Wanneer gebrekkige informatiebeveiliging een juridisch probleem wordt
De meeste organisaties beschouwen digitale beveiliging nog altijd als een puur technisch vraagstuk dat bij de IT-afdeling thuishoort. Sinds de invoering van de Algemene Verordening Gegevensbescherming in mei 2018 is het echter nadrukkelijk ook een juridisch vraagstuk geworden, met reële aansprakelijkheidsrisico’s voor bestuurders. Wie persoonsgegevens verwerkt zonder passende beveiligingsmaatregelen, overtreedt simpelweg de wet.
In haar jaarverslagen rapporteert de Autoriteit Persoonsgegevens structureel over handhavingsacties die verband houden met onvoldoende technische en organisatorische maatregelen rondom persoonsgegevens. Voor juristen, compliance officers en bestuurders is het daarom essentieel om te begrijpen waar technische beveiliging en juridische aansprakelijkheid elkaar raken. Die wisselwerking wordt elk jaar concreter naarmate de handhaving aan kracht wint.
Vooral in de publieke sector is die spanning voelbaar. Gemeenten verwerken enorme hoeveelheden gevoelige persoonsgegevens, van BSN-nummers en belastinggegevens tot bijstandsdossiers en jeugdzorgrapportages. Een informatiebeveiliging audit voor gemeenten is dan ook geen luxe maar een wettelijke noodzaak, vastgelegd in het ENSIA-verantwoordingsstelsel dat sinds 2017 van kracht is.
De AVG als juridisch kader voor digitale veiligheid
Artikel 32 van de AVG verplicht verwerkingsverantwoordelijken om passende technische en organisatorische maatregelen te treffen ter bescherming van persoonsgegevens. Wat “passend” precies inhoudt, is door de Europese wetgever bewust niet in detail voorgeschreven. Er is gekozen voor een risicogebaseerde benadering, waardoor organisaties zelf moeten inschatten welk beveiligingsniveau bij hun specifieke verwerkingen past.
Die open norm levert in de praktijk regelmatig juridische discussies op bij zowel rechters als toezichthouders. Wanneer een datalek zich voordoet, beoordeelt de Autoriteit Persoonsgegevens achteraf of de getroffen maatregelen wel voldoende waren in verhouding tot het risico. Een onafhankelijke IT-audit kan vooraf aantonen dat een organisatie serieus werk heeft gemaakt van haar beveiligingsverplichtingen, wat bij een eventuele procedure het verschil maakt.
Het Bredase IT-auditbureau 2-Control, dat sinds 2006 actief is en werkt met NOREA-gecertificeerde auditors die beschikken over RE- en CISA-kwalificaties, ziet de vraag naar juridisch onderbouwde beveiligingsaudits toenemen. Hun werkwijze resulteert in een formele assuranceverklaring die organisaties kunnen inzetten richting toezichthouders, accountants en andere stakeholders. Dat soort documenten weegt mee wanneer de boetehoogte kan oplopen tot 20 miljoen euro of vier procent van de wereldwijde jaaromzet.
ENSIA en de verantwoordingsplicht van gemeenten
Gemeenten nemen een bijzondere positie in als het om digitale veiligheid gaat, vanwege de omvang en gevoeligheid van de gegevens die zij verwerken. Via het ENSIA-stelsel, beheerd door de Vereniging van Nederlandse Gemeenten, leggen zij jaarlijks verantwoording af over hun informatieveiligheid aan zowel de gemeenteraad als aan rijkstoezichthouders. Dit omvat onder meer de naleving van de Baseline Informatiebeveiliging Overheid, beter bekend als de BIO.
De ENSIA-verantwoording gaat aanzienlijk verder dan een administratieve formaliteit. Gemeenteraden gebruiken de uitkomsten actief om te beoordelen of het college van burgemeester en wethouders de digitale veiligheid op orde heeft. Een informatiebeveiliging audit speelt daarin een centrale rol, omdat externe auditors onafhankelijk toetsen of de gemeente daadwerkelijk aan de gestelde normen voldoet.
Juridisch relevant is dat de uitkomsten ook doorwerken naar het niveau van de ministeriële verantwoordelijkheid. De minister van Binnenlandse Zaken ontvangt een geaggregeerd beeld van alle gemeentelijke verantwoordingen over informatieveiligheid. Structurele tekortkomingen die daaruit naar voren komen, kunnen aanleiding zijn voor aanvullende regelgeving of verscherpt toezicht vanuit Den Haag.
Civielrechtelijke aansprakelijkheid na een datalek
Naast bestuursrechtelijke boetes speelt ook civielrechtelijke aansprakelijkheid een steeds grotere rol in de dagelijkse juridische praktijk. Artikel 82 van de AVG geeft iedere betrokkene het recht op schadevergoeding wanneer hij of zij schade lijdt door een inbreuk op de verordening. Nederlandse rechters hebben in meerdere uitspraken bevestigd dat ook immateriële schade door een datalek voor financiële vergoeding in aanmerking komt.
Voor bestuurders van zowel publieke als private organisaties brengt die ontwikkeling een persoonlijk risico met zich mee dat verder reikt dan de organisatie zelf. De trend in de Nederlandse rechtspraak wijst richting een steeds strengere toetsing van de bestuurlijke zorgplicht rond digitale beveiliging. Organisaties die kunnen aantonen dat zij periodiek een beveiligingsaudit laten uitvoeren door gekwalificeerde auditors, staan juridisch sterker dan partijen die dat achterwege laten.
Preventie als juridische strategie
Uit het Cost of a Data Breach Report 2024 van IBM en het Ponemon Institute blijkt dat de gemiddelde kosten van een datalek wereldwijd zijn gestegen naar 4,88 miljoen dollar. Voor organisaties in de publieke sector liggen die kosten doorgaans lager, maar de reputatieschade bij een gemeente of overheidsinstantie is minstens zo ingrijpend. Burgers verwachten dat hun overheid zorgvuldig met hun gegevens omgaat, en dat vertrouwen is moeilijk te herstellen na een incident.
Een periodieke informatiebeveiliging audit brengt kwetsbaarheden in kaart voordat ze tot daadwerkelijke incidenten leiden. Die preventieve functie maakt een dergelijke toets niet alleen technisch waardevol, maar ook juridisch relevant als bewijsmiddel van zorgvuldig handelen. Wie kan aantonen proactief te hebben gehandeld, staat bij een eventueel incident sterker tegenover toezichthouders en in de rechtszaal.
Met de inwerkingtreding van het eerste deel van de Wet Digitale Overheid op 1 juli 2023 worden de eisen aan overheidsorganisaties rond digitale toegang en beveiliging alleen maar strenger. Het juridische landschap rond digitale veiligheid wordt gedetailleerder en de toetsingsmomenten nemen toe. Voor gemeenten en andere organisaties die op grote schaal persoonsgegevens verwerken, groeit daarmee de noodzaak van onafhankelijke en deskundige controle op hun beveiligingsmaatregelen.
Wanneer gebrekkige informatiebeveiliging een juridisch probleem wordt
De meeste organisaties beschouwen digitale beveiliging nog altijd als een puur technisch vraagstuk dat bij de IT-afdeling thuishoort. Sinds de invoering van de Algemene Verordening Gegevensbescherming in mei 2018 is het echter nadrukkelijk ook een juridisch vraagstuk geworden, met reële aansprakelijkheidsrisico’s voor bestuurders. Wie persoonsgegevens verwerkt zonder passende beveiligingsmaatregelen, overtreedt simpelweg de wet.
In haar jaarverslagen rapporteert de Autoriteit Persoonsgegevens structureel over handhavingsacties die verband houden met onvoldoende technische en organisatorische maatregelen rondom persoonsgegevens. Voor juristen, compliance officers en bestuurders is het daarom essentieel om te begrijpen waar technische beveiliging en juridische aansprakelijkheid elkaar raken. Die wisselwerking wordt elk jaar concreter naarmate de handhaving aan kracht wint.
Vooral in de publieke sector is die spanning voelbaar. Gemeenten verwerken enorme hoeveelheden gevoelige persoonsgegevens, van BSN-nummers en belastinggegevens tot bijstandsdossiers en jeugdzorgrapportages. Een informatiebeveiliging audit voor gemeenten is dan ook geen luxe maar een wettelijke noodzaak, vastgelegd in het ENSIA-verantwoordingsstelsel dat sinds 2017 van kracht is.
De AVG als juridisch kader voor digitale veiligheid
Artikel 32 van de AVG verplicht verwerkingsverantwoordelijken om passende technische en organisatorische maatregelen te treffen ter bescherming van persoonsgegevens. Wat “passend” precies inhoudt, is door de Europese wetgever bewust niet in detail voorgeschreven. Er is gekozen voor een risicogebaseerde benadering, waardoor organisaties zelf moeten inschatten welk beveiligingsniveau bij hun specifieke verwerkingen past.
Die open norm levert in de praktijk regelmatig juridische discussies op bij zowel rechters als toezichthouders. Wanneer een datalek zich voordoet, beoordeelt de Autoriteit Persoonsgegevens achteraf of de getroffen maatregelen wel voldoende waren in verhouding tot het risico. Een onafhankelijke IT-audit kan vooraf aantonen dat een organisatie serieus werk heeft gemaakt van haar beveiligingsverplichtingen, wat bij een eventuele procedure het verschil maakt.
Het Bredase IT-auditbureau 2-Control, dat sinds 2006 actief is en werkt met NOREA-gecertificeerde auditors die beschikken over RE- en CISA-kwalificaties, ziet de vraag naar juridisch onderbouwde beveiligingsaudits toenemen. Hun werkwijze resulteert in een formele assuranceverklaring die organisaties kunnen inzetten richting toezichthouders, accountants en andere stakeholders. Dat soort documenten weegt mee wanneer de boetehoogte kan oplopen tot 20 miljoen euro of vier procent van de wereldwijde jaaromzet.
ENSIA en de verantwoordingsplicht van gemeenten
Gemeenten nemen een bijzondere positie in als het om digitale veiligheid gaat, vanwege de omvang en gevoeligheid van de gegevens die zij verwerken. Via het ENSIA-stelsel, beheerd door de Vereniging van Nederlandse Gemeenten, leggen zij jaarlijks verantwoording af over hun informatieveiligheid aan zowel de gemeenteraad als aan rijkstoezichthouders. Dit omvat onder meer de naleving van de Baseline Informatiebeveiliging Overheid, beter bekend als de BIO.
De ENSIA-verantwoording gaat aanzienlijk verder dan een administratieve formaliteit. Gemeenteraden gebruiken de uitkomsten actief om te beoordelen of het college van burgemeester en wethouders de digitale veiligheid op orde heeft. Een informatiebeveiliging audit speelt daarin een centrale rol, omdat externe auditors onafhankelijk toetsen of de gemeente daadwerkelijk aan de gestelde normen voldoet.
Juridisch relevant is dat de uitkomsten ook doorwerken naar het niveau van de ministeriële verantwoordelijkheid. De minister van Binnenlandse Zaken ontvangt een geaggregeerd beeld van alle gemeentelijke verantwoordingen over informatieveiligheid. Structurele tekortkomingen die daaruit naar voren komen, kunnen aanleiding zijn voor aanvullende regelgeving of verscherpt toezicht vanuit Den Haag.
Civielrechtelijke aansprakelijkheid na een datalek
Naast bestuursrechtelijke boetes speelt ook civielrechtelijke aansprakelijkheid een steeds grotere rol in de dagelijkse juridische praktijk. Artikel 82 van de AVG geeft iedere betrokkene het recht op schadevergoeding wanneer hij of zij schade lijdt door een inbreuk op de verordening. Nederlandse rechters hebben in meerdere uitspraken bevestigd dat ook immateriële schade door een datalek voor financiële vergoeding in aanmerking komt.
Voor bestuurders van zowel publieke als private organisaties brengt die ontwikkeling een persoonlijk risico met zich mee dat verder reikt dan de organisatie zelf. De trend in de Nederlandse rechtspraak wijst richting een steeds strengere toetsing van de bestuurlijke zorgplicht rond digitale beveiliging. Organisaties die kunnen aantonen dat zij periodiek een beveiligingsaudit laten uitvoeren door gekwalificeerde auditors, staan juridisch sterker dan partijen die dat achterwege laten.
Preventie als juridische strategie
Uit het Cost of a Data Breach Report 2024 van IBM en het Ponemon Institute blijkt dat de gemiddelde kosten van een datalek wereldwijd zijn gestegen naar 4,88 miljoen dollar. Voor organisaties in de publieke sector liggen die kosten doorgaans lager, maar de reputatieschade bij een gemeente of overheidsinstantie is minstens zo ingrijpend. Burgers verwachten dat hun overheid zorgvuldig met hun gegevens omgaat, en dat vertrouwen is moeilijk te herstellen na een incident.
Een periodieke informatiebeveiliging audit brengt kwetsbaarheden in kaart voordat ze tot daadwerkelijke incidenten leiden. Die preventieve functie maakt een dergelijke toets niet alleen technisch waardevol, maar ook juridisch relevant als bewijsmiddel van zorgvuldig handelen. Wie kan aantonen proactief te hebben gehandeld, staat bij een eventueel incident sterker tegenover toezichthouders en in de rechtszaal.
Met de inwerkingtreding van het eerste deel van de Wet Digitale Overheid op 1 juli 2023 worden de eisen aan overheidsorganisaties rond digitale toegang en beveiliging alleen maar strenger. Het juridische landschap rond digitale veiligheid wordt gedetailleerder en de toetsingsmomenten nemen toe. Voor gemeenten en andere organisaties die op grote schaal persoonsgegevens verwerken, groeit daarmee de noodzaak van onafhankelijke en deskundige controle op hun beveiligingsmaatregelen.