AVG IT-teams en MSP’s: wat u moet weten en doen

Mei 10, 2026
George Rouse
AVG, Naleving van de wetgeving, Naleving van regelgeving

AVG is niet langer een theoretisch risico. Europese gegevensbeschermingsautoriteiten hebben alleen al in 2025 voor meer dan 1,2 miljard euro aan boetes opgelegd, en de meest voorkomende categorie overtredingen betrof onvoldoende technische en organisatorische beveiligingsmaatregelen, precies wat artikel 32 van de verordening van IT-teams en MSP's vereist. Het cumulatieve totaal aan boetes sinds 2018 bedraagt nu meer dan 7,1 miljard euro, volgens een analyse van de AVG Tracker die begin 2026 is gepubliceerd.

Voor IT-professionals en MSP’s die klanten in de EU of het VK bedienen, AVG een operationele vereiste die volledig onder het IT-beheer valt, en niet louter een juridische of compliance-aangelegenheid. Het platform van Kaseya wordt wereldwijd door meer dan 50.000 MSP’s en IT-teams gebruikt, waarvan velen tegelijkertijd voor meerdere klanten met precies deze verplichtingen te maken hebben. Deze gids put uit die operationele expertise om te behandelen wat er in de praktijk echt toe doet.

Deze gids gaat in op de technische en organisatorische beveiligingseisen, de meldingsplicht bij datalekken en de rollen op het gebied van gegevensverwerking die AVG tot AVG volwaardige speler op het gebied van IT-beheer maken.

Leg AVG bij alle klanten vast.

Compliance Manager GRC een AVG met controle-toewijzing, geautomatiseerde bewijsverzameling en auditklare documentatie om MSP’s te helpen aantonen dat ze voldoen aan de beveiligingseisen van artikel 32 en meer.

Ontdek Compliance Manager GRC

Wat AVG en voor wie het geldt

De Algemene verordening gegevensbescherming EU 2016/679) regelt hoe persoonsgegevens van personen in de EU en de Europese Economische Ruimte (EER) worden verzameld, verwerkt, opgeslagen en doorgegeven. De Britse AVG, die na de brexit is gehandhaafd en aangepast, stelt vrijwel gelijkwaardige eisen aan de verwerking van gegevens in het Verenigd Koninkrijk, waarbij de ICO optreedt als toezichthoudende autoriteit.

Het begrip „persoonsgegevens“ in de zin van AVG ruimer dan de meeste IT-teams in eerste instantie denken. IP-adressen, apparaat-ID’s, e-mailadressen en technische logbestanden kunnen allemaal als persoonsgegevens worden aangemerkt als ze aan een persoon kunnen worden gekoppeld. De verordening is van toepassing op alle handelingen die met deze gegevens worden verricht, waaronder het verzamelen, opslaan, opvragen, gebruiken, doorgeven en verwijderen ervan.

AVG op organisaties die in de EU/EER zijn gevestigd, ongeacht waar de betrokkenen zich bevinden, en op organisaties buiten de EU/EER die goederen of diensten aanbieden aan personen in de EU/EER of hun gedrag volgen. Er geldt geen minimumomzetdrempel. Een eenmanszaak die persoonsgegevens van personen in de EU verwerkt, heeft dezelfde verplichtingen als een multinational.

Voor B2B-technologiebedrijven, SaaS-aanbieders en MSP’s met klanten in de EU of het VK is AVG zeker van toepassing.

Artikel 32: de IT-beveiligingsvereiste als kern van AVG

In artikel 32 AVG een vereiste voor IT-beheer. Het schrijft voor dat verwerkingsverantwoordelijken en verwerkers passende technische en organisatorische maatregelen moeten nemen om een beveiligingsniveau te waarborgen dat in verhouding staat tot het risico. De verordening noemt vier categorieën van maatregelen:

Pseudonimisering en versleuteling. Persoonsgegevens moeten zowel in rust als tijdens het transport worden beschermd. De praktische uitvoering hiervan bestaat uit versleuteling op het eindpunt en op back-upniveau, in combinatie met toegangscontroles die beperken wie de onversleutelde gegevens kan inzien.

Vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht. Verwerkingssystemen moeten deze eigenschappen continu kunnen waarborgen. Dit sluit rechtstreeks aan bij Endpoint Detection and Response (EDR) voor vertrouwelijkheid en integriteit, en bij back-up en noodherstel voor beschikbaarheid en veerkracht. Dit zijn geen afzonderlijke beveiligingsproducten die aan een AVG zijn toegevoegd. Dit is het AVG .

Tijdig herstel van de beschikbaarheid. Na een fysiek of technisch incident moeten organisaties in staat zijn om de toegang tot persoonsgegevens tijdig te herstellen. De hersteltijddoelstelling (RTO) is een AVG , niet louter een operationele voorkeur. Een MSP die klantgegevens beheert en niet kan aantonen dat er een snelle, geteste herstelprocedure vanuit een back-up bestaat, voldoet niet aan artikel 32.

Regelmatige tests en evaluaties. De doeltreffendheid van beveiligingsmaatregelen moet regelmatig worden getest, beoordeeld en geëvalueerd. Naleving is geen eenmalige aangelegenheid. Het vereist voortdurende beoordeling, gedocumenteerd bewijs en een proces om tekortkomingen op te sporen en te verhelpen.

De boete die in 2025 werd opgelegd aan Advanced Computer Software Group, een IT-dienstverlener die door de Britse ICO een boete van 3,07 miljoen pond kreeg opgelegd wegens beveiligingsfouten die de dienstverlening van de NHS verstoorden, was de eerste boete die de ICO rechtstreeks aan een verwerker in plaats van aan een verwerkingsverantwoordelijke oplegde. De ICO oordeelde dat het bedrijf had nagelaten passende technische maatregelen te nemen op grond van artikel 32, waarbij specifieke tekortkomingen werden genoemd op het gebied van MFA-implementatie, kwetsbaarheidsscans en patchbeheer. Dit is geen abstract risico voor MSP's. Het schept een duidelijk precedent dat IT-dienstverleners rechtstreeks aansprakelijk kunnen worden gesteld voor beveiligingsfouten in de systemen die zij beheren.

Een praktische manier om de verplichtingen uit artikel 32 te benaderen: als u vandaag de dag niet met gedocumenteerd bewijs aan een auditor zou kunnen aantonen dat er op alle eindpunten die persoonsgegevens verwerken versleuteling actief is, dat er back-upcontroles zijn uitgevoerd en geslaagd, en dat de procedures voor incidentafhandeling zijn getest, dan is er sprake van een tekortkoming ten aanzien van artikel 32.

Melding van een datalek: de 72-uursregel

Artikel 33 schrijft voor dat verwerkingsverantwoordelijken hun toezichthoudende autoriteit binnen 72 uur na het constateren van een inbreuk op de bescherming van persoonsgegevens op de hoogte moeten stellen, tenzij het onwaarschijnlijk is dat de inbreuk risico’s voor personen met zich meebrengt. In het Verenigd Koninkrijk is de ICO de toezichthoudende autoriteit. In de EU-lidstaten is dit de betreffende nationale gegevensbeschermingsautoriteit.

De termijn van 72 uur gaat in zodra de organisatie er redelijk zeker van is dat er bij een beveiligingsincident persoonsgegevens zijn gelekt. Dit is niet het moment waarop het onderzoek is afgerond, maar het moment waarop men zich ervan bewust wordt dat er mogelijk persoonsgegevens zijn gelekt. AVG staat AVG toe dat de kennisgeving in fasen plaatsvindt: een eerste kennisgeving met de informatie die op dat moment bekend is, gevolgd door updates naarmate het onderzoek meer details oplevert.

Artikel 34 voegt een afzonderlijke verplichting toe om de betrokken personen rechtstreeks in kennis te stellen wanneer een inbreuk waarschijnlijk een hoog risico voor hun rechten en vrijheden met zich meebrengt. Gezondheidsgegevens, financiële gegevens, identiteitsdocumenten en gegevens over kinderen zijn categorieën waarbij vaak aan deze drempel wordt voldaan.

De praktische consequentie voor IT-teams en MSP’s is duidelijk: het vermogen om inbreuken snel genoeg op te sporen om een incident binnen enkele uren na het optreden ervan te identificeren en te bevestigen, is een AVG . Alarmmoeheid, trage escalatieprocedures en onduidelijke procedures voor incidentrespons leiden tot overschrijdingen van de 72-uurstermijn. Een goed georganiseerd proces voor de respons op beveiligingsincidenten gaat ervan uit dat de klok begint te lopen op het moment van detectie, niet pas bij de afronding van het onderzoek.

Verwerkers hebben een gelijkaardige verplichting. MSP’s die als verwerker optreden, moeten de verwerkingsverantwoordelijke onverwijld op de hoogte brengen zodra zij kennis nemen van een inbreuk. De verwerkingsverantwoordelijke stelt vervolgens de toezichthoudende autoriteit binnen de termijn van 72 uur in kennis. Als een MSP op vrijdagavond een inbreuk ontdekt die gevolgen heeft voor klantgegevens en de klant pas op maandagochtend op de hoogte brengt, kan die vertraging ertoe leiden dat de verwerkingsverantwoordelijke de wettelijke termijn niet haalt.

Gegevensbescherming vanaf het ontwerp en standaard

Artikel 25 schrijft voor dat privacymaatregelen vanaf het begin in systemen moeten worden ingebouwd en niet pas achteraf, na de ingebruikname, moeten worden toegevoegd.

"Gegevensbescherming door ontwerp" houdt in dat bij de aanschaf, configuratie of ontwikkeling van systemen privacyvereisten deel uitmaken van de technische specificaties. Toegangscontroles, versleuteling en gegevensminimalisatie zijn architecturale keuzes, geen achteraf toegevoegde elementen. Voor IT-teams die nieuwe tools evalueren, maakt een privacy-effectbeoordeling deel uit van het proces, en is dit geen afzonderlijke stap.

"Gegevensbescherming als standaardinstelling" houdt in dat de standaardinstellingen de optie moeten zijn die de privacy het best beschermt. Als een systeem minder gegevens kan verzamelen, minder gegevens kan delen of minder toegang kan verlenen, moet de standaardinstelling de voorkeur geven aan privacy. Gebruikers moeten zelf actief toestemming moeten geven voor een uitgebreidere gegevensverzameling, in plaats van zich daarvoor te moeten afmelden.

Er is een gegevensbeschermingseffectbeoordeling (DPIA) vereist vóór verwerkingen die waarschijnlijk een hoog risico met zich meebrengen, waaronder geautomatiseerde besluitvorming, systematische monitoring op grote schaal, grootschalige verwerking van gevoelige categorieën gegevens en gedragsanalyse. Voor IT-teams zijn de aanleiding hiertoe onder meer op AI gebaseerde monitoringtools, platforms voor de analyse van gebruikersgedrag en biometrische toegangssystemen. Een DPIA is voor deze categorieën niet optioneel, maar een wettelijke vereiste.

AVG MSP's: verwerkingsverantwoordelijke versus verwerker

Inzicht in AVG is een van de belangrijkste praktische aspecten voor MSP’s.

Een verwerkingsverantwoordelijke bepaalt de doeleinden en middelen van de verwerking van persoonsgegevens. De klant van de MSP is doorgaans de verwerkingsverantwoordelijke voor de gegevens van zijn klanten, de gegevens van zijn werknemers en alle persoonsgegevens die in het kader van zijn bedrijfsactiviteiten worden verwerkt.

Een verwerker verwerkt persoonsgegevens in opdracht van de verwerkingsverantwoordelijke. Een MSP die IT-systemen beheert waarin persoonsgegevens zijn opgeslagen, e-maildiensten levert, gegevens host of back-up- en hersteldiensten voor de omgevingen van klanten verzorgt, treedt in de meeste gevallen op als verwerker van de gegevens van die klant.

De verplichtingen van verwerkers op grond van AVG :

  • Verwerking vindt uitsluitend plaats op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke
  • Het treffen van passende technische en organisatorische beveiligingsmaatregelen (artikel 32)
  • De verwerkingsverantwoordelijke onverwijld op de hoogte stellen zodra men kennis neemt van een inbreuk op de gegevensbeveiliging
  • Het verwijderen of teruggeven van alle persoonsgegevens aan het einde van de looptijd van de dienstverleningsovereenkomst
  • Meewerken aan en bijdragen aan controles door de verwerkingsverantwoordelijke

Een MSP kan voor bepaalde gegevens (zijn eigen personeelsgegevens, zijn eigen klantrelatiegegevens) als verwerkingsverantwoordelijke optreden en voor andere gegevens (persoonsgegevens van klanten die hij in het kader van de dienstverlening beheert) als verwerker. Beide soorten verplichtingen gelden tegelijkertijd.

Subverwerkers vormen een extra laag. Wanneer een MSP gebruikmaakt van cloudproviders, leveranciers van back-updiensten of andere diensten bij het leveren van IT-diensten aan klanten, kunnen deze derde partijen subverwerkers worden van de persoonsgegevens van de klant. Overeenkomsten met subverwerkers moeten aan de verwerkingsverantwoordelijke worden gemeld en door deze worden goedgekeurd. Subverwerkers moeten voldoen aan beveiligingsnormen die gelijkwaardig zijn aan die welke voor de hoofdverwerker gelden.

Gegevensverwerkingsovereenkomsten: wat MSP’s moeten hebben

Een gegevensverwerkingsovereenkomst (DPA) is een wettelijk verplichte overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker. Elke MSP die persoonsgegevens verwerkt voor klanten in de EU of het VK, moet met elk van die klanten een DPA hebben gesloten. Dit is geen optie en ook geen commerciële beleefdheid. Het is een AVG op grond van artikel 28.

Een DPA moet ten minste het volgende omvatten:

  • Het onderwerp, de duur, de aard en het doel van de verwerking
  • Het soort persoonsgegevens en de categorieën betrokkenen
  • De schriftelijke instructies van de verwerkingsverantwoordelijke aan de verwerker
  • De beveiligingsmaatregelen die de verwerker zal nemen (verplichtingen uit hoofde van artikel 32)
  • De procedure voor melding van inbreuken door de verwerker aan de verwerkingsverantwoordelijke
  • Regelingen inzake subverwerkers en de eis van gelijkwaardige bescherming
  • De verplichtingen van de verwerker bij het einde van de overeenkomst: verwijdering of teruggave van gegevens
  • Controlebevoegdheden voor de verwerkingsverantwoordelijke

Voor een MSP die meerdere klanten beheert, is het hebben van gestandaardiseerde DPA-voorwaarden die zijn gecontroleerd en klaar zijn voor gebruik een commerciële voorwaarde, en geen administratieve last. MSP’s die geen DPA’s hebben, voldoen niet aan de vereisten als verwerkers, ongeacht hoe goed hun beveiligingsniveau technisch gezien ook is. De DPA is ook het document aan de hand waarvan klanten de beveiligingspraktijken van de MSP beoordelen voordat ze klant worden. Voor middelgrote en grote klanten met hun eigen AVG is een duidelijke en goed opgestelde DPA steeds vaker een contractvoorwaarde.

Compliance Manager GRC AVG en het vastleggen van bewijsmateriaal voor alle controles uit artikel 32, waardoor MSP’s op een gestructureerde manier kunnen aantonen en handhaven dat zij de beveiligingsmaatregelen naleven waaraan hun gegevensbeschermingsautoriteiten zich hebben verbonden. Ontdek hoe het nalevingsprogramma’s ondersteunt.

Handhaving en wat dit betekent voor IT-dienstverleners

De boetestructuur AVGis algemeen bekend. Tot 20 miljoen euro of 4% van de wereldwijde jaaromzet voor de ernstigste overtredingen. Tot 10 miljoen euro of 2% voor procedurele tekortkomingen, waaronder ontoereikende beveiligingsmaatregelen en het niet melden van inbreuken.

De realiteit op het gebied van handhaving in 2025 en 2026 is dat beveiligingstekortkomingen op grond van artikel 32 de meest voorkomende oorzaak van boetes zijn, gemeten naar het aantal gevallen, en niet alleen naar de krantenkoppen die worden gegenereerd door boetes voor grote technologiebedrijven. De Franse CNIL legde Free Mobile in januari 2026 een boete van 27 miljoen euro op wegens ontoereikende beveiligingsmaatregelen na een datalek. De ICO legde Advanced Computer Software Group in maart 2025 een boete van 3,07 miljoen pond op voor dezelfde tekortkomingen op grond van artikel 32, waaronder lacunes in MFA, kwetsbaarheidsscans en patchbeheer. Spanje en Italië zijn consequent actief geweest in het opleggen van boetes aan zorgverleners, financiële dienstverleners en regionale dienstverlenende bedrijven.

De toezichthouders hebben ook bevestigd dat de handhaving niet beperkt blijft tot grote organisaties. Uit analyse van de gegevens van de handhavingsmonitor blijkt dat een aanzienlijk deel van alle boetes is opgelegd aan regionale dienstverleners, kleine SaaS-bedrijven en lokale instanties. De boetes zijn proportioneel gezien lager, maar het blijven boetes.

Voor MSP’s brengt dit handhavingskader drie specifieke risico’s met zich mee: directe aansprakelijkheid als verwerker voor beveiligingsfouten op grond van artikel 32, aansprakelijkheid jegens klanten voor vertragingen bij de melding van inbreuken waardoor de verwerkingsverantwoordelijke de termijn van 72 uur overschrijdt, en commerciële risico’s als gevolg van het ontbreken van gegevensbeschermingsovereenkomsten.

AVG is niet alleen een wettelijke vereiste, maar ook een commerciële noodzaak. Midden- en grootzakelijke klanten met activiteiten in de EU of het VK vragen regelmatig om bewijs AVG als onderdeel van hun leveranciersbeoordeling en contractverlenging. Een MSP die geen gedocumenteerde beveiligingsmaatregelen, geteste procedures voor incidentafhandeling en een ondertekende gegevensverwerkersovereenkomst kan overleggen, is in dat marktsegment niet concurrerend.

Voor meer informatie over hoe de vereisten op het gebied van databeheer aansluiten bij AVG, HIPAA en andere regelgevingskaders waarmee MSP’s voor hun klanten te maken hebben, kun je onze gids over databeheer voor IT-teams en MSP’s raadplegen.

Belangrijkste punten

  • Artikel 32 schrijft versleuteling, beschikbaarheid, veerkracht en regelmatige beveiligingstests rechtstreeks voor. Dit zijn vereisten op het gebied van IT-beheer, geen wettelijke vereisten. De tools waarmee hieraan wordt voldaan – EDR, back-up en herstel, en eindpuntbeheer – vormen samen het AVG .
  • De meldingsplicht bij inbreuken binnen 72 uur vereist detectiecapaciteit die snel genoeg is om meldingsplichtige incidenten binnen enkele uren, en niet pas na enkele dagen, te identificeren. Verwerkers moeten de verwerkingsverantwoordelijken zonder onnodige vertraging op de hoogte brengen, en die vertraging wordt in mindering gebracht op de termijn van 72 uur voor de verwerkingsverantwoordelijke.
  • MSP’s die als verwerkers optreden, moeten met alle klanten in de EU en het VK gegevensverwerkingsovereenkomsten hebben gesloten. Zonder een dergelijke overeenkomst voldoet de MSP niet aan de vereisten als verwerker, ongeacht de stand van zaken op het gebied van technische beveiliging.
  • "Gegevensbescherming door ontwerp" houdt in dat privacymaatregelen al bij de ontwikkeling van de systeemarchitectuur en bij de aanbesteding worden ingebouwd, en niet pas achteraf worden toegevoegd. De standaardinstellingen moeten de privacy bevorderen. Een gegevensbeschermingseffectbeoordeling (DPIA) is een wettelijke vereiste voor verwerkingen met een hoog risico.
  • AVG tegen IT-dienstverleners is een feit. De boete die de ICO in maart 2025 aan Advanced Computer Software Group heeft opgelegd wegens tekortkomingen op grond van artikel 32, waaronder het ontbreken van meervoudige authenticatie (MFA) en ontoereikend patchbeheer, vormt een direct precedent voor de aansprakelijkheid van MSP’s.

Eén compleet platform voor IT- en Security

Kaseya 365 de alles-in-één-oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya 365

Één platform. Alles omtrent IT.

Kaseya 365 profiteren van de voordelen van de beste tools voor IT-beheer en beveiliging in één enkele oplossing.

Ontdek Kaseya 365

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is dé bron om inzicht te krijgen in de richting waarin de sector zich ontwikkelt.

Nu downloaden

Ontdek categorieën

Naleving van de ITAR-voorschriften: wat het is, voor wie het geldt en wat IT-teams moeten doen

Volgens het Kaseya State of the MSP-rapport 2026 behoren naleving van regelgeving en rapportage tot de top tien van diensten

Lees blogbericht

ISO 27001: wat het is, wat er voor certificering nodig is en of uw organisatie het nodig heeft

ISO 27001 is de internationale norm voor informatiebeveiligingsbeheersystemen. Het is wereldwijd de meest erkende beveiligingscertificering,

Lees blogbericht

CIS Controls: een praktisch beveiligingsraamwerk voor IT-teams en MSP’s

Volgens het Kaseya State of the MSP-rapport van 2026 meldde 71% van de MSP’s een omzetgroei op jaarbasis op het gebied van cyberbeveiliging, maar

Lees blogbericht