Categorie: Compliance

  • AVG en IT: wat moet je als MKB geregeld hebben?

    AVG en IT: wat moet je als MKB geregeld hebben?

    De Algemene Verordening Gegevensbescherming (AVG) is al jaren van kracht, maar nog steeds worstelen veel MKB-bedrijven met de vraag: wat moet ik nu precies geregeld hebben? De AVG is van toepassing op iedere organisatie die persoonsgegevens verwerkt van personen in de EU — en dat is vrijwel elk bedrijf, van ZZP’er tot multinational.

    In dit artikel richten we ons specifiek op de IT-kant van de AVG: welke technische en organisatorische maatregelen zijn vereist, wat zijn de meest voorkomende fouten en hoe begin je met een gestructureerde aanpak?

    Wat is de AVG en waarom is IT zo belangrijk?

    De AVG (in het Engels: GDPR) legt vast hoe organisaties persoonsgegevens mogen verzamelen, opslaan, gebruiken en beveiligen. IT speelt hierin een centrale rol: de meeste persoonsgegevens worden digitaal verwerkt, opgeslagen in databases, verstuurd via e-mail of bewaard in cloudomgevingen.

    Bij een datalek — zoals een hack, een verloren laptop of een verkeerd verstuurde e-mail — ben je als organisatie verplicht dit te melden bij de Autoriteit Persoonsgegevens (AP) en mogelijk ook aan de betrokkenen zelf. De gevolgen kunnen variëren van reputatieschade tot boetes van maximaal €20 miljoen of 4% van de wereldwijde jaaromzet.

    Verwerkingsregister

    Een overzicht van alle persoonsgegevens die je verwerkt, met welk doel, op welke basis en hoe lang je ze bewaart.

    Technische beveiliging

    Encryptie, toegangsbeheer, MFA en regelmatige back-ups zijn verplichte technische maatregelen onder de AVG.

    Verwerkersovereenkomst

    Met elke externe partij die persoonsgegevens voor jou verwerkt (zoals een cloudprovider of HR-systeem) moet je een verwerkersovereenkomst afsluiten.

    De 7 belangrijkste IT-verplichtingen onder de AVG

    1. Verwerkingsregister bijhouden

    Je moet documenteren welke persoonsgegevens je verwerkt, voor welk doel, op welke rechtmatige grondslag (toestemming, contract, wettelijke verplichting, etc.), hoe lang je ze bewaart en wie er toegang toe heeft. Dit is de basis van AVG-compliance en tegelijkertijd het vertrekpunt voor een goed IT-beleid.

    2. Passende technische beveiliging

    De AVG vereist “passende technische maatregelen” — wat dat precies betekent hangt af van de aard van de gegevens. Voor een gemiddeld MKB-bedrijf omvat dit minimaal:

    • Encryptie van gevoelige data, zowel in opslag als tijdens transport (HTTPS, versleutelde e-mail)
    • Toegangsbeheer op basis van het least privilege-principe: medewerkers krijgen alleen toegang tot de data die ze nodig hebben
    • Multi-factor authenticatie (MFA) voor alle systemen met persoonsgegevens
    • Regelmatige back-ups en een herstelstrategie bij dataverlies
    • Patchbeheer: systemen up-to-date houden om bekende kwetsbaarheden te dichten

    3. Verwerkersovereenkomsten afsluiten

    Elke externe partij die persoonsgegevens namens jou verwerkt — een cloudprovider, een HR-softwareleverancier, een IT-beheerder — is een “verwerker”. Met elke verwerker moet je een verwerkersovereenkomst (DPA) afsluiten. Deze overeenkomst legt vast hoe de verwerker met de gegevens omgaat en welke beveiligingsmaatregelen hij treft.

    4. Datalekken melden

    Bij een datalek — onbedoelde of onrechtmatige toegang tot, vernietiging, verlies of openbaarmaking van persoonsgegevens — moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Als het lek hoog risico oplevert voor de betrokkenen, moet je ook hen informeren. Een intern meldingsprotocol is essentieel om deze termijn te kunnen halen.

    5. Rechten van betrokkenen faciliteren

    Mensen hebben het recht om te weten welke gegevens je van hen hebt, om die te laten corrigeren of verwijderen (het “recht op vergetelheid”) en om bezwaar te maken tegen bepaalde verwerkingen. Je IT-systemen moeten zo zijn ingericht dat je aan deze verzoeken kunt voldoen — inclusief het daadwerkelijk verwijderen van data uit back-ups en archiven.

    6. Privacy by Design en Privacy by Default

    Bij de ontwikkeling of aanschaf van nieuwe systemen moet privacy standaard zijn ingebouwd. Dit betekent: verzamel niet meer gegevens dan noodzakelijk (dataminimalisatie), sla ze niet langer op dan nodig en maak de meest privacyvriendelijke instelling de standaard.

    7. Bewustwording en training

    De meeste datalekken ontstaan door menselijke fouten: een phishingmail, een verkeerd verstuurde e-mail of een verloren USB-stick. Periodieke training van medewerkers over gegevensbescherming is niet alleen verstandig — het is ook een AVG-vereiste.

    Veelgemaakte IT-fouten onder de AVG

    • Geen verwerkersovereenkomst met cloudproviders: veel organisaties gebruiken cloudtools zonder een DPA af te sluiten.
    • Data onbeperkt bewaren: gegevens worden standaard nooit verwijderd, terwijl de AVG verplicht tot een bewaartermijn.
    • Geen MFA op e-mail en bedrijfssystemen: e-mail is de grootste bron van datalekken bij MKB.
    • Geen back-up van persoonsgegevens: verlies van persoonsgegevens door systeemuitval is ook een datalek.
    • Geen meldingsprotocol: zonder vooraf nagedacht proces mis je de 72-uurstermijn bij een incident.

    Hoe begin je met AVG-compliance in IT?

    Een pragmatische aanpak voor het MKB:

    • Start met een verwerkingsregister: breng in kaart welke systemen persoonsgegevens verwerken.
    • Controleer je verwerkersovereenkomsten: heb je er een met elke externe dienst die data verwerkt?
    • Implementeer MFA en toegangsbeheer: dit is zowel een AVG-vereiste als goede beveiligingspraktijk.
    • Stel een intern meldingsprotocol op: wie beslist of iets een datalek is, en wie meldt het bij de AP?
    • Train je medewerkers: minimaal eenmaal per jaar over herkennen en melden van datalekken.

    Conclusie

    AVG-compliance in IT hoeft niet overweldigend te zijn. Door systematisch te werken — van verwerkingsregister tot technische beveiliging en bewustwording — bouw je een solide basis die zowel juridisch houdbaar is als jouw bedrijf en klanten beschermt.

    1. Verwerkingsregister — documenteer welke gegevens je verwerkt, waarom en hoe lang.
    2. Technische beveiliging — encryptie, MFA, toegangsbeheer en patchbeheer zijn verplicht.
    3. Verwerkersovereenkomsten — sluit DPA’s af met alle externe verwerkers.
    4. Datalekprotocol — zorg dat je de 72-uurstermijn kunt halen.
    5. Rechten van betrokkenen — systemen moeten verwijdering en export van data ondersteunen.
    6. Training — menselijke fouten zijn de voornaamste oorzaak van datalekken.
  • Wat betekent de NIS2-richtlijn voor jouw bedrijf?

    Wat betekent de NIS2-richtlijn voor jouw bedrijf?

    De NIS2-richtlijn is de meest ingrijpende Europese cybersecuritywetgeving van de afgelopen jaren. Waar de oorspronkelijke NIS-richtlijn uit 2016 nog beperkt was in reikwijdte, verplicht NIS2 een veel grotere groep organisaties tot concrete maatregelen op het gebied van cyberbeveiliging en incidentrapportage. Veel MKB-bedrijven weten nog niet of — en in hoeverre — zij onder de richtlijn vallen.

    In dit artikel leggen we uit wat NIS2 inhoudt, voor wie het geldt, wat de verplichtingen zijn en hoe je als organisatie aan de slag kunt.

    Wat is de NIS2-richtlijn?

    NIS2 staat voor Network and Information Security Directive 2. Het is een Europese richtlijn die lidstaten verplicht om wetgeving in te voeren die essentiële en belangrijke organisaties dwingt tot een minimumniveau van cyberbeveiliging. In Nederland wordt NIS2 omgezet via de Cyberbeveiligingswet (Cbw).

    Risicomaatregelen

    Organisaties moeten passende technische en organisatorische maatregelen treffen om cyberrisico’s te beheersen.

    Meldplicht

    Significante incidenten moeten binnen 24 uur gemeld worden, gevolgd door een volledig rapport binnen 72 uur.

    Bestuurlijke aansprakelijkheid

    Directie en bestuur zijn persoonlijk verantwoordelijk voor naleving. Bij ernstige overtredingen kunnen bestuurders tijdelijk worden geschorst.

    Voor wie geldt NIS2?

    NIS2 maakt onderscheid tussen twee categorieën organisaties:

    Essentiële entiteiten

    Grote organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur en financiën. Deze organisaties vallen onder het strengste toezicht.

    Belangrijke entiteiten

    Middelgrote organisaties in een bredere groep sectoren, waaronder post en koeriersdiensten, afvalverwerking, voedselproductie, chemische industrie, onderzoek en digitale aanbieders.

    Geldt NIS2 ook voor het MKB?

    In principe richt NIS2 zich op middelgrote en grote organisaties (meer dan 50 medewerkers of meer dan €10 miljoen omzet). Kleine bedrijven vallen normaal gesproken buiten de directe scope. Maar als jij leverancier bent van een essentiële of belangrijke entiteit, kun je indirect verplicht worden om aan NIS2-eisen te voldoen via contractuele afspraken in de toeleveringsketen.

    Wat zijn de verplichtingen onder NIS2?

    1. Risicobeheer en beveiligingsmaatregelen

    Organisaties moeten een risicogebaseerde aanpak hanteren en passende maatregelen treffen, waaronder:

    • Beleid voor risicoanalyse en beveiliging van informatiesystemen
    • Incidentbeheer en -respons
    • Bedrijfscontinuïteit en crisismanagement
    • Beveiliging van de toeleveringsketen
    • Beheer van toegangsrechten en authenticatie (inclusief MFA)
    • Gebruik van encryptie en cryptografie
    • Personeelsbeveiliging en bewustwording

    2. Meldplicht bij incidenten

    • Binnen 24 uur: eerste melding (early warning) bij de toezichthouder.
    • Binnen 72 uur: een volledig incidentrapport met eerste analyse.
    • Binnen een maand: een eindrapport met oorzaak, impact en genomen maatregelen.

    3. Bestuurlijke verantwoordelijkheid

    Directie en bestuur zijn persoonlijk aansprakelijk voor het cybersecurity-beleid. Zij kunnen bij nalatigheid persoonlijk worden aangesproken en tijdelijk worden geschorst als de organisatie structureel in gebreke blijft.

    4. Toezicht en sancties

    Bij overtredingen kunnen boetes worden opgelegd van maximaal €10 miljoen of 2% van de wereldwijde jaaromzet (essentieel) of €7 miljoen of 1,4% omzet (belangrijk).

    Hoe bereid je jouw organisatie voor op NIS2?

    Stap 1: Bepaal of je onder NIS2 valt

    Controleer of jouw organisatie in een van de aangewezen sectoren actief is en voldoet aan de drempelwaarden. Kijk ook of jij leverancier bent van organisaties die onder NIS2 vallen.

    Stap 2: Voer een nulmeting uit

    Breng in kaart wat je huidige beveiligingsniveau is ten opzichte van de NIS2-vereisten. Welke maatregelen zijn al getroffen? Waar zitten de grootste lacunes?

    Stap 3: Stel een verbeterplan op

    Prioriteer de maatregelen op basis van risico en implementeerbaarheid. Denk aan: MFA invoeren, back-upbeleid aanscherpen, een incidentresponsplan opstellen en medewerkers trainen.

    Stap 4: Betrek het bestuur

    NIS2 vereist dat het bestuur actief betrokken is bij cybersecurity. Zorg dat directie de risico’s begrijpt, het beleid goedkeurt en periodiek wordt geïnformeerd over de status.

    Stap 5: Documenteer alles

    Toezichthouders verwachten aantoonbare naleving. Leg beleid, risicoanalyses, maatregelen en trainingen schriftelijk vast zodat je bij controle kunt aantonen wat je gedaan hebt.

    Veelgemaakte fouten bij NIS2-voorbereiding

    • Wachten tot de wet van kracht is: de vereiste maatregelen kosten tijd — begin nu.
    • Alleen technische maatregelen nemen: NIS2 vraagt ook om processen, beleid en bewustwording.
    • Bestuur niet betrekken: cybersecurity is een bestuursvraagstuk geworden.
    • Toeleveranciers vergeten: beveiliging van de supply chain is een expliciete vereiste.
    • Geen incidentresponsplan: zonder plan verlies je kostbare uren bij een incident.

    Conclusie

    NIS2 is geen administratieve formaliteit. Het is een fundamentele verschuiving in hoe Europa cybersecurity reguleert, met directe gevolgen voor bestuurders die de verantwoordelijkheid niet langer kunnen delegeren.

    1. Bepaal je scope — val je onder NIS2 als essentiële of belangrijke entiteit?
    2. Voer een nulmeting uit — waar sta je nu ten opzichte van de vereisten?
    3. Stel een verbeterplan op met prioriteit voor de grootste risico’s.
    4. Betrek het bestuur — zij zijn persoonlijk aansprakelijk.
    5. Documenteer alles om bij toezicht aantoonbaar compliant te zijn.
    6. Oefen je incidentrespons zodat je de meldtermijnen kunt halen.