Privacywetgeving

Thuiswerkbeleid en AVG: model en aandachtspunten

Thuiswerkbeleid en AVG: model met beveiligde verbindingen, BYOD-regels, papieren dossiers, grenzen aan monitoring en incidentmelding vanuit huis.

Also available in:Français·Deutsch

Een thuiswerkbeleid onder de AVG regelt hoe medewerkers persoonsgegevens veilig verwerken buiten kantoor: beveiligde verbindingen, regels voor eigen apparaten (BYOD), omgang met papieren dossiers thuis, en de grenzen aan controle op afstand. De basis is artikel 32 AVG: u moet passende technische en organisatorische maatregelen treffen, en die verplichting stopt niet bij de voordeur van kantoor. Hieronder vindt u een thuiswerkbeleid-model met de belangrijkste aandachtspunten en modelbepalingen.

Nederland heeft het hoogste thuiswerkpercentage van Europa. Dat maakt het risico structureel: gegevens verlaten dagelijks de beheerste kantooromgeving en belanden op keukentafels, privénetwerken en persoonlijke apparaten. Een beleid dat daar geen antwoord op geeft, laat een gat in uw naleving van art. 32.

Key Takeaways

  • De beveiligingsplicht van art. 32 AVG geldt onverkort bij thuiswerken.
  • BYOD vereist heldere regels: scheiding werk/privé, encryptie, en de mogelijkheid tot wissen op afstand.
  • Heimelijke monitoring van thuiswerkers is vrijwel nooit toegestaan (strikte AP-lijn).
  • Een datalek vanuit huis moet net zo snel gemeld worden — de 72-uursklok kent geen thuiswerkuitzondering.
  • Invoering van monitoring- of BYOD-regels raakt vaak het instemmingsrecht van de OR (art. 27 WOR).

Beveiligde verbindingen en toegang

Het beleid moet voorschrijven dat medewerkers alleen via een beveiligde verbinding (VPN of vergelijkbaar) toegang krijgen tot bedrijfssystemen, met meervoudige authenticatie. Openbare wifi zonder VPN is verboden voor het verwerken van persoonsgegevens.

Deze maatregelen zijn een directe uitwerking van de beveiligingsplicht; zie de gids over artikel 32 AVG voor het volledige kader.

Regel ook wat er gebeurt op het thuisnetwerk zelf. Een router met een standaardwachtwoord, verouderde firmware of een gedeeld netwerk met smart-apparaten vormt een reëel risico dat buiten uw directe beheer valt. U kunt het thuisnetwerk niet volledig controleren, maar u kunt wel eisen stellen: een sterk wifi-wachtwoord, actuele apparatuur, en het gebruik van de bedrijfs-VPN voor alle werkverkeer, zodat de gegevens onderweg versleuteld zijn ongeacht de kwaliteit van het onderliggende netwerk. Maak deze verantwoordelijkheid expliciet in het beleid, want een medewerker die niet weet dat zijn router een zwakke schakel is, zal er ook niets aan doen.

BYOD: eigen apparaten

Als medewerkers eigen apparaten gebruiken, regel dan minimaal:

Onderwerp Modelregel
Scheiding Werkgegevens in een aparte, beheerde omgeving
Encryptie Schijf- en communicatieversleuteling verplicht
Toegang Schermvergrendeling en sterk wachtwoord
Verlies Meld direct; mogelijkheid tot wissen op afstand
Updates Actueel besturingssysteem en beveiligingssoftware

Zonder deze afspraken verliest u elke grip op waar bedrijfsgegevens staan. Een verloren privételefoon zonder encryptie is direct een datalek.

Papieren dossiers thuis

Vergeet papier niet. Het beleid moet regelen dat vertrouwelijke documenten thuis afgeschermd worden bewaard (afsluitbare lade), niet in het zicht van huisgenoten liggen, en veilig vernietigd worden — niet bij het oud papier. Voor de bewaartermijnen geldt hetzelfde bewaartermijnenbeleid als op kantoor.

Denk ook aan de fysieke omgeving zelf. Een beeldscherm dat vanaf de straat zichtbaar is, een videocall waarbij een huisgenoot meeluistert, of vertrouwelijke gesprekken in een gedeelde ruimte zijn reële risico’s die geen enkel IT-systeem afvangt. Neem in het beleid gedragsregels op: werk met een privacyscherm waar nodig, voer vertrouwelijke gesprekken in een afgesloten ruimte, en vergrendel het scherm bij het verlaten van de werkplek — ook thuis.

Clean desk en gedeelde apparaten

Een clean-deskregel geldt thuis net zo goed als op kantoor. Papieren met persoonsgegevens horen aan het eind van de dag opgeborgen, niet op de keukentafel. Nog belangrijker: een werklaptop is geen gezinscomputer. Zodra kinderen of partners meekijken, spelen of downloaden op hetzelfde apparaat, verdwijnt de beheersbaarheid volledig. Het beleid moet daarom expliciet verbieden dat werkapparaten voor privédoeleinden door anderen worden gebruikt.

Grenzen aan monitoring van thuiswerkers

Dit is het gevoeligste onderdeel. De AP is duidelijk: heimelijke, permanente monitoring van thuiswerkers — screenshots, webcamcontrole, keystroke-logging — is vrijwel nooit toegestaan. Zulke controle is disproportioneel en tast het privéleven van de medewerker aan.

Wilt u toch enige vorm van controle (bijvoorbeeld tijdregistratie), dan geldt: een gerechtvaardigd belang, een noodzakelijkheidstoets, voorafgaande transparantie, en géén heimelijkheid. De bredere regels staan in de gids over de AVG voor werkgevers en het privacyverklaring-werknemers-model.

De verleiding tot “productiviteitssoftware” is groot: tools die screenshots maken, muisbewegingen tellen of actieve tijd meten. De AP en de EDPB zijn hier consistent kritisch. Zulke systemen verwerken continu gedetailleerde gedragsgegevens en zijn vrijwel nooit proportioneel voor het doel dat ermee wordt nagestreefd. Ze ondermijnen bovendien het vertrouwen en leveren zelden betrouwbare informatie op. Kies liever voor sturing op resultaat dan op surveillance — dat is niet alleen juridisch veiliger, maar ook effectiever.

Bewustwording als sluitstuk

Techniek en beleid vangen veel af, maar de mens blijft de belangrijkste factor. De meeste thuiswerklekken ontstaan niet door gehackte systemen maar door menselijke fouten: een verkeerd geadresseerde e-mail, een phishinglink, een niet-vergrendeld scherm. Investeer daarom in korte, herhaalde bewustwording — geen jaarlijkse verplichte cursus die iedereen wegklikt, maar concrete, praktische reminders die aansluiten bij de thuiswerksituatie. Een team dat weet waaróm een maatregel bestaat, houdt zich er beter aan dan een team dat alleen regels krijgt opgelegd.

Incidentmelding vanuit huis

Een datalek thuis — verloren laptop, verkeerd verzonden e-mail, inbraak op het thuisnetwerk — moet net zo snel gemeld worden als op kantoor. Het beleid moet de medewerker vertellen: bij welk intern meldpunt, en dat de datalekprocedure direct start. De 72-uursklok richting de AP kent geen thuiswerkuitzondering.

De OR en instemming

Voert u BYOD-regels of enige vorm van monitoring in, dan raakt dat doorgaans het instemmingsrecht van de ondernemingsraad op grond van artikel 27 WOR. Betrek de OR vroeg; een monitoringregeling zonder instemming is aantastbaar.

Hoe Legiscope hierbij helpt

Een thuiswerkbeleid is één document, maar de onderliggende verwerkingen — toegang, apparaten, incidentmelding — moeten in uw register en beveiligingsdocumentatie kloppen. Legiscope houdt de maatregelen en verwerkingen consistent, zodat het beleid aansluit op wat u daadwerkelijk in het register heeft vastgelegd.

FAQ

Geldt de AVG ook bij thuiswerken?

Ja, volledig. De verplichtingen van de werkgever — met name de beveiligingsplicht van art. 32 AVG — gelden onverkort wanneer medewerkers thuis persoonsgegevens verwerken. De thuisomgeving is minder beheerst, dus het risico is juist hoger.

Mag ik thuiswerkers monitoren?

Alleen zeer beperkt en nooit heimelijk. De AP acht permanente of verborgen monitoring van thuiswerkers — screenshots, webcam, toetsaanslagen — vrijwel altijd disproportioneel. Enige vorm van controle vergt een gerechtvaardigd belang, een noodzakelijkheidstoets en voorafgaande transparantie. In vrijwel alle gevallen is er een minder ingrijpend alternatief dan surveillance: stuur op resultaten en afspraken in plaats van op geregistreerde aanwezigheid. Dat is niet alleen juridisch veiliger, maar levert ook betere prestaties en meer vertrouwen op dan permanente controle.

Mogen werknemers hun eigen apparaat gebruiken?

Ja, mits u BYOD-regels vaststelt: scheiding van werk en privé, encryptie, schermvergrendeling, actuele software en de mogelijkheid tot wissen op afstand bij verlies. Zonder die regels verliest u grip op waar bedrijfsgegevens staan.

Moet ik een datalek dat thuis ontstaat ook melden?

Ja, op precies dezelfde manier. Een verloren laptop of een verkeerd verzonden e-mail vanuit huis is een datalek dat u binnen 72 uur bij de AP moet melden als er waarschijnlijk een risico voor betrokkenen is. Zorg dat thuiswerkers weten hoe en waar zij zo’n incident direct melden, want de 72-uursklok begint te lopen zodra de organisatie ervan op de hoogte is. Een medewerker die aarzelt of het meldpunt niet kent, kost u kostbare uren die u niet kunt inhalen.


Bronnen: de AVG-tekst op EUR-Lex en de informatie over beveiliging van de Autoriteit Persoonsgegevens.

Zie ook: AVG bij werving en selectie.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →