In één zin. AVG artikel 32 verplicht verantwoordelijken en verwerkers tot passende technische en organisatorische maatregelen tegen risico’s — passendheid wordt door de AP getoetst aan stand van techniek, kosten, aard verwerking én daadwerkelijke implementatie, niet alleen aan papier.
Belangrijkste punten
- Vier kerneisen: pseudonimisering/encryptie, vertrouwelijkheid/integriteit/beschikbaarheid/veerkracht, herstelvermogen na incident, periodieke evaluatie.
- AP-boetes art. 32: NS 600 K EUR (2024), OLVG 440 K EUR (2025), Haga ziekenhuis 460 K EUR (2019).
- BIO en ISO 27001 als referentie maar geen automatische compliance.
- Boetecategorie hoogste niveau (art. 83 lid 4): tot 10 M EUR of 2% omzet.
- Geldt ook voor verwerker (art. 28 lid 3 onder c).
1. Wettelijk kader
Art. 32 lid 1 vereist passende technische en organisatorische maatregelen rekening houdend met: stand der techniek, uitvoeringskosten, aard/omvang/context/doel verwerking, risico voor rechten en vrijheden betrokkenen. Lid 2 specificeert risico’s: vernietiging, verlies, wijziging, ongeoorloofde verstrekking, ongeoorloofde toegang. UAVG voegt niets toe — directe werking AVG.
“Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.” (art. 32 lid 1 AVG)
De EDPB Guidelines 4/2019 over art. 25 (“privacy by design”) werken art. 32 verder uit: maatregelen moeten ingebouwd zijn vanaf ontwerpfase, niet achteraf toegevoegd. De volledige tekst van artikel 32 AVG staat op EUR-Lex; het ENISA-handvest 2023 biedt een gestandaardiseerde risico-evaluatiemethode.
2. Vier verplichte capaciteiten (art. 32 lid 1 sub a-d)
- Pseudonimisering en encryptie waar passend.
- Vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van systemen en diensten.
- Tijdig herstellen van beschikbaarheid en toegang na incident.
- Procedure voor periodieke beoordeling van effectiviteit.
3. Risicobenadering (art. 32 lid 2)
Maatregelen moeten in verhouding staan tot risico. Hoog risico = strikte maatregelen. Risicofactoren: aard gegevens (bijzondere = hoger), aantal betrokkenen, gevolgen incident (financieel, reputatie, fysiek), waarschijnlijkheid bedreigingen. Een DPIA (art. 35) bij hoog risico is hier het instrument.
4. Technische maatregelen (TOM)
| Maatregel | Toepassing | Standaard |
|---|---|---|
| Encryptie at rest | Databases, laptops, mobiel | AES-256 |
| Encryptie in transit | TLS 1.3 minimum | RFC 8446 |
| MFA | Alle admin- en remote-toegang | TOTP/WebAuthn |
| RBAC | Op need-to-know basis | NIST 800-53 |
| Logging | Toegang gevoelige data | minimaal 1 jaar |
| Backup | 3-2-1 regel, getest | offsite, versleuteld |
| Patchmanagement | Kritieke patches | binnen 14 dagen |
| Endpoint protection | EDR/antivirus | actueel |
5. Organisatorische maatregelen
- Informatiebeveiligingsbeleid (formeel vastgesteld door bestuur).
- Functiescheiding en behoorlijkheid (need-to-know, least privilege).
- Personeelsschermingen (VOG bij toegang gevoelige data).
- Vertrouwelijkheidsverklaringen voor medewerkers en verwerkers.
- Incident response plan met 72-uurs meldingsprocedure (art. 33).
- Periodieke awareness training en phishingtests.
- Audit en monitoring (intern of extern).
6. NS-boete 600 K EUR (2024): ontbrekend RBAC
AP constateerde dat NS-medewerkers onbeperkt OV-chipkaart reisgegevens konden inzien. Geen rolgebaseerd toegangsbeheer, geen need-to-know toetsing, gebrekkige logging. Periode 2018-2023. Schending art. 32. NS heeft sindsdien autorisatiemodel ingevoerd. Les: rolgebaseerd toegangsbeheer is in AP-ogen geen optie maar basisvereiste.
7. OLVG-boete 440 K EUR (2025): toegangscontrole zorg
Onbevoegde toegang door medewerkers tot patientendossiers buiten behandelrelatie. De besluiten van de Autoriteit Persoonsgegevens worden integraal gepubliceerd. AP-criterium uit eerdere Haga-zaak (2019, 460 K EUR): minimaal two-factor authentication plus rolspecifieke autorisatie plus periodieke logging-controle plus disciplinaire opvolging bij onbevoegde toegang. NEN 7510 vormt referentie voor zorgsector.
8. Verhouding tot NEN, ISO en BIO
Geen certificering geeft automatisch compliance, maar erkende kaders fungeren als sterk vermoeden van passendheid:
- ISO/IEC 27001/27002: generiek ISMS.
- NEN 7510: zorgsector.
- BIO (Baseline Informatiebeveiliging Overheid): overheid.
- ENISA-handvest: EU-referentie.
AP heeft in beleidsregels 2023 erkend dat ISO 27001-certificering verzachtende factor is bij boetebepaling.
9. Beveiliging in cloud en verwerker-relaties
Verantwoordelijke blijft eindverantwoordelijk ook bij cloudgebruik. Verwerker moet art. 32 contractueel garanderen (art. 28 lid 3 sub c). Praktijk: SOC 2 Type II rapport vragen, security assessment vragenlijst (Cloud Security Alliance CAIQ), penetratietestresultaten, ISO 27001-certificaat. Voor VS-cloud aanvullend Transfer Impact Assessment.
10. Datalekken en art. 32
Een datalek (art. 33) is vaak symptoom van art. 32-schending. AP onderzoekt bij elke meldingsplichtige melding of beveiliging passend was. Cumulatie van boetes mogelijk: art. 32 (basis) + art. 33 (niet/te laat melden) + art. 34 (geen melding aan betrokkenen) + art. 5 (integriteit). Marktplaats 380 K EUR (2025): cumulatie art. 32 + 33.
11. Periodieke evaluatie en pentests
Art. 32 lid 1 sub d vereist proces voor periodieke beoordeling. Praktisch:
- Jaarlijkse interne audit op TOM-maatregelen.
- Jaarlijkse externe pentest op kritieke systemen.
- Kwartaalreview van toegangsrechten.
- Halfjaarlijkse phishingsimulatie.
- Continu vulnerability scanning.
- Bestuursrapportage informatiebeveiliging.
12. Boetes en aansprakelijkheid
Schending art. 32 valt onder art. 83 lid 4: tot 10 M EUR of 2% wereldwijde omzet. Daarnaast civielrechtelijke aansprakelijkheid (art. 82) — gedupeerden kunnen schade vorderen. Sinds Lloyd v Google (UK Supreme Court 2021) is collectieve actie minder makkelijk, maar Stichting Massaschade-procedures (WAMCA, Nederland) zijn een groeiend risico. HvJ EU oordeelde in C-340/21 (Bulgaarse fiscus, 2023) dat immateriële schade bij datalek vergoedbaar is zonder bewijs van financieel verlies — drempel voor schadeclaims is daarmee laag.
13. Veelvoorkomende fouten
- Geen logging op gevoelige data — onmogelijk om onbevoegde toegang te detecteren.
- Generieke “admin”-accounts gedeeld door meerdere medewerkers.
- Backups niet versleuteld of niet getest op restore.
- Patchmanagement uitsluitend op productiesystemen, ontwikkelomgevingen vergeten.
- USB-poorten open op laptops met klantdata.
- Verwerkers-DPA’s getekend maar nooit gecontroleerd op naleving (geen audit).
- Phishing-awareness eenmalig in onboarding, daarna nooit meer.
- IT-beveiligingsbeleid bestaat op papier maar bestuur kan inhoud niet noemen.
14. Tool-ondersteuning art. 32
| Categorie | Voorbeelden | Functie art. 32 |
|---|---|---|
| SIEM | Splunk, Elastic, Sentinel | Logging + monitoring |
| EDR | CrowdStrike, SentinelOne, Defender | Endpoint protection |
| IAM | Okta, Entra ID, Keycloak | RBAC + MFA |
| Encryptie | BitLocker, FileVault, Vault | At-rest encryptie |
| Backup | Veeam, Acronis, Rubrik | Herstelvermogen |
| Pentest | Qualys, Tenable, Burp | Periodieke evaluatie |
Zie ook Datalekken melden voor de meldroute bij beveiligingsincidenten en Verwerkersovereenkomst template voor de contractuele art. 28-eisen.
FAQ
Welke beveiligingsmaatregelen zijn minimum verplicht?
AVG noemt geen specifieke lijst, maar AP-praktijk vereist minimaal: encryptie van gevoelige data, MFA op admin-toegang, rolgebaseerd toegangsbeheer, logging, patchmanagement, awareness training, incident response procedure, jaarlijkse evaluatie.
Geeft ISO 27001-certificering AVG-compliance?
Nee, niet automatisch. ISO 27001 dekt informatiebeveiliging maar niet privacy-specifieke eisen (rechten betrokkenen, doelbinding, transparantie). Wel zwaar wegende verzachtende factor bij AP-boete. ISO 27701 voegt privacymanagement toe.
Wat is een passende beveiligingsmaatregel?
Passendheid hangt af van risico, aard gegevens, stand techniek, kosten. AP-criterium: een redelijk handelende organisatie in vergelijkbare omstandigheden zou deze maatregel implementeren. Voor bijzondere gegevens geldt verhoogde norm.
Moet ik pentesten uitvoeren?
Niet expliciet voorgeschreven, maar AP beschouwt periodieke pentests als best practice voor art. 32 lid 1 sub d. Voor organisaties met grootschalige verwerking gevoelige data is jaarlijkse pentest de facto vereist.
Geldt art. 32 ook voor verwerkers?
Ja. Art. 32 lid 1 noemt expliciet “verwerkingsverantwoordelijke en verwerker”. Art. 28 lid 3 sub c vereist dat verwerkingsovereenkomst beveiligingsverplichtingen vastlegt. Verwerker kan zelfstandig beboet worden. KPN ontving in 2025 een AP-boete van 215 K EUR omdat verwerkersovereenkomsten met onderaannemers ontbraken en beveiligingsclausules niet werden gecontroleerd.
Wat is de relatie tussen art. 32 en NIS2?
De NIS2-richtlijn (Cyberbeveiligingswet 2025) verplicht essentiële en belangrijke entiteiten tot vergelijkbare beveiligingsmaatregelen, maar met bredere scope (continuïteit, ketenbeveiliging, incidentmelding aan NCSC binnen 24 uur). Voor entiteiten die zowel onder NIS2 als AVG vallen geldt cumulatieve naleving. AP en NIS2-toezichthouder stemmen sancties af om dubbele bestraffing te voorkomen (ne bis in idem).
Hoe vaak moet ik een pentest uitvoeren?
Geen wettelijk minimum, maar AP-praktijk en NEN 7510 voor zorg vereisen jaarlijks. Bij grootschalige verwerking gevoelige data (bank, zorg, overheid) is halfjaarlijks gangbaar. Na elke grote architectuurwijziging een gerichte pentest. Resultaten en remediation moeten gedocumenteerd worden voor AP boetes 2025-onderzoek.
Zie ook: thuiswerkbeleid en AVG en privacy by design.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial