Artikel 32 AVG in de praktijk: van wachtwoorden tot compliance
25 mrt 2026
Intro
Privacy compliance wordt vaak geassocieerd met beleid, documenten en awareness-trainingen. Toch blijkt in de praktijk dat juist de basis van informatiebeveiliging — zoals wachtwoorden en toegangsbeheer — nog regelmatig leidt tot datalekken en beveiligingsincidenten.
Hoe kan dat?
De kern ligt in artikel 32 AVG. Dit artikel verplicht organisaties tot het nemen van passende technische en organisatorische maatregelen om persoonsgegevens te beschermen. Maar wat betekent dat concreet?
En belangrijker: waar ligt de grens tussen verantwoordelijkheid van de medewerker en die van de organisatie?
In dit artikel leg ik uit hoe artikel 32 AVG in de praktijk werkt — en waarom eenvoudige securitymaatregelen vaak het verschil maken tussen compliant en kwetsbaar.
Wat zegt artikel 32 AVG?
Artikel 32 AVG verplicht verwerkingsverantwoordelijken en verwerkers om een op het risico afgestemd beveiligingsniveau te waarborgen.
Daarbij moet rekening worden gehouden met:
de stand van de techniek
de uitvoeringskosten
de aard, omvang en context van de verwerking
de risico’s voor betrokkenen
Dit betekent:
geen absolute veiligheid
geen standaard checklist
maar een risicogebaseerde verplichting
De vraag is dus niet: hebben wij maatregelen?
De vraag is: zijn onze maatregelen passend en aantoonbaar?
Waarom wachtwoordbeleid wél een AVG-onderwerp is
Veel organisaties zien wachtwoordbeleid als een IT-kwestie.
Dat is een misvatting.
Onder de AVG valt toegangsbeveiliging direct onder:
integriteit en vertrouwelijkheid (art. 5 AVG)
beveiliging van verwerking (art. 32 AVG)
Dat betekent dat maatregelen zoals:
wachtwoordbeheer
tweefactorauthenticatie (2FA)
toegangscontrole
geen technische details zijn, maar compliance-vereisten.
Van awareness naar afdwingbare maatregelen
Organisaties communiceren vaak:
gebruik sterke wachtwoorden
deel je wachtwoord niet
gebruik 2FA
Maar de AVG vraagt méér dan communicatie.
De kernvraag is:
wordt veilig gedrag technisch en organisatorisch ondersteund en afgedwongen?
Voorbeelden:
Awareness | AVG-compliance |
|---|---|
“Gebruik sterke wachtwoorden” | Technische complexiteitseisen + blokkeren zwakke wachtwoorden |
“Gebruik 2FA” | Verplichte MFA op kritische systemen |
“Wees voorzichtig met data” | Logging, monitoring en detectie |
Zonder afdwinging blijft compliance theoretisch.
De rol van de werknemer vs. de organisatie
Bij incidenten wordt vaak gewezen naar de medewerker:
phishing aangeklikt
wachtwoord hergebruikt
gegevens verkeerd gedeeld
Maar onder de AVG ligt de primaire verantwoordelijkheid bij de organisatie.
De verwerkingsverantwoordelijke moet zorgen voor:
passende technische maatregelen
duidelijke procedures
toegangsbeheer
monitoring
training en awareness
Een menselijke fout is geen vrijbrief.
Het is een test van je systeem.
Wat moeten organisaties concreet regelen?
1. Inzicht in gegevens en systemen
Zonder overzicht geen beveiliging:
welke persoonsgegevens worden verwerkt
waar deze staan
wie toegang heeft
welke systemen kritisch zijn
2. Toegangsbeheer op orde
Veelvoorkomende risico’s:
oude accounts
te brede autorisaties
gedeelde accounts
geen periodieke review
Toegang moet:
functiegebonden
beperkt
en controleerbaar zijn
3. Sterke authenticatie (MFA)
Voor systemen met verhoogd risico is MFA in de praktijk vaak noodzakelijk:
cloudomgevingen
externe toegang
HR- en financiële systemen
zorgdata
De vraag is niet of het handig is, maar:
kun je het ontbreken ervan nog uitleggen?
4. Lifecycle van accounts beheren
Niet “wachtwoorden wijzigen”, maar:
intrekken bij uitdiensttreding
reset bij incidenten
periodieke herbeoordeling
detectie van afwijkend gedrag
5. Documenteren en aantonen
Bij een incident kijkt een toezichthouder naar:
welke maatregelen waren ingericht
hoe keuzes zijn gemaakt
of deze periodiek zijn geëvalueerd
Dit is accountability in de zin van de AVG.
Artikel 32 AVG is governance, geen IT
Een veelgemaakte fout is dat artikel 32 AVG wordt gezien als een IT-verantwoordelijkheid.
In werkelijkheid raakt het de hele organisatie:
IT → technische beveiliging
HR → onboarding/offboarding
Legal → contracten en risico’s
Management → besluitvorming en prioriteit
Security → monitoring en beleid
Artikel 32 AVG is daarmee een bestuurlijke verantwoordelijkheid.
Waarom incidenten blijven gebeuren
De meeste datalekken ontstaan niet door geavanceerde hacks.
Maar door:
zwakke wachtwoorden
onvoldoende toegangsbeheer
ontbrekende MFA
menselijke fouten zonder vangnet
Met andere woorden:
het probleem zit zelden in technologie
maar in implementatie en governance
Conclusie
Artikel 32 AVG vraagt niet om perfecte beveiliging.
Maar wel om doordachte, passende en aantoonbare maatregelen.
Eenvoudige securitymaatregelen zoals wachtwoorden en MFA lijken basaal.
Maar juist daar wordt in de praktijk zichtbaar of een organisatie echt in control is.
Privacy compliance zit niet in beleid of posters.
Het zit in systemen, processen en gedrag.
Wil je weten of jouw organisatie voldoet aan artikel 32 AVG?
Of twijfel je of jouw beveiligingsmaatregelen aantoonbaar “passend” zijn?
Ik help organisaties met:
toetsing van beveiligingsmaatregelen
inrichting van privacy governance
DPIA’s en risicoanalyses
praktische implementatie van AVG-verplichtingen
Neem vrijblijvend contact op of plan een korte intake.