Informatiebeveiliging in de AVG

    - - / 19 September 2025

    De Algemene verordening gegevensbescherming, ofwel de AVG, is al een tijdje (vanaf 2018) van toepassing binnen de Europese Unie. Iedereen kent deze wet inmiddels wel. Gegevensbescherming, de bescherming van persoonsgegevens wordt in praktijk ook vaak privacy genoemd. Privacy is tegenwoordig niet weg te denken uit onze digitale samenleving. Het onderwerp ‘privacy’ is de afgelopen jaren ook steeds vaker in het nieuws gekomen en de verschillende toepassingen van de AVG zijn steeds vaker online zichtbaar. Denk bijvoorbeeld aan grootschalige datalekken die je vaak in het nieuws leest. Privacy is door de digitalisering een steeds belangrijker begrip geworden. De begrippen privacy en informatiebeveiliging worden in het algemeen ook vaak door elkaar gehaald en/of als hetzelfde gezien. Maar wat zijn precies deze onderlinge verhoudingen, en wat zegt de AVG hier zelf over?

    Afdeling 2, onder andere artikelen 24 en 32 van de AVG gaan op deze verhoudingen in. De AVG blijft een Europese wet die breed toepasbaar moet zijn en deze is bovendien niet op alle punten even pragmatisch geschreven. In dit blog ga ik daarom eerst in op de onderlinge verhouding van privacy en informatiebeveiliging. Vervolgens bespreek ik het treffen van beveiligingsmaatregelen in samenhang met de bijbehorende artikelen.

    Voor dit blog beperk ik me tot privacy (ofwel gegevensbeschermingsrecht) in de zin van de AVG.

    Privacy en informatiebeveiliging

    De begrippen privacy en informatiebeveiliging worden vaak in dezelfde context gebruikt, terwijl dit wel duidelijk verschillende vakgebieden zijn. Als we naar de website van de Autoriteit Persoonsgegevens ofwel de AP (de onafhankelijke privacy toezichthouder in Nederland) en de Internationale standaard voor informatiebeveiliging, de ISO 27001 kijken, kunnen we beide begrippen als volgt omschrijven:

    Privacy: Privacy gaat over bescherming van persoonsgegevens, zoals naam, adres, locatie, ect. De AVG beschrijft regels om deze privacy te beschermen. De AVG beschrijft hoe persoonsgegevens op verantwoorde manier te beschermen, maar is er ook op gericht om (verantwoorde/passende) gegevensdeling te bevorderen.

    Informatiebeveiliging: De informatie van een organisatie beschermen tegen bedreigingen (intern & extern), om de Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) van informatie of informatieassets (middelen) te waarborgen. – dit borgt natuurlijk ook de bedrijfscontinuïteit.

    Kort samengevat: informatiebeveiliging omvat alle informatie, organisatie breed, en wil deze in veiligheid stellen. Het risicoperspectief is vanuit de organisatie. Waarbij de AVG zich focust op de informatie en risico’s van of over natuurlijke personen en dit in veiligheid wil stellen.

    De samenhang van deze twee vakgebieden komen in een organisatie, naast artikel 32 van de AVG, voornamelijk naar voren in thema’s als:

    • incidentmanagement,
    • crisismanagement,
    • human resource management,
    • leveranciersmanagement, en
    • projectmanagement.

    In organisaties zijn zowel informatiebeveiliging als privacy afdelingsoverstijgende onderwerpen. Kortom, in praktijk is er regelmatig overlap en zoek je de samenwerking op.

    Het treffen van maatregelen volgens de AVG

    De AVG is een omvangrijke wet die zich focust op persoonsgegevens en de privacyrechten van mensen als een organisatie hun persoonsgegevens verwerken (Bron AP). Volgens onderdeel 2 van de wetgeving, onder andere artikel 24 van de AVG, moet de verwerkingsverantwoordelijke passende, technische en organisatorische maatregelen nemen om te waarborgen en aan te tonen dat de verwerking in overeenstemming met de verordening wordt uitgevoerd. Dat is nog een behoorlijk open norm. Hier gaat artikel 32 AVG verder op in. Dit artikel behandelt de toepassing van bepaalde technische en organisatorische maatregelen, om persoonsgegevens te beveiligen. Hieronder gaan we verder in op dit artikel.

    Passende beveiligingsmaatregelen

    Passende beveiligingsmaatregelen is natuurlijk een algemeen begrip, maar het doel hiervan is om ervoor te zorgen dat organisaties goed nadenken over hun beveiligingsmaatregelen. Het artikel noemt verschillende beveiligingsmaatregelen. De maatregelen verschillen natuurlijk per organisatie, dit ligt aan veel factoren zoals bijvoorbeeld de aard van de verwerking (welke soort persoonsgegevens ze verwerken), de uitvoeringskosten, de risico’s voor de rechten en vrijheden van natuurlijke personen en de algemene context van de organisatie. Het treffen van deze maatregelen zorgen ervoor dat een organisatie een beveiligingsniveau haalt of waarborgt, dat past bij de organisatie. Hierbij wordt specifiek benoemd dat het te waarborgen beveiligingsniveau op de risico’s moet worden afgestemd.

    Risicogerichte aanpak

    Om de juiste maatregelen te treffen, is het ook van belang dat deze zijn afgestemd op het risico van de verwerking voor de rechten en vrijheden van personen. Dus hoe groter het risico voor personen, als deze informatie wordt gelekt, hoe zwaarder de beveiliging moet zijn. Denk bijvoorbeeld aan medische gegevens of gegevens over iemands geloofsovertuiging. Bij dergelijke gegevens past doorgaans een hoger beveiligingsniveau dan bijvoorbeeld een naam.

    BIV in combinatie met maatregelen

    Voor het treffen van de juiste organisatorische en technische maatregelen wordt er ook gekeken naar de Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) van informatie.

    Een maatregel zou moeten zorgen dat de continuïteit van informatie in de organisatie gewaarborgd blijft, waarbij er gekeken wordt naar het behoud van minimaal een van deze onderwerpen.

    Samenwerking tussen verwerkingsverantwoordelijke en verwerker

    In een samenwerking tussen een verwerkingsverantwoordelijke en verwerker, of een andere partij (bijvoorbeeld een andere verwerker), zijn zij beide verantwoordelijk voor het treffen van passende beveiligingsmaatregelen. Beide moeten op basis van hun eigen risico landschap passende maatregelen treffen. Maak hier duidelijke afspraken over in bijvoorbeeld een SLA (Service Level Agreement). Als verwerker is het bijvoorbeeld slim duidelijke afspraken vast te leggen over de toegang tot informatie.

    Zonder informatiebeveiliging geen privacy

    Het treffen van maatregelen zorgt ervoor dat de kans op verlies (bewust of onbewust), ongeautoriseerd toegang of onrechtmatige verwerking, kleiner is. Het is daarom dus van belang een passend beveiligingsniveau te waarborgen die uiteindelijk past bij een organisatie. Maar wat is dan passend, aan welke maatregelen kun je denken en wie is hier verantwoordelijk voor?

    In praktijk zie je vaak dat dit wordt gedaan conform een norm of standaard. Voor informatiebeveiliging is een van de meest toegepaste normen de ISO 27001:2022. Dit is de internationale norm voor informatiebeveiliging voor het opzetten, implementeren, onderhouden en continue verbeteren van een Information Security Management Systems (ISMS). In Nederland hebben we ook de veelgebruikte norm NEN 7510:2024 voor informatiebeveiliging, specifiek voor organisaties in het zorgdomein.

    Voor het treffen van de juiste maatregelen, wordt er in deze normeringen ook uitgegaan van een risico gebaseerde aanpak. Er dient namelijk eerst, na een contextanalyse en stakeholderanalyse, een risicoanalyse uitgevoerd te worden om de risico’s voor de organisatie in kaart te brengen. Ook hier zijn ‘Best Practices’ voor; methodes om dit op een goede manier te doen. Denk hierbij aan de NEN-ISO/IEC 27005, de internationale standaard die specifiek ingaat op informatiebeveiligingsrisicomanagement. Het doel hiervan is om een systematische aanpak te bieden voor het identificeren, beoordelen, behandelen en monitoren van risico’s rondom informatiebeveiliging.

    Als het bekend is wat de context van de organisatie is en welke risico’s een organisatie heeft, is de volgende stap de organisatorische en technische maatregelen te nemen per afdeling en/of proces. Door de indeling van de ISO 27001 en NEN 7510 hoofdstukken en de bijlage (Annex A, is een lijst van beheersmaatregelen verdeeld onder vier thema’s die je kunt treffen o.b.v. je risicobeoordeling: 1. Organisatorische maatregelen 2. Menselijke maatregelen 3. Fysieke maatregelen en 4. Technologische maatregelen), weet je als organisatie aan welke onderwerpen je kan denken met het treffen van maatregelen.

    Een aantal concrete voorbeelden van maatregelen die vaak worden toegepast zijn:

    • De pseudonimisering en versleuteling van de persoonsgegevens;
    • Het waarborgen van de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en diensten door bijvoorbeeld strenge eisen te stellen aan de toegang tot deze gegevens;
      • Het concept ‘Need – to – Know’ is een bekende term in dit vakgebied. Hiermee doelen we op de ‘Vertrouwelijkheid’ van informatie en is het van belang dat alleen medewerkers uit een organisatie toegang hebben tot informatie die voor hun werkzaamheden van belang is.’
    • Een controle inbouwen op de toegang tot persoonsgegevens: periodieke controle van logging bestanden;
    • Het vermogen om bij een incident de beschikbaarheid en toegang tot de persoonsgegevens tijdig te herstellen;
      • Hierbij helpt een beleidsdocument of opgesteld proces met duidelijke afspraken; en
    • Een (beschreven) proces om de doeltreffendheid van beveiligingsmaatregelen regelmatig te monitoren en evalueren.

    Organisaties kiezen er vaak voor om dit te beleggen bij een functie/rol zoals een (Information) Security Officer of een Chief Information Security Officer. Het is wel goed te weten dat het bestuur ofwel management altijd eindverantwoordelijk is voor het treffen van maatregelen.

    Kortom, als organisatie heb je vrijheid om zelf maatregelen te treffen die passen bij de organisatie. Je moet alleen wel rekening houden met de context en middelen van de organisatie. Er zijn verschillende normen en standaarden die je kunt gebruiken om hier invulling aan te geven, zoals ISO 27001 en/of NEN 7510. Deze normen stellen maatregelen voor die men risk-based kan toepassen binnen de organisatie, om zo een handvat te bieden voor informatiebeveiliging. Deze maatregelen moeten uiteindelijk ook bijdragen aan het beperken van de risico’s voor personen en aan de bescherming van persoonsgegevens.

    Ben je als organisatie hiermee bezig en wil je advies, of heb je vragen over het treffen van maatregelen? Contacteer mij of een van mijn collega’s gerust. Ook als je simpelweg een keer wilt sparren over dit onderwerp. Hier staan wij namelijk altijd voor open.

    Neem contact op
    Terug naar overzicht

    Kim Keenswijk

    Information Security Consultant
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram