AVG en ransomware: uw wettelijke verplichtingen op een rij
De AVG bepaalt hoe u persoonsgegevens moet beschermen en wat u moet doen als er iets misgaat. Bij een ransomware-aanval komen verschillende AVG-verplichtingen samen — en de Autoriteit Persoonsgegevens kijkt steeds strenger mee. Hier de complete praktische gids voor MKB-ondernemers.
Verplichting 1: passende technische beveiliging
Artikel 32 AVG verplicht u om 'passende technische en organisatorische maatregelen' te nemen. Wat 'passend' is, hangt af van uw bedrijf, de data die u verwerkt en de risico's. In 2026 verwacht de AP minimaal:
- MFA op alle accounts met toegang tot persoonsgegevens
- Versleuteling van data op rust (encryptie op laptops en backups)
- Regelmatige updates en patchmanagement
- Toegangsbeheer: alleen wie het nodig heeft, mag erbij
- Logging en monitoring van toegang tot persoonsgegevens
- Backups die bestand zijn tegen ransomware
Verplichting 2: melden binnen 72 uur
Zoals besproken in ons artikel over datalek-melden: bij elk datalek (en een ransomware-aanval is dat bijna altijd) moet u binnen 72 uur melden aan de Autoriteit Persoonsgegevens. Bij hoog risico ook aan de betrokkenen zelf.
Verplichting 3: register van verwerkingen
Onder artikel 30 AVG moet u een register bijhouden van welke persoonsgegevens u verwerkt, waar ze staan en wie er toegang heeft. Bij een ransomware-aanval is dit register essentieel om snel te bepalen welke data geraakt is — én is het juridisch verplicht ongeacht uw bedrijfsgrootte.
Verplichting 4: verwerkersovereenkomsten
Werkt u met externe IT-partijen (zoals wij) die toegang hebben tot uw data? Dan moet u een verwerkersovereenkomst hebben. Bij een incident is duidelijk wie waarvoor verantwoordelijk is — voor de AP, voor uw verzekeraar, en voor uw klanten.
De boetes: hoog en steeds vaker uitgedeeld
De AP geeft steeds vaker boetes. In 2025 kreeg een Nederlandse zorginstelling €350.000 boete na een ransomware-aanval waarbij was nagelaten MFA in te stellen op kritieke accounts. Een MKB-bedrijf kreeg €150.000 voor het niet tijdig melden van een datalek na ransomware. De boetes kunnen oplopen tot 4% van wereldwijde jaaromzet of €20 miljoen, afhankelijk van wat hoger is.
AVG-compliance is geen 'extra' — het is juridisch verplicht en het bepaalt of u na een incident overeind blijft. Combineer goede technische beveiliging met correcte processen. Voor advies over AVG-conforme IT-beveiliging, kijk op vanrosmalenautomatisering.nl.
Complete IT-beveiliging voor uw bedrijf
Van Rosmalen Automatisering helpt Nederlandse MKB-bedrijven met beheerde cybersecurity: MFA, EDR, backups, monitoring en 24/7 support. Bekijk onze complete dienstenportfolio.
Lees ook
Datalek melden bij de Autoriteit Persoonsgegevens: complete gids
Een ransomware-aanval is bijna altijd ook een datalek. Niet correct melden bij de AP kan boetes tot €20 miljoen opleveren. Zo doet u het goed.
Lees meerNIS2 richtlijn: wat het voor uw MKB betekent
NIS2 is de nieuwe Europese cybersecurity-wet en raakt veel meer bedrijven dan u denkt — ook in het MKB. Wat moet u nu doen?
Lees meer10 cybersecurity basismaatregelen voor het MKB
U hoeft geen enterprise-budget te hebben om uw bedrijf goed te beveiligen. Deze 10 maatregelen vormen het minimum waarmee u 80% van de aanvallen tegenhoudt.
Lees meer