Direct hulp nodig? 24/7 ransomware noodlijn:
+31 6 11 37 10 19
Compliance

AVG en ransomware: uw wettelijke verplichtingen op een rij

Mei 20265 min leestijd

De AVG bepaalt hoe u persoonsgegevens moet beschermen en wat u moet doen als er iets misgaat. Bij een ransomware-aanval komen verschillende AVG-verplichtingen samen — en de Autoriteit Persoonsgegevens kijkt steeds strenger mee. Hier de complete praktische gids voor MKB-ondernemers.

Verplichting 1: passende technische beveiliging

Artikel 32 AVG verplicht u om 'passende technische en organisatorische maatregelen' te nemen. Wat 'passend' is, hangt af van uw bedrijf, de data die u verwerkt en de risico's. In 2026 verwacht de AP minimaal:

  • MFA op alle accounts met toegang tot persoonsgegevens
  • Versleuteling van data op rust (encryptie op laptops en backups)
  • Regelmatige updates en patchmanagement
  • Toegangsbeheer: alleen wie het nodig heeft, mag erbij
  • Logging en monitoring van toegang tot persoonsgegevens
  • Backups die bestand zijn tegen ransomware

Verplichting 2: melden binnen 72 uur

Zoals besproken in ons artikel over datalek-melden: bij elk datalek (en een ransomware-aanval is dat bijna altijd) moet u binnen 72 uur melden aan de Autoriteit Persoonsgegevens. Bij hoog risico ook aan de betrokkenen zelf.

Verplichting 3: register van verwerkingen

Onder artikel 30 AVG moet u een register bijhouden van welke persoonsgegevens u verwerkt, waar ze staan en wie er toegang heeft. Bij een ransomware-aanval is dit register essentieel om snel te bepalen welke data geraakt is — én is het juridisch verplicht ongeacht uw bedrijfsgrootte.

Verplichting 4: verwerkersovereenkomsten

Werkt u met externe IT-partijen (zoals wij) die toegang hebben tot uw data? Dan moet u een verwerkersovereenkomst hebben. Bij een incident is duidelijk wie waarvoor verantwoordelijk is — voor de AP, voor uw verzekeraar, en voor uw klanten.

De boetes: hoog en steeds vaker uitgedeeld

De AP geeft steeds vaker boetes. In 2025 kreeg een Nederlandse zorginstelling €350.000 boete na een ransomware-aanval waarbij was nagelaten MFA in te stellen op kritieke accounts. Een MKB-bedrijf kreeg €150.000 voor het niet tijdig melden van een datalek na ransomware. De boetes kunnen oplopen tot 4% van wereldwijde jaaromzet of €20 miljoen, afhankelijk van wat hoger is.

AVG-compliance is geen 'extra' — het is juridisch verplicht en het bepaalt of u na een incident overeind blijft. Combineer goede technische beveiliging met correcte processen. Voor advies over AVG-conforme IT-beveiliging, kijk op vanrosmalenautomatisering.nl.

Complete IT-beveiliging voor uw bedrijf

Van Rosmalen Automatisering helpt Nederlandse MKB-bedrijven met beheerde cybersecurity: MFA, EDR, backups, monitoring en 24/7 support. Bekijk onze complete dienstenportfolio.

Hulp nodig bij een ransomware aanval?

Wij zijn 24/7 bereikbaar voor noodgevallen.

+31 6 11 37 10 19