De Autoriteit Persoonsgegevens (AP) heeft de afgelopen jaren fors ingezet op handhaving. Alleen al in 2023 legde de toezichthouder volgens haar eigen jaarverslag miljoenenboetes op aan organisaties die hun privacyverplichtingen niet naleefden. Een nette privacyverklaring op de website volstaat al lang niet meer.
Wat veel bedrijven onderschatten, is dat de AVG een technische verantwoordingsplicht bevat. Artikel 5, lid 2 van de Algemene Verordening Gegevensbescherming schrijft voor dat organisaties niet alleen compliant moeten zijn, maar dat ook moeten kunnen aantonen. In de praktijk betekent dit dat je als verwerkingsverantwoordelijke moet laten zien welke technische en organisatorische maatregelen je hebt getroffen en of die daadwerkelijk werken.
Steeds meer organisaties schakelen daarom externe specialisten in voor professionele IT-audits via 2CONTROL of vergelijkbare auditkantoren. Zo’n audit levert een onafhankelijke beoordeling op van de informatiebeveiliging en biedt juridisch bruikbaar bewijs bij eventuele handhaving. Het verschil tussen een intern beleidsdocument en een externe assuranceverklaring kan in een juridische procedure doorslaggevend zijn.
Technische verantwoordingsplicht gaat verder dan papierwerk
Artikel 32 AVG verplicht organisaties om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen. Wat “passend” is, hangt af van de aard van de verwerking, de stand van de techniek en de kosten van implementatie. De wetgever heeft hier bewust geen checklist van gemaakt, waardoor de bewijslast bij de organisatie zelf ligt.
Bij een datalek of klacht bij de AP moet je als organisatie binnen 72 uur kunnen aantonen dat je adequate maatregelen had getroffen. Zonder gedocumenteerde IT-audit of risicoanalyse sta je met lege handen. Nederlandse rechters hebben in meerdere uitspraken rond datalekken benadrukt dat het ontbreken van aantoonbare beveiligingsmaatregelen meespeelt bij het vaststellen van aansprakelijkheid.
Autorisatiebeheer als juridisch zwak punt
Een van de meest voorkomende tekortkomingen die naar voren komt bij onafhankelijke audits betreft het autorisatiebeheer. Medewerkers die toegang hebben tot systemen en gegevens waar ze niets mee te maken hebben, vormen zowel een beveiligingsrisico als een juridisch probleem. Uit het Data Breach Investigations Report 2024 van Verizon blijkt dat bij 68% van alle onderzochte datalekken een menselijke component meespeelt, waaronder onjuist toegangsbeheer.
Vooral organisaties die werken met ERP-systemen zoals Microsoft Dynamics 365 Business Central worstelen hiermee. De complexiteit van rollen en rechten binnen zulke omgevingen maakt het lastig om overzicht te houden zonder gespecialiseerde tooling. Het Bredase IT-auditbureau 2-Control, dat sinds 2006 actief is en is aangesloten bij NOREA, richt zich specifiek op dit soort autorisatievraagstukken binnen Dynamics-omgevingen.
Juridisch gezien is gebrekkig autorisatiebeheer een risicofactor die organisaties zelf kunnen wegnemen. Wanneer een onbevoegde medewerker persoonsgegevens inziet en dit leidt tot een incident, kan de verwerkingsverantwoordelijke zich moeilijk beroepen op overmacht. De AVG verwacht immers dat je vooraf hebt nagedacht over wie toegang heeft tot welke gegevens.
Hoe rechters omgaan met gebrekkige IT-beveiliging
In toenemende mate kijken rechters naar de feitelijke IT-inrichting van een organisatie wanneer er een geschil ontstaat over een datalek. Het gerechtshof Den Haag benadrukte in een uitspraak uit 2022 dat een verwerkingsverantwoordelijke moet kunnen bewijzen dat de beveiliging op het moment van het lek voldeed aan de stand van de techniek. Dat bewijs lever je niet met een beleidsdocument dat drie jaar oud is.
Een recente assuranceverklaring van een gecertificeerde IT-auditor met een RE- of CISA-certificering weegt in de rechtszaal zwaarder dan interne documentatie. Rechters beschouwen een onafhankelijk auditrapport als objectief bewijs van de staat van informatiebeveiliging op een specifiek moment. Professionele IT-audits fungeren daarmee niet alleen als operationeel hulpmiddel, maar ook als juridisch vangnet bij geschillen.
Concrete stappen richting juridische onderbouwing
Organisaties die hun AVG-naleving juridisch willen onderbouwen, doen er goed aan om minimaal jaarlijks een externe IT-audit te laten uitvoeren. Die audit moet niet alleen de technische configuratie beoordelen, maar ook het autorisatiebeheer, de logging van verwerkingsactiviteiten en de incidentresponsprocedures. De kosten variëren doorgaans tussen de 5.000 en 25.000 euro, afhankelijk van de omvang en complexiteit van de organisatie.
Het eindresultaat is een helder rapport met bevindingen en een assuranceverklaring. Dat document kun je overleggen aan de AP bij een onderzoek, aan contractpartners die vragen om bewijs van compliance, of aan de rechter bij een geschil. Wie dat rapport niet heeft, staat in 2025 juridisch op achterstand ten opzichte van organisaties die wel investeren in onafhankelijke beoordeling van hun informatiebeveiliging.
Geschreven door
Max Paul, LL.B.
Jurist bij XY Legal Solutions
De Autoriteit Persoonsgegevens (AP) heeft de afgelopen jaren fors ingezet op handhaving. Alleen al in 2023 legde de toezichthouder volgens haar eigen jaarverslag miljoenenboetes op aan organisaties die hun privacyverplichtingen niet naleefden. Een nette privacyverklaring op de website volstaat al lang niet meer.
Wat veel bedrijven onderschatten, is dat de AVG een technische verantwoordingsplicht bevat. Artikel 5, lid 2 van de Algemene Verordening Gegevensbescherming schrijft voor dat organisaties niet alleen compliant moeten zijn, maar dat ook moeten kunnen aantonen. In de praktijk betekent dit dat je als verwerkingsverantwoordelijke moet laten zien welke technische en organisatorische maatregelen je hebt getroffen en of die daadwerkelijk werken.
Steeds meer organisaties schakelen daarom externe specialisten in voor professionele IT-audits via 2CONTROL of vergelijkbare auditkantoren. Zo’n audit levert een onafhankelijke beoordeling op van de informatiebeveiliging en biedt juridisch bruikbaar bewijs bij eventuele handhaving. Het verschil tussen een intern beleidsdocument en een externe assuranceverklaring kan in een juridische procedure doorslaggevend zijn.
Technische verantwoordingsplicht gaat verder dan papierwerk
Artikel 32 AVG verplicht organisaties om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen. Wat “passend” is, hangt af van de aard van de verwerking, de stand van de techniek en de kosten van implementatie. De wetgever heeft hier bewust geen checklist van gemaakt, waardoor de bewijslast bij de organisatie zelf ligt.
Bij een datalek of klacht bij de AP moet je als organisatie binnen 72 uur kunnen aantonen dat je adequate maatregelen had getroffen. Zonder gedocumenteerde IT-audit of risicoanalyse sta je met lege handen. Nederlandse rechters hebben in meerdere uitspraken rond datalekken benadrukt dat het ontbreken van aantoonbare beveiligingsmaatregelen meespeelt bij het vaststellen van aansprakelijkheid.
Autorisatiebeheer als juridisch zwak punt
Een van de meest voorkomende tekortkomingen die naar voren komt bij onafhankelijke audits betreft het autorisatiebeheer. Medewerkers die toegang hebben tot systemen en gegevens waar ze niets mee te maken hebben, vormen zowel een beveiligingsrisico als een juridisch probleem. Uit het Data Breach Investigations Report 2024 van Verizon blijkt dat bij 68% van alle onderzochte datalekken een menselijke component meespeelt, waaronder onjuist toegangsbeheer.
Vooral organisaties die werken met ERP-systemen zoals Microsoft Dynamics 365 Business Central worstelen hiermee. De complexiteit van rollen en rechten binnen zulke omgevingen maakt het lastig om overzicht te houden zonder gespecialiseerde tooling. Het Bredase IT-auditbureau 2-Control, dat sinds 2006 actief is en is aangesloten bij NOREA, richt zich specifiek op dit soort autorisatievraagstukken binnen Dynamics-omgevingen.
Juridisch gezien is gebrekkig autorisatiebeheer een risicofactor die organisaties zelf kunnen wegnemen. Wanneer een onbevoegde medewerker persoonsgegevens inziet en dit leidt tot een incident, kan de verwerkingsverantwoordelijke zich moeilijk beroepen op overmacht. De AVG verwacht immers dat je vooraf hebt nagedacht over wie toegang heeft tot welke gegevens.
Hoe rechters omgaan met gebrekkige IT-beveiliging
In toenemende mate kijken rechters naar de feitelijke IT-inrichting van een organisatie wanneer er een geschil ontstaat over een datalek. Het gerechtshof Den Haag benadrukte in een uitspraak uit 2022 dat een verwerkingsverantwoordelijke moet kunnen bewijzen dat de beveiliging op het moment van het lek voldeed aan de stand van de techniek. Dat bewijs lever je niet met een beleidsdocument dat drie jaar oud is.
Een recente assuranceverklaring van een gecertificeerde IT-auditor met een RE- of CISA-certificering weegt in de rechtszaal zwaarder dan interne documentatie. Rechters beschouwen een onafhankelijk auditrapport als objectief bewijs van de staat van informatiebeveiliging op een specifiek moment. Professionele IT-audits fungeren daarmee niet alleen als operationeel hulpmiddel, maar ook als juridisch vangnet bij geschillen.
Concrete stappen richting juridische onderbouwing
Organisaties die hun AVG-naleving juridisch willen onderbouwen, doen er goed aan om minimaal jaarlijks een externe IT-audit te laten uitvoeren. Die audit moet niet alleen de technische configuratie beoordelen, maar ook het autorisatiebeheer, de logging van verwerkingsactiviteiten en de incidentresponsprocedures. De kosten variëren doorgaans tussen de 5.000 en 25.000 euro, afhankelijk van de omvang en complexiteit van de organisatie.
Het eindresultaat is een helder rapport met bevindingen en een assuranceverklaring. Dat document kun je overleggen aan de AP bij een onderzoek, aan contractpartners die vragen om bewijs van compliance, of aan de rechter bij een geschil. Wie dat rapport niet heeft, staat in 2025 juridisch op achterstand ten opzichte van organisaties die wel investeren in onafhankelijke beoordeling van hun informatiebeveiliging.
Geschreven door Max Paul, LL.B. - Jurist bij XY Legal Solutions
Over Juristenblog.nl
Het team van Juristenblog.nl bestaat uit ervaren juristen. Wekelijks wordt onderzoek gedaan naar interessante onderwerpen waarover geschreven kan worden. Vervolgens schrijft de jurist met de meeste kennis van het onderwerp de betreffende blog. Op deze manier blijft ons concept up-to-date en relevant.
Schrijf je in & Blijf op de hoogte
Laat hieronder je e-mailadres achter en ontvang elke maandagochtend een overzicht van de meest recente berichten die op juristenblog.nl zijn verschenen.
We spammen niet. Je kunt je op ieder moment uitschrijven.
