel naar 020-3450152.
