Inhoud bewerken
Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wat zijn de AVG-eisen voor cybersecurity?

1 april 2025

De Europese privacywetgeving stelt specifieke eisen aan hoe organisaties omgaan met persoonsgegevens in hun digitale omgeving. Voor effectieve cybersecurity moet je voldoen aan kernvereisten zoals het bijhouden van een verwerkingsregister, implementeren van passende technische en organisatorische beveiligingsmaatregelen, uitvoeren van risicoanalyses, en het hebben van procedures voor het melden van datalekken. Daarnaast zijn principes als privacy by design en het minimaliseren van gegevensverwerking essentieel voor een AVG-compliant beveiligingsbeleid.

Wat zijn de AVG-eisen voor cybersecurity?

De Algemene Verordening Gegevensbescherming (AVG) heeft een belangrijke impact op hoe je informatiebeveiligingsmaatregelen moet inrichten. De wetgeving verplicht je om persoonsgegevens adequaat te beveiligen tegen ongeoorloofde toegang, verlies en diefstal. Drie kernprincipes staan hierbij centraal: verantwoordingsplicht, transparantie en minimale gegevensverwerking.

Concrete vereisten waar je aan moet voldoen zijn:

  • Het bijhouden van een verwerkingsregister waarin je documenteert welke persoonsgegevens je verwerkt, waarom en hoe je deze beschermt
  • Het aanstellen van een functionaris gegevensbescherming (FG) in bepaalde gevallen
  • Het toepassen van passende technische en organisatorische beveiligingsmaatregelen
  • Het uitvoeren van een Data Protection Impact Assessment (DPIA) bij risicovolle verwerkingen
  • Het hebben van een procedure voor het melden van datalekken

Belangrijk is dat cybersecurity niet alleen een technische kwestie is, maar een integraal onderdeel van je privacy governance. Dit betekent dat je niet alleen de juiste tools moet implementeren, maar ook processen en verantwoordelijkheden helder moet vastleggen.

Welke technische maatregelen zijn verplicht volgens de AVG?

De AVG schrijft geen specifieke technische maatregelen voor, maar vereist wel dat je passende maatregelen neemt die in verhouding staan tot de risico’s. Deze risico-gebaseerde aanpak betekent dat gevoelige gegevens zwaarder beveiligd moeten worden dan minder gevoelige informatie.

Technische maatregelen die in de praktijk vrijwel altijd verwacht worden:

  • Encryptie van persoonsgegevens, zowel tijdens opslag als verzending
  • Sterke authenticatiemethoden, zoals multi-factor authenticatie (MFA) via oplossingen als Cisco Duo
  • Toegangsbeperking op basis van het principe van ‘least privilege’
  • Regelmatige back-ups die veilig worden opgeslagen
  • Gestructureerd patchmanagement om kwetsbaarheden snel te dichten
  • Netwerkbeveiliging met firewalls en segmentatie
  • Veilig wachtwoordbeheer met tools zoals Keeper
  • Monitoring- en detectiesystemen zoals Huntress om afwijkend gedrag te signaleren

Je moet deze maatregelen regelmatig evalueren en bijwerken op basis van technologische ontwikkelingen en nieuwe bedreigingen. Documenteer deze evaluaties goed, want ze zijn onderdeel van je verantwoordingsplicht.

Hoe voer je een DPIA uit voor cybersecurity-projecten?

Een Data Protection Impact Assessment (DPIA) is verplicht voor verwerkingen met een hoog risico voor de rechten en vrijheden van betrokkenen. Voor cybersecurity-projecten die persoonsgegevens verwerken, zijn dit de essentiële stappen:

  1. Beschrijf systematisch de beoogde gegevensverwerking en doeleinden
  2. Beoordeel of de verwerking noodzakelijk en proportioneel is
  3. Identificeer en evalueer risico’s voor betrokkenen
  4. Bepaal beveiligingsmaatregelen om deze risico’s te mitigeren
  5. Documenteer je bevindingen en beslissingen
  6. Implementeer de gekozen maatregelen
  7. Evalueer periodiek of aanpassingen nodig zijn

Een DPIA voor cybersecurity-projecten focust specifiek op beveiligingsrisico’s en -maatregelen. Denk bijvoorbeeld aan de implementatie van monitoring-tools die netwerkverkeer analyseren, of aan toegangsbeheersystemen die gebruikersgedrag vastleggen. Hier moet je de privacyrisico’s afwegen tegen de beveiligingsvoordelen.

Je kunt een DPIA zien als een preventieve maatregel die je helpt privacy-risico’s vroeg te identificeren, in plaats van achteraf problemen te moeten oplossen.

Wat moet je doen bij een datalek volgens de AVG?

Bij een datalek moet je snel en methodisch handelen. De AVG vereist dat je binnen 72 uur na ontdekking melding maakt bij de Autoriteit Persoonsgegevens (AP), tenzij het onwaarschijnlijk is dat het lek een risico vormt voor de rechten van betrokkenen.

Volg deze stappen bij een datalek:

  1. Documenteer het incident: wat is er gebeurd, welke gegevens zijn betrokken, wat zijn mogelijke gevolgen
  2. Beperk de schade door technische maatregelen te nemen
  3. Beoordeel of melding aan de AP noodzakelijk is
  4. Meld indien nodig binnen 72 uur aan de AP via hun meldformulier
  5. Bepaal of je betrokkenen moet informeren (verplicht bij hoog risico)
  6. Informeer waar nodig de betrokkenen over wat er is gebeurd en welke maatregelen zij zelf kunnen nemen
  7. Evalueer het incident en pas waar nodig processen of beveiligingsmaatregelen aan

Niet alle beveiligingsincidenten zijn meldingsplichtige datalekken. Een hack zonder toegang tot persoonsgegevens of een tijdelijke onbeschikbaarheid zonder dataverlies hoeft bijvoorbeeld niet gemeld te worden. Belangrijk is dat je elk incident goed documenteert, ook als je besluit niet te melden.

Waarom is ‘privacy by design’ belangrijk voor cybersecurity?

Privacy by design betekent dat je al vanaf de ontwerpfase van systemen, processen en producten rekening houdt met privacy. Dit principe is niet alleen een AVG-vereiste, maar vormt ook de basis voor effectieve cybersecurity.

Door privacy by design te implementeren:

  • Beperk je de hoeveelheid verzamelde persoonsgegevens tot wat echt nodig is
  • Minimaliseer je het risico bij een mogelijk datalek
  • Bouw je beveiligingsmaatregelen in vanaf het begin, wat effectiever is dan achteraf toevoegen
  • Creëer je een bedrijfscultuur waarin privacy en beveiliging vanzelfsprekend zijn

Praktische toepassingen van privacy by design in cybersecurity zijn het standaard versleutelen van gegevens, het automatisch anonimiseren waar mogelijk, en het instellen van strenge standaardinstellingen die gebruikers desgewenst kunnen versoepelen.

Door privacy en beveiliging vanaf het begin te integreren, voorkom je kostbare aanpassingen achteraf en bouw je aan vertrouwen bij je klanten en partners.

Wat zijn de gevolgen van niet-naleving van AVG-eisen voor cybersecurity?

Het niet naleven van de AVG-eisen kan verstrekkende gevolgen hebben voor je organisatie, zowel financieel als voor je reputatie. De Autoriteit Persoonsgegevens kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van wat hoger is.

Naast deze formele sancties zijn er andere risico’s:

  • Reputatieschade en verlies van klantvertrouwen
  • Mogelijke claims van betrokkenen wier gegevens zijn gelekt
  • Operationele verstoringen door opgelegde verwerkingsverboden
  • Juridische kosten voor het afhandelen van onderzoeken en procedures

Uit recente boetes blijkt dat toezichthouders vooral streng optreden bij onvoldoende beveiligingsmaatregelen, het niet melden van datalekken en het ontbreken van een goede juridische basis voor gegevensverwerking. Juist op het gebied van cybersecurity worden organisaties steeds vaker verantwoordelijk gehouden voor tekortkomingen.

Hoe verhoudt de AVG zich tot andere cybersecurity-wet- en regelgeving?

De AVG is niet de enige regelgeving op het gebied van cybersecurity. Het maakt deel uit van een breder wettelijk kader dat organisaties moeten navigeren. Belangrijke relaties zijn er met:

  • De NIS2-richtlijn: gericht op netwerkbeveiliging van essentiële diensten en digitale dienstverleners
  • ISO 27001: internationale standaard voor informatiebeveiliging die goed aansluit bij AVG-vereisten
  • Sectorspecifieke regelgeving: bijvoorbeeld voor financiële instellingen (DNB-vereisten) of zorgaanbieders (NEN 7510)
  • De eIDAS-verordening: voor elektronische identificatie en vertrouwensdiensten

De overlap tussen deze regelgeving biedt voordelen: door te voldoen aan ISO 27001 implementeer je al veel maatregelen die ook voor de AVG relevant zijn. Een geïntegreerde aanpak van compliance is daarom efficiënter dan elke wet afzonderlijk te benaderen.

Bij internationaal opererende organisaties is het belangrijk rekening te houden met lokale wetgeving in verschillende landen, zoals de CCPA in Californië of de PIPEDA in Canada.

Essentiële AVG-inzichten voor cybersecurity om te onthouden

Bij het implementeren van een AVG-compliant cybersecurity-beleid zijn dit de belangrijkste punten om in gedachten te houden:

  • Beveiligingsmaatregelen moeten passend zijn bij de risico’s – één oplossing past niet voor alle organisaties
  • Documentatie is essentieel – je moet kunnen aantonen dat je compliant bent
  • Trainingen voor medewerkers zijn net zo belangrijk als technische maatregelen
  • Privacy by design bespaart tijd en geld op de lange termijn
  • Een datalek-respons plan moet klaarliggen vóór je het nodig hebt

De privacywetgeving blijft zich ontwikkelen, en cybersecurity-vereisten worden steeds strenger. Blijf daarom op de hoogte van nieuwe ontwikkelingen en pas je beleid regelmatig aan.

Bij NTNT begrijpen we dat het navigeren door deze complexe regelgeving uitdagend kan zijn. We helpen je graag met praktische oplossingen die niet alleen aan de wetgeving voldoen, maar ook passen bij jouw specifieke bedrijfssituatie. Door cybersecurity en privacy als integraal onderdeel van je IT-strategie te behandelen, creëer je niet alleen compliance maar ook business value.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.