De Algemene Verordening Gegevensbescherming (AVG) is al jaren van kracht, maar nog steeds worstelen veel MKB-bedrijven met de vraag: wat moet ik nu precies geregeld hebben? De AVG is van toepassing op iedere organisatie die persoonsgegevens verwerkt van personen in de EU — en dat is vrijwel elk bedrijf, van ZZP’er tot multinational.
In dit artikel richten we ons specifiek op de IT-kant van de AVG: welke technische en organisatorische maatregelen zijn vereist, wat zijn de meest voorkomende fouten en hoe begin je met een gestructureerde aanpak?
Wat is de AVG en waarom is IT zo belangrijk?
De AVG (in het Engels: GDPR) legt vast hoe organisaties persoonsgegevens mogen verzamelen, opslaan, gebruiken en beveiligen. IT speelt hierin een centrale rol: de meeste persoonsgegevens worden digitaal verwerkt, opgeslagen in databases, verstuurd via e-mail of bewaard in cloudomgevingen.
Bij een datalek — zoals een hack, een verloren laptop of een verkeerd verstuurde e-mail — ben je als organisatie verplicht dit te melden bij de Autoriteit Persoonsgegevens (AP) en mogelijk ook aan de betrokkenen zelf. De gevolgen kunnen variëren van reputatieschade tot boetes van maximaal €20 miljoen of 4% van de wereldwijde jaaromzet.
Verwerkingsregister
Een overzicht van alle persoonsgegevens die je verwerkt, met welk doel, op welke basis en hoe lang je ze bewaart.
Technische beveiliging
Encryptie, toegangsbeheer, MFA en regelmatige back-ups zijn verplichte technische maatregelen onder de AVG.
Verwerkersovereenkomst
Met elke externe partij die persoonsgegevens voor jou verwerkt (zoals een cloudprovider of HR-systeem) moet je een verwerkersovereenkomst afsluiten.
De 7 belangrijkste IT-verplichtingen onder de AVG
1. Verwerkingsregister bijhouden
Je moet documenteren welke persoonsgegevens je verwerkt, voor welk doel, op welke rechtmatige grondslag (toestemming, contract, wettelijke verplichting, etc.), hoe lang je ze bewaart en wie er toegang toe heeft. Dit is de basis van AVG-compliance en tegelijkertijd het vertrekpunt voor een goed IT-beleid.
2. Passende technische beveiliging
De AVG vereist “passende technische maatregelen” — wat dat precies betekent hangt af van de aard van de gegevens. Voor een gemiddeld MKB-bedrijf omvat dit minimaal:
- Encryptie van gevoelige data, zowel in opslag als tijdens transport (HTTPS, versleutelde e-mail)
- Toegangsbeheer op basis van het least privilege-principe: medewerkers krijgen alleen toegang tot de data die ze nodig hebben
- Multi-factor authenticatie (MFA) voor alle systemen met persoonsgegevens
- Regelmatige back-ups en een herstelstrategie bij dataverlies
- Patchbeheer: systemen up-to-date houden om bekende kwetsbaarheden te dichten
3. Verwerkersovereenkomsten afsluiten
Elke externe partij die persoonsgegevens namens jou verwerkt — een cloudprovider, een HR-softwareleverancier, een IT-beheerder — is een “verwerker”. Met elke verwerker moet je een verwerkersovereenkomst (DPA) afsluiten. Deze overeenkomst legt vast hoe de verwerker met de gegevens omgaat en welke beveiligingsmaatregelen hij treft.
4. Datalekken melden
Bij een datalek — onbedoelde of onrechtmatige toegang tot, vernietiging, verlies of openbaarmaking van persoonsgegevens — moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Als het lek hoog risico oplevert voor de betrokkenen, moet je ook hen informeren. Een intern meldingsprotocol is essentieel om deze termijn te kunnen halen.
5. Rechten van betrokkenen faciliteren
Mensen hebben het recht om te weten welke gegevens je van hen hebt, om die te laten corrigeren of verwijderen (het “recht op vergetelheid”) en om bezwaar te maken tegen bepaalde verwerkingen. Je IT-systemen moeten zo zijn ingericht dat je aan deze verzoeken kunt voldoen — inclusief het daadwerkelijk verwijderen van data uit back-ups en archiven.
6. Privacy by Design en Privacy by Default
Bij de ontwikkeling of aanschaf van nieuwe systemen moet privacy standaard zijn ingebouwd. Dit betekent: verzamel niet meer gegevens dan noodzakelijk (dataminimalisatie), sla ze niet langer op dan nodig en maak de meest privacyvriendelijke instelling de standaard.
7. Bewustwording en training
De meeste datalekken ontstaan door menselijke fouten: een phishingmail, een verkeerd verstuurde e-mail of een verloren USB-stick. Periodieke training van medewerkers over gegevensbescherming is niet alleen verstandig — het is ook een AVG-vereiste.
Veelgemaakte IT-fouten onder de AVG
- Geen verwerkersovereenkomst met cloudproviders: veel organisaties gebruiken cloudtools zonder een DPA af te sluiten.
- Data onbeperkt bewaren: gegevens worden standaard nooit verwijderd, terwijl de AVG verplicht tot een bewaartermijn.
- Geen MFA op e-mail en bedrijfssystemen: e-mail is de grootste bron van datalekken bij MKB.
- Geen back-up van persoonsgegevens: verlies van persoonsgegevens door systeemuitval is ook een datalek.
- Geen meldingsprotocol: zonder vooraf nagedacht proces mis je de 72-uurstermijn bij een incident.
Hoe begin je met AVG-compliance in IT?
Een pragmatische aanpak voor het MKB:
- Start met een verwerkingsregister: breng in kaart welke systemen persoonsgegevens verwerken.
- Controleer je verwerkersovereenkomsten: heb je er een met elke externe dienst die data verwerkt?
- Implementeer MFA en toegangsbeheer: dit is zowel een AVG-vereiste als goede beveiligingspraktijk.
- Stel een intern meldingsprotocol op: wie beslist of iets een datalek is, en wie meldt het bij de AP?
- Train je medewerkers: minimaal eenmaal per jaar over herkennen en melden van datalekken.
Conclusie
AVG-compliance in IT hoeft niet overweldigend te zijn. Door systematisch te werken — van verwerkingsregister tot technische beveiliging en bewustwording — bouw je een solide basis die zowel juridisch houdbaar is als jouw bedrijf en klanten beschermt.
- Verwerkingsregister — documenteer welke gegevens je verwerkt, waarom en hoe lang.
- Technische beveiliging — encryptie, MFA, toegangsbeheer en patchbeheer zijn verplicht.
- Verwerkersovereenkomsten — sluit DPA’s af met alle externe verwerkers.
- Datalekprotocol — zorg dat je de 72-uurstermijn kunt halen.
- Rechten van betrokkenen — systemen moeten verwijdering en export van data ondersteunen.
- Training — menselijke fouten zijn de voornaamste oorzaak van datalekken.

