NIS2 & DORA van kracht. EU AI Act volgt — boek een demo

AVG Pentest Nederland: Technische Beveiligingsmaatregelen onder Art. 32 en UAVG

De Algemene Verordening Gegevensbescherming (AVG, Verordening (EU) 2016/679) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) vormen het juridische kader voor de bescherming van persoonsgegevens in Nederland. Artikel 32 AVG verplicht verwerkingsverantwoordelijken en verwerkers tot het treffen van 'passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen'. De Autoriteit Persoonsgegevens (AP), de Nederlandse onafhankelijke toezichthouder voor de AVG, handhaaft deze verplichtingen actief en heeft de afgelopen jaren significante boetes opgelegd wegens onvoldoende technische beveiligingsmaatregelen. Penetratietesten zijn een erkende en verwachte technische maatregel voor organisaties die persoonsgegevens verwerken — en zijn expliciet aangehaald in AP-richtsnoeren en EDPB-guidance. Deze gids legt uit wat Art. 32 AVG concreet vereist, welke rol penetratietesten spelen in AVG-naleving, wat de meldplicht bij datalekken inhoudt, en welke sancties het AP oplegt bij tekortkomingen.

Start de AVG pentest
MW
Geschreven door Malte Wagenbach
Oprichter van Matproof Security. Gespecialiseerd in AI-gestuurde penetratietests en EU-compliance (DORA, NIS2, BIO, ISO 27001).
Laatst beoordeeld: 17 mei 2026

Waarom de AVG technische beveiligingstesten inclusief penetratietesten vereist

De AVG Art. 32 §1 lid d vereist expliciet 'een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking'. Deze bepaling is de directe wettelijke grondslag voor periodieke beveiligingstesten — inclusief penetratietesten — als AVG-verplichting. Het is niet voldoende om beveiligingsmaatregelen te implementeren: de AVG vereist ook dat u aantoonbaar maakt dat die maatregelen effectief zijn. De EDPB (European Data Protection Board) heeft in haar richtsnoeren verduidelijkt dat 'testen van de doeltreffendheid' technische tests omvat die verificeren dat de beveiligingsmaatregelen daadwerkelijk bescherming bieden tegen realistische aanvallen. De AP heeft in haar handhavingspraktijk meerdere malen verwezen naar het ontbreken van beveiligingstesten als tekortkoming bij het vaststellen van AVG-overtredingen en het berekenen van sancties. Boetes wegens overtredingen van Art. 32 AVG kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. De meldplicht van Art. 33 AVG (datalekken melden bij AP binnen 72 uur) en Art. 34 (melding aan betrokkenen bij hoog risico) versterken de incentive voor preventieve beveiligingstesten: een gedocumenteerd pentestprogramma aantonen dat een datalek niet via een bekende kwetsbaarheid had kunnen worden voorkomen, is een relevante mitigerende factor bij AP-sanctieberekeningen.

  • AVG Art. 32 §1 lid d: expliciete verplichting tot 'een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen' — dit is de directe wettelijke grondslag voor periodieke beveiligingstesten als AVG-verplichting voor alle verwerkingsverantwoordelijken en verwerkers.
  • AVG Art. 32 §1 lid a, b, c: aanvullende technische maatregelen — pseudonimisering en versleuteling van persoonsgegevens (lid a); vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen (lid b en c) — penetratietesten verificeren of deze maatregelen effectief zijn geïmplementeerd.
  • UAVG (Uitvoeringswet AVG): de Nederlandse implementatiewet die aanvullende specificaties bevat voor de Nederlandse context, waaronder bepalingen over verwerking van bijzondere categorieën persoonsgegevens (Art. 22 UAVG e.v.) en het Burgerservicenummer (Art. 46 UAVG) — systemen die BSN's of bijzondere categorieën persoonsgegevens verwerken vereisen strengere beveiligingsmaatregelen en daarmee intensiever testen.
  • AP-handhavingspraktijk: de Autoriteit Persoonsgegevens heeft de afgelopen jaren significante boetes opgelegd voor onvoldoende technische beveiligingsmaatregelen — Booking.com (2020: 475.000 euro), UWV (2023: 2,75 miljoen euro), VGZ (2023: 1,1 miljoen euro). In al deze zaken waren tekortkomingen in technische beveiligingsmaatregelen als grondslag voor de boete gehanteerd.
  • AVG Art. 33 (meldplicht datalekken aan AP): een 'inbreuk in verband met persoonsgegevens' moet binnen 72 uur worden gemeld bij de AP, tenzij het risico voor betrokkenen verwaarloosbaar is — gedocumenteerde penetratietesten die bekende kwetsbaarheden hadden geïdentificeerd vóór het incident verzwakken de positie bij AP-onderzoek.
  • AVG Art. 25 (Privacy by Design en by Default): persoonsgegevens mogen alleen worden verwerkt voor het doeleinde waarvoor zij zijn verzameld — technische maatregelen moeten 'gegevensbeschermende beginselen' afdwingen; beveiligingstesten van systemen in ontwikkeling (conform het Privacy by Design-beginsel) voorkomen later kostbaar herstelwerk.
  • Verwerkersaansprakelijkheid (AVG Art. 28): verwerkers die namens de verwerkingsverantwoordelijke persoonsgegevens verwerken, zijn ook verplicht tot passende technische beveiligingsmaatregelen — een verwerker die een penetratietest uitvoert van systemen met persoonsgegevens moet een verwerkersovereenkomst hebben met de verwerkingsverantwoordelijke.

Wat een AVG-conform beveiligingstestprogramma voor persoonsgegevens omvat

  • Inventarisatie van persoonsgegevensverwerkingen: identificatie van alle systemen die persoonsgegevens verwerken binnen de AVG-scope — als basis voor risicogebaseerde testprioritering; systemen die bijzondere categorieën persoonsgegevens of BSN's verwerken krijgen prioriteit.
  • Toegangsbeheer tot persoonsgegevens: autorisatiecontroles — verificatie dat alleen geautoriseerde gebruikers toegang hebben tot persoonsgegevens (IDOR-kwetsbaarheden, OWASP A01:2021 Broken Access Control), rolgebaseerd toegangsbeheer, beheer van bevoorrechte accounts, audit logs van gegevenstoegang.
  • Versleuteling van persoonsgegevens in transit en at rest (AVG Art. 32 §1 lid a): TLS-configuraties (TLS 1.3 conform RFC 8446), versleuteling van databases met persoonsgegevens, end-to-end versleuteling van gevoelige communicatie — detectie van onversleutelde transmissie van persoonsgegevens.
  • Webapplicatie-kwetsbaarheden (OWASP Top 10 2021): A01 Broken Access Control (onbevoegde toegang tot persoonsgegevens), A02 Cryptographic Failures (onversleutelde persoonsgegevens), A03 Injection (SQL-injectie in persoonsgegevensdatabases), A09 Security Logging and Monitoring Failures (detectiemogelijkheden voor datalekken).
  • API-beveiliging voor persoonsgegevensverwerkingen (OWASP API Top 10 2023): API's die persoonsgegevens retourneren of verwerken — autorisatieverificatie (API1 BOLA, API2 Broken Authentication), gegevensminimalisatie (API3 Broken Object Property Level Authorization — retourneert de API meer gegevens dan nodig?).
  • Meldplicht-gereedheid: verificatie dat de detectiemechanismen van de organisatie een datalek binnen 72 uur kunnen detecteren en rapporteren conform AVG Art. 33 — SIEM-alerting, logging-volledigheid, incidentresponseprocedures voor datalekken.
  • Verwerkersbeveiliging (AVG Art. 28): voor organisaties die als verwerker optreden — verificatie dat de beveiligingsmaatregelen overeenkomen met de contractuele verplichtingen in de verwerkersovereenkomst met de verwerkingsverantwoordelijke.
  • Pseudonimisering en datamasking: verificatie dat pseudonimiserings- en datamasking-implementaties adequaat zijn — test of pseudonimisering ongedaan kan worden gemaakt via re-identificatieaanvallen op de geteste systemen.
  • Privacy Impact Assessment (DPIA)-ondersteuning: voor verwerkingen die waarschijnlijk een hoog risico inhouden (AVG Art. 35) — penetratietesten leveren technische input voor de risicoanalyse in de DPIA en verifiëren dat de beschreven mitigerende maatregelen effectief zijn geïmplementeerd.
  • Documentatie voor AVG-naleving en AP-verantwoording: Matproof Sentinel genereert pentestrapportage die aansluit bij de documentatievereisten voor het verwerkingsregister (Art. 30 AVG), de DPIA (Art. 35 AVG) en bij AP-onderzoek — bewijs van periodieke beveiligingstesten is een mitigerende factor bij sanctieberekeningen.

Voorbeeldbevinding

Kritiek

IDOR-kwetsbaarheid — persoonsgegevens van andere gebruikers toegankelijk zonder autorisatie

Tijdens de penetratietest van de klantenportaalwebapplicatie (verwerking van persoonsgegevens van 280.000 klanten) is een Insecure Direct Object Reference (IDOR)-kwetsbaarheid geïdentificeerd in het profiel-API-eindpunt. Door het aanpassen van de 'gebruiker-id' parameter in het GET /api/v2/users/{id}/profile verzoek is het mogelijk de profielgegevens van willekeurige gebruikers op te vragen zonder aanvullende autorisatiecontrole. De API valideert alleen of de aanvrager is geauthenticeerd, maar niet of de aanvrager gerechtigd is de specifieke gebruikersgegevens in te zien. Via het blootgestelde eindpunt zijn naam, e-mailadres, telefoonnummer, geboortedatum en adresgegevens van alle gebruikers opvraagbaar. CVE-2023-29489 (IDOR in vergelijkbare portaalimplementaties) illustreert de prevalentie van dit aanvalstype. Dit constitueert een potentieel datalek conform AVG Art. 4 §12 (inbreuk in verband met persoonsgegevens) dat meldplichtig kan zijn bij de AP (Art. 33 AVG) en bij betrokkenen (Art. 34 AVG) als het risico voor hen hoog is.

Oplossing: Implementeer object-level autorisatiecontroles in alle API-eindpunten: valideer bij elk verzoek zowel de authenticatie van de aanvrager als de autorisatie voor de specifieke resource. Gebruik UUID's in plaats van oplopende ID's om enumeratie te bemoeilijken (defense in depth). Voer een volledige API-codereview uit op IDOR-kwetsbaarheden. Beoordeel of de kwetsbaarheid heeft geleid tot ongeautoriseerde toegang door derden vóór de test (loganalyse) en beoordeel de meldplicht bij de AP (Art. 33 AVG, binnen 72 uur). Documenteer de bevinding en het herstelplan conform de AVG-risicobeheerdocumentatie van de organisatie.',

Referentie: OWASP A01:2021 Broken Access Control · CWE-639 Authorization Bypass Through User-Controlled Key · OWASP API1:2023 Broken Object Level Authorization · AVG Art. 32 §1 (technische beveiligingsmaatregelen) · AVG Art. 33 (meldplicht datalekken) · UAVG Art. 1

AVG pentest: vergelijking van aanpakken

Gratis scanMatproof SentinelTraditionele consultancy
Geautomatiseerde scan-engine✓ (3-min preview)✓ Volledige scan✗ Alleen handmatig
OWASP Top 10 dekkingGedeeltelijk✓ Volledig✓ Volledig
Proof-of-exploit bewijs✓ Per bevinding✓ Per bevinding
Regulatorische mapping (DORA/NIS2/ISO 27001)✓ Geautomatiseerd✓ Handmatig
Audit-geschikt PDF-rapport✓ Direct✓ 2–4 weken levertijd
Continue / terugkerende scans✓ Per deploy✗ Jaarlijkse opdracht
Tijd tot eerste resultaat~3 min~30 min volledige scan2–4 weken
Prijs€0Vanaf €149€8.000–€25.000
Broncode-review (SAST)✓ Growth-plan✓ In scope
API-tests (REST/GraphQL)✓ Geautomatiseerd✓ Handmatig

AVG-conforme pentestaanbiedingen

Losse scan
€149 eenmalig
  • 1 volledige penetratietest-scan
  • AI-geprioriteerde bevindingen met CVSS 3.1
  • Proof-of-exploit per bevinding
  • PDF-rapport (geschikt voor audit)
  • Regulatorische mapping (DORA, NIS2, ISO 27001)
Losse scan kopen
Aanbevolen
Starter
€299 / maand
  • Onbeperkt scannen (tot 3 domeinen)
  • Continue monitoring
  • CI/CD-integratie (GitHub, GitLab)
  • Alle regulatorische mappings
  • Prioriteitsondersteuning
Start met Starter
Growth
€799 / maand
  • Onbeperkt scannen + domeinen
  • Geauthenticeerde / White-Box tests
  • API- en cloud-infrastructuurtests
  • Dedicated security account manager
  • SLA responstijd 24u
Contact voor Growth

Veelgestelde vragen over AVG en UAVG penetratietesten in Nederland

Verplicht AVG Art. 32 expliciet penetratietesten?

AVG Art. 32 §1 lid d verplicht expliciet 'een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen'. Dit is de directe wettelijke grondslag voor periodieke beveiligingstesten. De AVG specificeert de testmethodiek niet, maar de EDPB-richtsnoeren en de AP-handhavingspraktijk maken duidelijk dat 'testen van de doeltreffendheid' technische tests omvat die verificeren dat beveiligingsmaatregelen effectief zijn. Penetratietesten zijn daarmee niet expliciet bij naam genoemde maar wel degelijk verwachte maatregel voor organisaties die risicovol persoonsgegevens verwerken.

Welke boetes kan de AP opleggen voor onvoldoende technische beveiligingsmaatregelen?

AVG Art. 83 definieert twee boetecategorieën: (1) Overtredingen van Art. 32 (onvoldoende technische maatregelen) kunnen worden bestraft met boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet (het hoogste bedrag); (2) Ernstiger overtredingen (verwerking zonder rechtsgrondslag, overtreding basisprincipes) kunnen leiden tot boetes tot 20 miljoen euro of 4% van de jaaromzet. De AP past deze maxima zelden toe — in de praktijk variëren boetes van tienduizenden tot enkele miljoenen euro's. Mitigerende factoren bij sanctieberekening zijn: mate van medewerking, proactieve maatregelen vóór het incident, aanwezigheid van beveiligingstestprogramma.

Binnen welke termijn moeten datalekken worden gemeld bij de AP?

AVG Art. 33 §1 vereist dat een 'inbreuk in verband met persoonsgegevens' zo mogelijk uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen, wordt gemeld bij de AP. Art. 33 §3 specificeert de inhoud van de melding: beschrijving van de aard van de inbreuk, aantallen betrokkenen en persoonsgegevensrecords, naam en contactgegevens van de FG, beschrijving van de gevolgen, beschrijving van maatregelen. Als de inbreuk 'waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen', moeten ook de betrokkenen zelf worden geïnformeerd (Art. 34 AVG). Gedocumenteerde penetratietesten die de kwetsbaarheid hadden kunnen identificeren vóór de inbreuk, zijn relevante informatie bij AP-onderzoek naar de ernst van de tekortkoming.

Hoe verschilt de UAVG van de AVG voor beveiligingsverplichtingen?

De UAVG (Uitvoeringswet Algemene Verordening Gegevensbescherming) is de Nederlandse implementatiewet die uitvoering geeft aan de AVG-bepalingen die nationale invulling vereisen. Voor beveiligingsverplichtingen is de UAVG aanvullend op de AVG op de volgende punten: striktere eisen voor bijzondere categorieën persoonsgegevens (gezondheidsgegevens, biometrische gegevens — Art. 22-35 UAVG); specifieke regels voor BSN-verwerking (Burgerservicenummer — Art. 46 UAVG), waarbij systemen die BSN's verwerken extra beveiligingswaarborgen vereisen; aanvullende eisen voor overheidsverwerkingen. Systemen die vallen onder de aanvullende UAVG-vereisten (bijzondere categorieën, BSN) vereisen intensiever testen en strengere beveiligingsmaatregelen.

Hoe gaat een penetratietester om met persoonsgegevens die tijdens een test worden aangetroffen?

Een AVG-conforme penetratietester hanteert de volgende procedure bij het aantreffen van persoonsgegevens: onmiddellijke notificatie aan de contactpersoon van de opdrachtgever (zoals gespecificeerd in de verwerkersovereenkomst); geen kopieën of extracties van persoonsgegevens — documenteer alleen metagegevens (aanwezigheid, structuur, geschat volume); pseudonimisering in screenshots en rapport (persoonsgegevens worden onleesbaar gemaakt); de opdrachtgever beoordeelt de meldplicht bij de AP (Art. 33 AVG, 72 uur) als de kwetsbaarheid aannemelijk maakt dat persoonsgegevens door derden zijn ingezien. Matproof heeft gedocumenteerde procedures voor het omgaan met persoonsgegevens tijdens pentests conform de AVG.

Is een verwerkersovereenkomst verplicht voor een penetratietester die persoonsgegevens kan tegenkomen?

Ja — als een penetratietest in de scope systemen omvat die persoonsgegevens verwerken, is de penetratietestaanbieder een 'verwerker' in de zin van AVG Art. 4 §8. De verwerkingsverantwoordelijke (opdrachtgever) is op grond van AVG Art. 28 §3 verplicht een schriftelijke overeenkomst (verwerkersovereenkomst of Data Processing Agreement) te sluiten met de verwerker (penetratietestaanbieder). De verwerkersovereenkomst moet de instructies van de verwerkingsverantwoordelijke aan de verwerker, de veiligheidsmaatregelen van de verwerker, de procedure voor het omgaan met datalekken tijdens de test en de overeenkomst over sub-verwerkers specificeren. Matproof verstrekt een standaard verwerkersovereenkomst die voldoet aan AVG Art. 28.

Hoe hoog is het risico voor bijzondere categorieën persoonsgegevens bij onvoldoende beveiliging?

Bijzondere categorieën persoonsgegevens (gezondheidsgegevens, biometrische gegevens, seksuele geaardheid, religieuze overtuiging, politieke opvattingen, strafrechtelijke gegevens, ras of etnische afkomst — AVG Art. 9) genieten verhoogde bescherming. De verwerking is in beginsel verboden, tenzij een specifieke uitzondering van toepassing is (Art. 9 §2 AVG). Beveiligingstekortkomingen bij systemen die bijzondere categorieën verwerken leiden tot: hogere boetes bij AP-sanctionering (aggraverende factor); hogere waarschijnlijkheid van meldplicht bij betrokkenen (Art. 34 AVG) bij een datalek; grotere reputatieschade. Organisaties die bijzondere categorieën verwerken moeten een DPIA uitvoeren (Art. 35 AVG) en hogere beveiligingsstandaarden aanhouden — penetratietesten zijn in dit kader een essentieel onderdeel van het beveiligingsprogramma.

Hoe kan Matproof helpen bij het aantonen van AVG Art. 32-naleving tegenover de AP?

Matproof Sentinel biedt AVG Art. 32-ondersteuning op drie niveaus: (1) Technische maatregelen — periodieke penetratietesten en kwetsbaarheidsscanning die de doeltreffendheid van beveiligingsmaatregelen testen conform Art. 32 §1 lid d; (2) Documentatie — audit-ready rapporten die als bewijs dienen van periodieke beveiligingstesten bij AP-onderzoek; bevindingen gedocumenteerd in formaten die aansluiten bij verwerkingsregisters en DPIA's; (3) Procesondersteuning — gedocumenteerde verwerkersovereenkomst conform AVG Art. 28; procedures voor het omgaan met persoonsgegevens tijdens de test; escalatieprocedure voor datalekken ontdekt tijdens de test.

Gerelateerde onderwerpen

Meer lezen — gerelateerde blogartikelen

Start uw AVG Art. 32-conforme beveiligingstest

Matproof Sentinel biedt penetratietesten die aantoonbaar voldoen aan de testverplichtingen van AVG Art. 32 §1 lid d. Verkrijg in 3 minuten een eerste beoordeling van de beveiliging van uw persoonsgegevensverwerkingen — zonder registratie. Inclusief verwerkersovereenkomst en AVG-compatibele rapportage.

Start de AVG pentest