Een thuiswerkbeleid onder de AVG regelt hoe medewerkers persoonsgegevens veilig verwerken buiten kantoor: beveiligde verbindingen, regels voor eigen apparaten (BYOD), omgang met papieren dossiers thuis, en de grenzen aan controle op afstand. De basis is artikel 32 AVG: u moet passende technische en organisatorische maatregelen treffen, en die verplichting stopt niet bij de voordeur van kantoor. Hieronder vindt u een thuiswerkbeleid-model met de belangrijkste aandachtspunten en modelbepalingen.
Nederland heeft het hoogste thuiswerkpercentage van Europa. Dat maakt het risico structureel: gegevens verlaten dagelijks de beheerste kantooromgeving en belanden op keukentafels, privénetwerken en persoonlijke apparaten. Een beleid dat daar geen antwoord op geeft, laat een gat in uw naleving van art. 32.
Key Takeaways
- De beveiligingsplicht van art. 32 AVG geldt onverkort bij thuiswerken.
- BYOD vereist heldere regels: scheiding werk/privé, encryptie, en de mogelijkheid tot wissen op afstand.
- Heimelijke monitoring van thuiswerkers is vrijwel nooit toegestaan (strikte AP-lijn).
- Een datalek vanuit huis moet net zo snel gemeld worden — de 72-uursklok kent geen thuiswerkuitzondering.
- Invoering van monitoring- of BYOD-regels raakt vaak het instemmingsrecht van de OR (art. 27 WOR).
Beveiligde verbindingen en toegang
Het beleid moet voorschrijven dat medewerkers alleen via een beveiligde verbinding (VPN of vergelijkbaar) toegang krijgen tot bedrijfssystemen, met meervoudige authenticatie. Openbare wifi zonder VPN is verboden voor het verwerken van persoonsgegevens.
Deze maatregelen zijn een directe uitwerking van de beveiligingsplicht; zie de gids over artikel 32 AVG voor het volledige kader.
Regel ook wat er gebeurt op het thuisnetwerk zelf. Een router met een standaardwachtwoord, verouderde firmware of een gedeeld netwerk met smart-apparaten vormt een reëel risico dat buiten uw directe beheer valt. U kunt het thuisnetwerk niet volledig controleren, maar u kunt wel eisen stellen: een sterk wifi-wachtwoord, actuele apparatuur, en het gebruik van de bedrijfs-VPN voor alle werkverkeer, zodat de gegevens onderweg versleuteld zijn ongeacht de kwaliteit van het onderliggende netwerk. Maak deze verantwoordelijkheid expliciet in het beleid, want een medewerker die niet weet dat zijn router een zwakke schakel is, zal er ook niets aan doen.
BYOD: eigen apparaten
Als medewerkers eigen apparaten gebruiken, regel dan minimaal:
| Onderwerp | Modelregel |
|---|---|
| Scheiding | Werkgegevens in een aparte, beheerde omgeving |
| Encryptie | Schijf- en communicatieversleuteling verplicht |
| Toegang | Schermvergrendeling en sterk wachtwoord |
| Verlies | Meld direct; mogelijkheid tot wissen op afstand |
| Updates | Actueel besturingssysteem en beveiligingssoftware |
Zonder deze afspraken verliest u elke grip op waar bedrijfsgegevens staan. Een verloren privételefoon zonder encryptie is direct een datalek.
Papieren dossiers thuis
Vergeet papier niet. Het beleid moet regelen dat vertrouwelijke documenten thuis afgeschermd worden bewaard (afsluitbare lade), niet in het zicht van huisgenoten liggen, en veilig vernietigd worden — niet bij het oud papier. Voor de bewaartermijnen geldt hetzelfde bewaartermijnenbeleid als op kantoor.
Denk ook aan de fysieke omgeving zelf. Een beeldscherm dat vanaf de straat zichtbaar is, een videocall waarbij een huisgenoot meeluistert, of vertrouwelijke gesprekken in een gedeelde ruimte zijn reële risico’s die geen enkel IT-systeem afvangt. Neem in het beleid gedragsregels op: werk met een privacyscherm waar nodig, voer vertrouwelijke gesprekken in een afgesloten ruimte, en vergrendel het scherm bij het verlaten van de werkplek — ook thuis.
Clean desk en gedeelde apparaten
Een clean-deskregel geldt thuis net zo goed als op kantoor. Papieren met persoonsgegevens horen aan het eind van de dag opgeborgen, niet op de keukentafel. Nog belangrijker: een werklaptop is geen gezinscomputer. Zodra kinderen of partners meekijken, spelen of downloaden op hetzelfde apparaat, verdwijnt de beheersbaarheid volledig. Het beleid moet daarom expliciet verbieden dat werkapparaten voor privédoeleinden door anderen worden gebruikt.
Grenzen aan monitoring van thuiswerkers
Dit is het gevoeligste onderdeel. De AP is duidelijk: heimelijke, permanente monitoring van thuiswerkers — screenshots, webcamcontrole, keystroke-logging — is vrijwel nooit toegestaan. Zulke controle is disproportioneel en tast het privéleven van de medewerker aan.
Wilt u toch enige vorm van controle (bijvoorbeeld tijdregistratie), dan geldt: een gerechtvaardigd belang, een noodzakelijkheidstoets, voorafgaande transparantie, en géén heimelijkheid. De bredere regels staan in de gids over de AVG voor werkgevers en het privacyverklaring-werknemers-model.
De verleiding tot “productiviteitssoftware” is groot: tools die screenshots maken, muisbewegingen tellen of actieve tijd meten. De AP en de EDPB zijn hier consistent kritisch. Zulke systemen verwerken continu gedetailleerde gedragsgegevens en zijn vrijwel nooit proportioneel voor het doel dat ermee wordt nagestreefd. Ze ondermijnen bovendien het vertrouwen en leveren zelden betrouwbare informatie op. Kies liever voor sturing op resultaat dan op surveillance — dat is niet alleen juridisch veiliger, maar ook effectiever.
Bewustwording als sluitstuk
Techniek en beleid vangen veel af, maar de mens blijft de belangrijkste factor. De meeste thuiswerklekken ontstaan niet door gehackte systemen maar door menselijke fouten: een verkeerd geadresseerde e-mail, een phishinglink, een niet-vergrendeld scherm. Investeer daarom in korte, herhaalde bewustwording — geen jaarlijkse verplichte cursus die iedereen wegklikt, maar concrete, praktische reminders die aansluiten bij de thuiswerksituatie. Een team dat weet waaróm een maatregel bestaat, houdt zich er beter aan dan een team dat alleen regels krijgt opgelegd.
Incidentmelding vanuit huis
Een datalek thuis — verloren laptop, verkeerd verzonden e-mail, inbraak op het thuisnetwerk — moet net zo snel gemeld worden als op kantoor. Het beleid moet de medewerker vertellen: bij welk intern meldpunt, en dat de datalekprocedure direct start. De 72-uursklok richting de AP kent geen thuiswerkuitzondering.
De OR en instemming
Voert u BYOD-regels of enige vorm van monitoring in, dan raakt dat doorgaans het instemmingsrecht van de ondernemingsraad op grond van artikel 27 WOR. Betrek de OR vroeg; een monitoringregeling zonder instemming is aantastbaar.
Hoe Legiscope hierbij helpt
Een thuiswerkbeleid is één document, maar de onderliggende verwerkingen — toegang, apparaten, incidentmelding — moeten in uw register en beveiligingsdocumentatie kloppen. Legiscope houdt de maatregelen en verwerkingen consistent, zodat het beleid aansluit op wat u daadwerkelijk in het register heeft vastgelegd.
FAQ
Geldt de AVG ook bij thuiswerken?
Ja, volledig. De verplichtingen van de werkgever — met name de beveiligingsplicht van art. 32 AVG — gelden onverkort wanneer medewerkers thuis persoonsgegevens verwerken. De thuisomgeving is minder beheerst, dus het risico is juist hoger.
Mag ik thuiswerkers monitoren?
Alleen zeer beperkt en nooit heimelijk. De AP acht permanente of verborgen monitoring van thuiswerkers — screenshots, webcam, toetsaanslagen — vrijwel altijd disproportioneel. Enige vorm van controle vergt een gerechtvaardigd belang, een noodzakelijkheidstoets en voorafgaande transparantie. In vrijwel alle gevallen is er een minder ingrijpend alternatief dan surveillance: stuur op resultaten en afspraken in plaats van op geregistreerde aanwezigheid. Dat is niet alleen juridisch veiliger, maar levert ook betere prestaties en meer vertrouwen op dan permanente controle.
Mogen werknemers hun eigen apparaat gebruiken?
Ja, mits u BYOD-regels vaststelt: scheiding van werk en privé, encryptie, schermvergrendeling, actuele software en de mogelijkheid tot wissen op afstand bij verlies. Zonder die regels verliest u grip op waar bedrijfsgegevens staan.
Moet ik een datalek dat thuis ontstaat ook melden?
Ja, op precies dezelfde manier. Een verloren laptop of een verkeerd verzonden e-mail vanuit huis is een datalek dat u binnen 72 uur bij de AP moet melden als er waarschijnlijk een risico voor betrokkenen is. Zorg dat thuiswerkers weten hoe en waar zij zo’n incident direct melden, want de 72-uursklok begint te lopen zodra de organisatie ervan op de hoogte is. Een medewerker die aarzelt of het meldpunt niet kent, kost u kostbare uren die u niet kunt inhalen.
Bronnen: de AVG-tekst op EUR-Lex en de informatie over beveiliging van de Autoriteit Persoonsgegevens.
Zie ook: AVG bij werving en selectie.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial