De Algemene Verordening Gegevensbescherming (AVG) is inmiddels ruim zeven jaar van kracht, maar veel organisaties worstelen nog altijd met de concrete beveiligingsverplichtingen. Artikel 32 GDPR vormt de kern: het verplicht verwerkingsverantwoordelijken en verwerkers om passende technische en organisatorische maatregelen te nemen. Wat dat precies inhoudt, legt dit artikel je stap voor stap uit.
Wat schrijft artikel 32 AVG precies voor?
Artikel 32 GDPR verplicht organisaties om “passende” beveiliging te implementeren, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard van de verwerking en de risico’s voor betrokkenen. De wet noemt vier concrete maatregelen als voorbeeld:
- Pseudonimisering en versleuteling van persoonsgegevens
- Voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van systemen
- Tijdig herstel van beschikbaarheid en toegang na een incident
- Een procedure voor het regelmatig testen en evalueren van beveiligingsmaatregelen
Het woord “passend” is bewust gekozen. De AVG hanteert een risicogebaseerde benadering: hoe gevoeliger de gegevens, hoe strenger de eisen. Voor een huisartsenpraktijk die bijzondere categorieën gezondheidsgegevens verwerkt, gelden andere verwachtingen dan voor een webshop die alleen e-mailadressen bijhoudt.
Tip: Documenteer je risicoafweging altijd schriftelijk. De Autoriteit Persoonsgegevens verwacht bij een onderzoek dat je kunt aantonen waarom je voor bepaalde maatregelen heeft gekozen, niet alleen dat je maatregelen heeft genomen.
Technische maatregelen: wat valt hieronder?
Technische maatregelen richten zich op de IT-systemen en infrastructuur. De meest voorkomende eisen in de praktijk zijn:
| Maatregel | Doel | Prioriteit |
|---|---|---|
| Versleuteling (AES-256) | Vertrouwelijkheid van opgeslagen data | Hoog |
| Multi-factor authenticatie | Toegangsbeveiliging | Hoog |
| Logging en monitoring | Detectie van incidenten | Hoog |
| Back-up en herstelplan | Beschikbaarheid en veerkracht | Hoog |
| Netwerksegmentatie | Inperking bij een inbreuk | Gemiddeld |
| Pseudonimisering | Risicovermindering bij datalekken | Gemiddeld |
Versleuteling is een van de meest effectieve technische maatregelen. Wanneer gegevens versleuteld zijn en de sleutel niet gecompromitteerd is, hoeft een datalek vaak niet gemeld te worden aan de Autoriteit Persoonsgegevens — de gegevens zijn immers niet leesbaar voor onbevoegden.
Organisatorische maatregelen: beleid en bewustzijn
Naast techniek schrijft de AVG ook organisatorische maatregelen voor. Dit zijn de processen, beleidsregels en trainingen die ervoor zorgen dat medewerkers correct omgaan met persoonsgegevens.
Essentiële organisatorische maatregelen zijn:
- Informatiebeveiligingsbeleid: een schriftelijk beleid dat de scope, verantwoordelijkheden en aanpak beschrijft
- Toegangsbeheer: uitsluitend geautoriseerde medewerkers mogen persoonsgegevens inzien
- Bewustzijnstraining: medewerkers zijn op de hoogte van hun verplichtingen en risico’s
- Verwerkersovereenkomsten: juridisch bindende afspraken met alle externe verwerkers
- Register van verwerkingsactiviteiten: verplicht voor organisaties met meer dan 250 medewerkers of bij risicovolle verwerkingen
Een informatiebeveiligingsbeleid dat in de la belandt, voldoet niet. Het beleid moet aantoonbaar geïmplementeerd zijn, periodiek geëvalueerd worden en gekend zijn door alle betrokken medewerkers.
De rol van een DPIA en ISO 27001 bij AVG-compliance
Voor verwerkingen met een hoog risico schrijft de AVG een Data Protection Impact Assessment (DPIA) voor. Dit is een gestructureerde risicoanalyse die kwetsbaarheden identificeert en maatregelen koppelt aan specifieke risico’s voor betrokkenen.
ISO 27001 biedt hierbij een uitstekend kader. De norm hanteert een vergelijkbare risicogebaseerde aanpak en dekt veel van de eisen uit artikel 32 AVG af. Organisaties die gecertificeerd zijn voor ISO 27001, hebben doorgaans al een solide basis voor AVG-compliance op het gebied van informatiebeveiliging. Dat neemt niet weg dat ISO 27001 en de AVG niet volledig overlappen: de AVG stelt aanvullende eisen op het gebied van rechten van betrokkenen en transparantie die buiten de scope van ISO 27001 vallen.
Veelgestelde vragen
Geldt artikel 32 AVG ook voor kleine organisaties? Ja. De AVG geldt voor elke organisatie die persoonsgegevens verwerkt, ongeacht de omvang. De invulling van “passende” maatregelen hangt wel af van de risico’s en middelen van je organisatie.
Moet ik een FG (Functionaris Gegevensbescherming) aanstellen voor informatiebeveiliging? Een FG is verplicht bij overheidsinstanties, bij grootschalige verwerking van bijzondere categorieën of bij grootschalige monitoring van personen. Voor andere organisaties is het optioneel, maar kan wel zinvol zijn.
Is een ISO 27001-certificaat een garantie voor AVG-compliance? Nee, maar het biedt een sterke basis. ISO 27001 dekt informatiebeveiliging, maar de AVG stelt ook eisen op het vlak van privacy governance die aanvullende aandacht vereisen.
Hoe vaak moet ik mijn beveiligingsmaatregelen evalueren? De AVG verplicht tot regelmatige evaluatie. In de praktijk hanteert men minimaal jaarlijkse reviews, aangevuld met evaluaties na incidenten of grote systeemwijzigingen.
Wat zijn de gevolgen bij niet-naleving van artikel 32? De Autoriteit Persoonsgegevens kan boetes opleggen tot €10 miljoen of 2% van de wereldwijde jaaromzet voor schendingen van artikel 32.
Wil je weten of je organisatie voldoet aan de beveiligingseisen van de AVG? Control One helpt je met een gap-analyse en een concreet implementatieplan. Bekijk onze diensten en tarieven op de prijzenpagina.
Compliant aan NIS2, AVG of DORA?
Control One koppelt wettelijke verplichtingen aan je ISO-controls, beleid en risicoanalyse. Eén platform voor zowel ISO als wetgeving.
Gerelateerde artikelen
AVG datalekken melden: procedure en verplichting
Een datalek melden bij de AP — wanneer verplicht, binnen welke termijn en wat vermeldt je?
NIS2 en leveranciersketen: hoe beheert je ketenrisico's?
NIS2 verplicht aandacht voor supply chain security. Hoe beheert je risico's in je leveranciersketen?
NIS2 boetes en sancties: wat riskeert je?
NIS2 kent boetes tot €10 miljoen of 2% omzet. Wanneer worden ze opgelegd en hoe voorkomt je ze?
NIS2 zorgplicht: concrete maatregelen voor je organisatie
De NIS2 zorgplicht vertaalt zich naar 10 concrete maatregelengebieden. Wat moet je implementeren?