Privacy en informatiebeveiliging
AVG in de praktijk voor het MKB
De AVG is geen los privacydocument. In de dagelijkse praktijk gaat het over mailboxen, bestanden, accounts, back-ups, leveranciers, formulieren en de vraag of persoonsgegevens veilig en doelgericht worden verwerkt.
Klantgegevens, personeelsdata, mailboxen en back-ups vallen vaak onder persoonsgegevens.
MFA, rechtenbeheer en logging voorkomen veel praktische datalekken.
Verwerkers, bewaartermijnen en datalekprocedure moeten vindbaar en bruikbaar zijn.
Privacy begint bij beheerAVG als dagelijkse IT-praktijk
De Algemene Verordening Gegevensbescherming is voor veel organisaties bekend, maar vaak nog onvoldoende vertaald naar dagelijkse IT. Persoonsgegevens staan in mailboxen, SharePoint, Teams, CRM, boekhouding, HR-systemen, back-ups, supporttickets en formulieren. Als rechten te ruim staan of oude accounts blijven bestaan, ontstaat risico zonder dat iemand het merkt.
Een praktische AVG-aanpak begint daarom bij overzicht en toegang. Welke persoonsgegevens verwerkt u? Waar staan ze? Wie kan erbij? Welke leverancier verwerkt mee? Hoe lang bewaart u gegevens? En wat doet u als gegevens per ongeluk openbaar worden of bij de verkeerde persoon terechtkomen?
Voor mkb-bedrijven hoeft dit niet bureaucratisch te zijn. De basis is een combinatie van goede inrichting, duidelijke afspraken en periodieke controle.
Waar zitten persoonsgegevens?
Persoonsgegevens zijn breder dan alleen namen en adressen. Denk aan e-mailadressen, telefoonnummers, personeelsinformatie, IP-adressen, klantdossiers, offertes, facturen, gebruikersaccounts, camerabeelden en notities in supportsystemen. Ook back-ups en logbestanden kunnen persoonsgegevens bevatten.
Maak daarom een verwerkings- en systemenoverzicht. Dat hoeft niet perfect te beginnen, maar moet wel duidelijk maken waar belangrijke gegevens staan en welke leveranciers betrokken zijn. Zonder dat overzicht is het lastig om rechten, bewaartermijnen of datalekken goed te beheren.
Toegang is de belangrijkste maatregel
Veel datalekken ontstaan door toegang die niet klopt. Oud-medewerkers hebben nog een account, externe gebruikers blijven in SharePoint staan, mailboxen worden gedeeld zonder duidelijke reden of medewerkers hebben beheerrechten die ze niet nodig hebben.
Gebruik MFA, sterke wachtwoorden, rolgebaseerde toegang en een vast proces voor in- en uitdiensttreding. Controleer periodiek externe gebruikers, gedeelde links en beheerdersaccounts. Kleine controles leveren vaak veel winst op.
Microsoft 365 en AVG
Microsoft 365 is voor veel organisaties de plek waar de meeste persoonsgegevens staan. E-mail, Teams, SharePoint en OneDrive maken samenwerken makkelijk, maar vragen om inrichting. Denk aan rechtenstructuur, externe deling, retentie, auditlogs, MFA en apparaatbeheer.
Let vooral op oude Teams, gedeelde mappen, openbare links en mailboxen van oud-medewerkers. Als data verspreid raakt, wordt het lastiger om inzageverzoeken, verwijderverzoeken of datalekonderzoek goed uit te voeren.
Verwerkers en leveranciers
Als een leverancier persoonsgegevens verwerkt namens uw organisatie, is vaak een verwerkersovereenkomst nodig. Denk aan cloudleveranciers, boekhoudsoftware, nieuwsbriefsystemen, IT-beheerpartijen, hosting, salarisadministratie en supporttools.
Controleer niet alleen of er een overeenkomst is, maar ook of de afspraken praktisch kloppen. Wie meldt incidenten? Waar staat data? Wie mag toegang hebben? Hoe wordt data verwijderd na einde contract? Welke beveiligingsmaatregelen zijn afgesproken?
Datalekken: snel kunnen handelen
Een datalek is niet alleen een hack. Ook een verkeerd verstuurde e-mail, verloren laptop, openbaar gedeelde map of onbevoegde toegang kan een datalek zijn. Organisaties moeten snel kunnen beoordelen wat er is gebeurd, welke gegevens betrokken zijn en of melding nodig is.
Maak een korte datalekprocedure: wie beoordeelt, wie verzamelt informatie, wie neemt contact op met IT, wie beslist over melden en hoe wordt het incident vastgelegd. Bij stress is een eenvoudige procedure beter dan een uitgebreid document dat niemand vindt.
AVG-checklist voor IT
Zet MFA aan voor Microsoft 365, beheeraccounts en kritieke applicaties.
Controleer externe gebruikers, gedeelde links en oud-medewerkers.
Leg afspraken met leveranciers vast en controleer incidentmeldingen.
Weet welke persoonsgegevens in back-ups staan en hoe herstel werkt.
Maak een korte procedure met namen, stappen en contactgegevens.
Ruim oude data op waar die geen doel meer heeft.
De AVG vraagt niet om perfecte IT, maar om passende maatregelen. Voor het mkb betekent dat: zichtbaar beheer, aantoonbare keuzes en risico’s die actief worden opgevolgd.
AVG en dagelijkse werkprocessen
AVG-compliance wordt sterk wanneer privacy is ingebouwd in gewone werkprocessen. Nieuwe medewerkers krijgen de juiste rechten, vertrekkende medewerkers worden direct afgesloten, klantmappen hebben duidelijke eigenaars, oude data wordt opgeschoond en leveranciers worden niet pas gecontroleerd na een incident.
Kijk daarom niet alleen naar documenten, maar naar gedrag en inrichting. Worden offertes met persoonsgegevens via persoonlijke mailboxen bewaard? Staan klantbestanden in losse Teams? Worden externe links automatisch ingetrokken? Is bekend wie toegang heeft tot back-ups? Zulke vragen laten zien of privacy praktisch beheerst wordt.
Een periodieke AVG-IT-controle hoeft niet zwaar te zijn. Controleer accounts, externe deling, beheerdersrechten, datalekregistratie, verwerkers en back-up. Leg opvallende punten vast en koppel daar verbeteracties aan. Daarmee bouwt u aan aantoonbaarheid zonder dat het papierwerk de overhand krijgt.
Bewijsbaarheid zonder papierberg
Bij AVG-vragen is bewijsbaarheid belangrijk. Dat betekent niet dat u voor elke handeling een lang document nodig heeft. Het betekent wel dat u kunt laten zien welke keuzes zijn gemaakt en wanneer controles zijn uitgevoerd. Denk aan een lijst met verwerkers, MFA-status, rechtenreview, datalekregistratie en back-upcontrole.
Bewijsbaarheid helpt ook intern. Als een klant of medewerker een vraag stelt over gegevens, hoeft u niet te zoeken in losse mailboxen of oude afspraken. U weet waar gegevens staan, wie erbij kan en welke leverancier betrokken is. Dat maakt uw organisatie rustiger en betrouwbaarder.
De beste AVG-aanpak is dus een combinatie van techniek en gewoonte. Techniek voorkomt veel fouten. Gewoonte zorgt dat controles blijven gebeuren nadat de eerste optimalisatieronde klaar is.
Veelgestelde vragen
Is MFA verplicht onder de AVG?
De AVG noemt MFA niet altijd letterlijk als verplichting, maar passende beveiliging is wel vereist. Voor cloudaccounts en beheeraccounts is MFA in de praktijk een zeer belangrijke maatregel.
Is een verkeerd verstuurde e-mail een datalek?
Dat kan. Of melding nodig is, hangt af van de gegevens, de ontvanger, het risico voor betrokkenen en de mogelijkheid om schade te beperken.
Moet elke leverancier een verwerkersovereenkomst hebben?
Alleen wanneer de leverancier persoonsgegevens namens uw organisatie verwerkt. Bij veel cloud-, IT-, administratie- en supportdiensten is dat wel het geval.
Wij helpen met Microsoft 365-rechten, MFA, back-up, datalekproces en praktische leveranciersafspraken.