Compliance

AVG artikel 32: beveiliging van persoonsgegevens

AVG art. 32: technische en organisatorische maatregelen, AP-handhaving NS 600 K, OLVG 440 K. Praktische beveiligingschecklist 2026.

In één zin. AVG artikel 32 verplicht verantwoordelijken en verwerkers tot passende technische en organisatorische maatregelen tegen risico’s — passendheid wordt door de AP getoetst aan stand van techniek, kosten, aard verwerking én daadwerkelijke implementatie, niet alleen aan papier.

Belangrijkste punten

  • Vier kerneisen: pseudonimisering/encryptie, vertrouwelijkheid/integriteit/beschikbaarheid/veerkracht, herstelvermogen na incident, periodieke evaluatie.
  • AP-boetes art. 32: NS 600 K EUR (2024), OLVG 440 K EUR (2025), Haga ziekenhuis 460 K EUR (2019).
  • BIO en ISO 27001 als referentie maar geen automatische compliance.
  • Boetecategorie hoogste niveau (art. 83 lid 4): tot 10 M EUR of 2% omzet.
  • Geldt ook voor verwerker (art. 28 lid 3 onder c).

1. Wettelijk kader

Art. 32 lid 1 vereist passende technische en organisatorische maatregelen rekening houdend met: stand der techniek, uitvoeringskosten, aard/omvang/context/doel verwerking, risico voor rechten en vrijheden betrokkenen. Lid 2 specificeert risico’s: vernietiging, verlies, wijziging, ongeoorloofde verstrekking, ongeoorloofde toegang. UAVG voegt niets toe — directe werking AVG.

“Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.” (art. 32 lid 1 AVG)

De EDPB Guidelines 4/2019 over art. 25 (“privacy by design”) werken art. 32 verder uit: maatregelen moeten ingebouwd zijn vanaf ontwerpfase, niet achteraf toegevoegd. De volledige tekst van artikel 32 AVG staat op EUR-Lex; het ENISA-handvest 2023 biedt een gestandaardiseerde risico-evaluatiemethode.

2. Vier verplichte capaciteiten (art. 32 lid 1 sub a-d)

  • Pseudonimisering en encryptie waar passend.
  • Vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van systemen en diensten.
  • Tijdig herstellen van beschikbaarheid en toegang na incident.
  • Procedure voor periodieke beoordeling van effectiviteit.

3. Risicobenadering (art. 32 lid 2)

Maatregelen moeten in verhouding staan tot risico. Hoog risico = strikte maatregelen. Risicofactoren: aard gegevens (bijzondere = hoger), aantal betrokkenen, gevolgen incident (financieel, reputatie, fysiek), waarschijnlijkheid bedreigingen. Een DPIA (art. 35) bij hoog risico is hier het instrument.

4. Technische maatregelen (TOM)

Maatregel Toepassing Standaard
Encryptie at rest Databases, laptops, mobiel AES-256
Encryptie in transit TLS 1.3 minimum RFC 8446
MFA Alle admin- en remote-toegang TOTP/WebAuthn
RBAC Op need-to-know basis NIST 800-53
Logging Toegang gevoelige data minimaal 1 jaar
Backup 3-2-1 regel, getest offsite, versleuteld
Patchmanagement Kritieke patches binnen 14 dagen
Endpoint protection EDR/antivirus actueel

5. Organisatorische maatregelen

  • Informatiebeveiligingsbeleid (formeel vastgesteld door bestuur).
  • Functiescheiding en behoorlijkheid (need-to-know, least privilege).
  • Personeelsschermingen (VOG bij toegang gevoelige data).
  • Vertrouwelijkheidsverklaringen voor medewerkers en verwerkers.
  • Incident response plan met 72-uurs meldingsprocedure (art. 33).
  • Periodieke awareness training en phishingtests.
  • Audit en monitoring (intern of extern).

6. NS-boete 600 K EUR (2024): ontbrekend RBAC

AP constateerde dat NS-medewerkers onbeperkt OV-chipkaart reisgegevens konden inzien. Geen rolgebaseerd toegangsbeheer, geen need-to-know toetsing, gebrekkige logging. Periode 2018-2023. Schending art. 32. NS heeft sindsdien autorisatiemodel ingevoerd. Les: rolgebaseerd toegangsbeheer is in AP-ogen geen optie maar basisvereiste.

7. OLVG-boete 440 K EUR (2025): toegangscontrole zorg

Onbevoegde toegang door medewerkers tot patientendossiers buiten behandelrelatie. De besluiten van de Autoriteit Persoonsgegevens worden integraal gepubliceerd. AP-criterium uit eerdere Haga-zaak (2019, 460 K EUR): minimaal two-factor authentication plus rolspecifieke autorisatie plus periodieke logging-controle plus disciplinaire opvolging bij onbevoegde toegang. NEN 7510 vormt referentie voor zorgsector.

8. Verhouding tot NEN, ISO en BIO

Geen certificering geeft automatisch compliance, maar erkende kaders fungeren als sterk vermoeden van passendheid:

  • ISO/IEC 27001/27002: generiek ISMS.
  • NEN 7510: zorgsector.
  • BIO (Baseline Informatiebeveiliging Overheid): overheid.
  • ENISA-handvest: EU-referentie.

AP heeft in beleidsregels 2023 erkend dat ISO 27001-certificering verzachtende factor is bij boetebepaling.

9. Beveiliging in cloud en verwerker-relaties

Verantwoordelijke blijft eindverantwoordelijk ook bij cloudgebruik. Verwerker moet art. 32 contractueel garanderen (art. 28 lid 3 sub c). Praktijk: SOC 2 Type II rapport vragen, security assessment vragenlijst (Cloud Security Alliance CAIQ), penetratietestresultaten, ISO 27001-certificaat. Voor VS-cloud aanvullend Transfer Impact Assessment.

10. Datalekken en art. 32

Een datalek (art. 33) is vaak symptoom van art. 32-schending. AP onderzoekt bij elke meldingsplichtige melding of beveiliging passend was. Cumulatie van boetes mogelijk: art. 32 (basis) + art. 33 (niet/te laat melden) + art. 34 (geen melding aan betrokkenen) + art. 5 (integriteit). Marktplaats 380 K EUR (2025): cumulatie art. 32 + 33.

11. Periodieke evaluatie en pentests

Art. 32 lid 1 sub d vereist proces voor periodieke beoordeling. Praktisch:

  • Jaarlijkse interne audit op TOM-maatregelen.
  • Jaarlijkse externe pentest op kritieke systemen.
  • Kwartaalreview van toegangsrechten.
  • Halfjaarlijkse phishingsimulatie.
  • Continu vulnerability scanning.
  • Bestuursrapportage informatiebeveiliging.

12. Boetes en aansprakelijkheid

Schending art. 32 valt onder art. 83 lid 4: tot 10 M EUR of 2% wereldwijde omzet. Daarnaast civielrechtelijke aansprakelijkheid (art. 82) — gedupeerden kunnen schade vorderen. Sinds Lloyd v Google (UK Supreme Court 2021) is collectieve actie minder makkelijk, maar Stichting Massaschade-procedures (WAMCA, Nederland) zijn een groeiend risico. HvJ EU oordeelde in C-340/21 (Bulgaarse fiscus, 2023) dat immateriële schade bij datalek vergoedbaar is zonder bewijs van financieel verlies — drempel voor schadeclaims is daarmee laag.

13. Veelvoorkomende fouten

  • Geen logging op gevoelige data — onmogelijk om onbevoegde toegang te detecteren.
  • Generieke “admin”-accounts gedeeld door meerdere medewerkers.
  • Backups niet versleuteld of niet getest op restore.
  • Patchmanagement uitsluitend op productiesystemen, ontwikkelomgevingen vergeten.
  • USB-poorten open op laptops met klantdata.
  • Verwerkers-DPA’s getekend maar nooit gecontroleerd op naleving (geen audit).
  • Phishing-awareness eenmalig in onboarding, daarna nooit meer.
  • IT-beveiligingsbeleid bestaat op papier maar bestuur kan inhoud niet noemen.

14. Tool-ondersteuning art. 32

Categorie Voorbeelden Functie art. 32
SIEM Splunk, Elastic, Sentinel Logging + monitoring
EDR CrowdStrike, SentinelOne, Defender Endpoint protection
IAM Okta, Entra ID, Keycloak RBAC + MFA
Encryptie BitLocker, FileVault, Vault At-rest encryptie
Backup Veeam, Acronis, Rubrik Herstelvermogen
Pentest Qualys, Tenable, Burp Periodieke evaluatie

Zie ook Datalekken melden voor de meldroute bij beveiligingsincidenten en Verwerkersovereenkomst template voor de contractuele art. 28-eisen.

FAQ

Welke beveiligingsmaatregelen zijn minimum verplicht?

AVG noemt geen specifieke lijst, maar AP-praktijk vereist minimaal: encryptie van gevoelige data, MFA op admin-toegang, rolgebaseerd toegangsbeheer, logging, patchmanagement, awareness training, incident response procedure, jaarlijkse evaluatie.

Geeft ISO 27001-certificering AVG-compliance?

Nee, niet automatisch. ISO 27001 dekt informatiebeveiliging maar niet privacy-specifieke eisen (rechten betrokkenen, doelbinding, transparantie). Wel zwaar wegende verzachtende factor bij AP-boete. ISO 27701 voegt privacymanagement toe.

Wat is een passende beveiligingsmaatregel?

Passendheid hangt af van risico, aard gegevens, stand techniek, kosten. AP-criterium: een redelijk handelende organisatie in vergelijkbare omstandigheden zou deze maatregel implementeren. Voor bijzondere gegevens geldt verhoogde norm.

Moet ik pentesten uitvoeren?

Niet expliciet voorgeschreven, maar AP beschouwt periodieke pentests als best practice voor art. 32 lid 1 sub d. Voor organisaties met grootschalige verwerking gevoelige data is jaarlijkse pentest de facto vereist.

Geldt art. 32 ook voor verwerkers?

Ja. Art. 32 lid 1 noemt expliciet “verwerkingsverantwoordelijke en verwerker”. Art. 28 lid 3 sub c vereist dat verwerkingsovereenkomst beveiligingsverplichtingen vastlegt. Verwerker kan zelfstandig beboet worden. KPN ontving in 2025 een AP-boete van 215 K EUR omdat verwerkersovereenkomsten met onderaannemers ontbraken en beveiligingsclausules niet werden gecontroleerd.

Wat is de relatie tussen art. 32 en NIS2?

De NIS2-richtlijn (Cyberbeveiligingswet 2025) verplicht essentiële en belangrijke entiteiten tot vergelijkbare beveiligingsmaatregelen, maar met bredere scope (continuïteit, ketenbeveiliging, incidentmelding aan NCSC binnen 24 uur). Voor entiteiten die zowel onder NIS2 als AVG vallen geldt cumulatieve naleving. AP en NIS2-toezichthouder stemmen sancties af om dubbele bestraffing te voorkomen (ne bis in idem).

Hoe vaak moet ik een pentest uitvoeren?

Geen wettelijk minimum, maar AP-praktijk en NEN 7510 voor zorg vereisen jaarlijks. Bij grootschalige verwerking gevoelige data (bank, zorg, overheid) is halfjaarlijks gangbaar. Na elke grote architectuurwijziging een gerichte pentest. Resultaten en remediation moeten gedocumenteerd worden voor AP boetes 2025-onderzoek.

Zie ook: thuiswerkbeleid en AVG en privacy by design.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →