Data governance

Wat is data governance?

Data governance is het geheel van afspraken, rollen en processen dat bepaalt hoe een organisatie haar data beheert, beschermt en gebruikt. Het gaat over de vraag wie wat mag doen met welke data, onder welke voorwaarden. Zonder governance bestaat er geen gedeelde waarheid: elke afdeling heeft eigen definities, elke tool zijn eigen toegangsbeleid, en bij de eerste audit begint de brand.

De zakelijke definitie klinkt bij TechTarget als "het beheer van de beschikbaarheid, bruikbaarheid, integriteit en veiligheid van data in bedrijfssystemen". In gewone taal: de spelregels voor je datahuishouding, plus de mensen die erop toezien.

Vergelijk het met boekhoudregels. Iedereen mag cijfers bijhouden, maar er is een chart of accounts, een afsluitingscyclus, een audittrail en een finance controller. Data governance is dezelfde discipline, voor alle data in je organisatie, niet enkel de financiële.

De pijlers van governance

Eigenaarschap en stewardship
Elke dataset heeft een owner (verantwoordelijk voor de inhoud) en een steward (verantwoordelijk voor kwaliteit en onderhoud). Zonder benoemde eigenaar wordt data iedereens probleem en niemands verantwoordelijkheid.

Data quality
Regels en metingen rond compleetheid, uniciteit, geldigheid, consistentie en tijdigheid. Een dataset is pas bruikbaar wanneer hij aan een afgesproken kwaliteitsbaseline voldoet.

Data lineage
Waar komt deze kolom vandaan, welke transformaties zijn erop losgelaten, welk dashboard erft uiteindelijk die waarde? Lineage maakt die keten zichtbaar. Bij een audit of een incident is dat onmisbaar.

Data classification
Niet alle data is gelijk. Publieke productinformatie, klantgegevens, gezondheidsdata, handelsgeheimen: elk hoort in een classificatieklasse met bijhorende toegangsregels en retentietermijnen.

Access control
Wie mag wat zien. Rolgebaseerde toegang, row-level security, object-level security, encryptie in rust en in transit. In een moderne stack hoort dit in het platform zelf ingebakken te zitten, niet als aparte nabehandeling.

Policies en standaarden
Naamgevingsconventies, retentieregels, exportverboden, AI-gebruiksvoorwaarden. De geschreven spelregels waar iedereen in de organisatie terecht moet kunnen.

Rollen

Chief Data Officer (CDO)
Strategisch eindverantwoordelijk. Zet de governance-ambitie, onderhandelt met de business, legt verantwoording af op boardniveau.

Data owner
Business-eigenaar per domein. Verantwoordelijk voor definities, toegangskeuzes en prioriteit van verbeteringen. Meestal iemand met P&L-verantwoordelijkheid in dat domein, geen IT-functie.

Data steward
Operationele beheerder: bewaakt kwaliteit, documenteert definities, beantwoordt vragen van gebruikers, signaleert issues. Vaak een hybride rol tussen business en data-team.

Data custodian
Technische beheerder: infrastructuur, backups, access-provisioning, compliance-tooling. Typisch in IT.

De kernvraag bij elke governance-discussie: is dit een owner-vraag (wat willen we?) of een custodian-vraag (hoe implementeren we het?). Die twee door elkaar halen is de hoofdoorzaak van trage projecten en wrijving tussen business en IT.

Tooling in de Microsoft-stack

Microsoft Purview
De centrale governance-laag in de Microsoft-wereld. Purview brengt een Data Map (catalog van alles wat in je omgeving staat), Unified Catalog, classificatie, lineage en DLP samen. Voor organisaties die al in Fabric, Power BI en Microsoft 365 zitten, is Purview de logische keuze omdat het dezelfde identiteit en permissielaag hergebruikt.

Row Level Security en Object Level Security
Op Power BI- en Fabric-niveau regel je fijnmazige toegang via RLS (welke rijen mag iemand zien) en OLS (welke kolommen of tabellen). Dat is een bouwsteen van je governance-implementatie, niet een apart verhaal.

Fabric-governance
Fabric-workspaces, capacities en items erven governance uit Microsoft 365 en Purview. Domains (subject areas) geven een handvat om governance per domein op te zetten, zonder alles centraal te moeten beheren.

Andere tools in het bredere veld: Collibra, Alation, Atlan, dbt contracts, OpenMetadata. De principes blijven hetzelfde, de knoppen zien er anders uit.

Wettelijk kader in Europa

GDPR
Bepaalt hoe je persoonsgegevens mag verzamelen, gebruiken, delen en bewaren. Dataminimalisatie, doelbinding, recht op inzage en verwijdering: allemaal governance-verplichtingen die landen in policies, classifications en retentieregels.

AI Act
De Europese AI-wetgeving legt extra governance-verplichtingen op voor hoog-risico AI-toepassingen: risicobeheer, data-governance voor trainingsdata, documentatie, menselijk toezicht, logging. Voor modellen die meespelen in rekrutering, krediet of gezondheidszorg is dat niet optioneel.

NIS2
Raakt governance waar data-beveiliging aan systeemsecurity grenst. Voor kritieke sectoren verplicht NIS2 een aantoonbaar beveiligings- en incidentresponsbeleid, en governance op data-integriteit hoort daar bij.

Valkuilen

Governance theatre
Policies die bestaan op papier maar niemand volgt. Dashboards met groene vinkjes die niets meten. De test: kan iemand binnen één week een dataset publiceren zonder dat catalog, classificatie en owner zijn ingevuld? Is het antwoord ja, dan is je governance theater.

Te centraal, te traag
Eén team dat alles moet goedkeuren wordt de bottleneck. De business gaat er dan omheen. De moderne aanpak (data mesh, domain ownership) verdeelt governance-verantwoordelijkheid naar de domeinen, met centrale standaarden als kader.

Tools in plaats van processen
Een Purview-licentie kopen lost niets op. Governance is mensen en afspraken eerst, tooling ondersteunt daarna. Begin met: wie zijn je owners, welke definities leggen we vast, welke spelregels gelden.

Alles of niks
Organisaties die wachten tot de ideale governance is uitgewerkt, rollen nooit iets uit. Start met je top-5 datasets, regel owner, definitie, classificatie en access, en breid dan stap voor stap uit.