Skip to content
Beveiliging calendar_today Bijgewerkt: 6 april 2026 schedule 5 min leestijd

Encryptie: Moet ik mijn Gegevens Versleutelen?

De GDPR noemt encryptie als een van de belangrijkste beveiligingsmaatregelen. Maar wat is het precies, wanneer is het verplicht, en hoe pak je het praktisch aan als MKB-ondernemer? Dit artikel geeft concrete handvatten.

summarize Kernpunten
  • check_circle De GDPR noemt encryptie expliciet als aanbevolen beveiligingsmaatregel in Artikel 32
  • check_circle Versleutel laptops, externe schijven en USB-sticks met full disk encryption
  • check_circle Gebruik TLS (https) op je website en versleutelde e-mail voor gevoelige gegevens
  • check_circle Versleutelde gegevens die worden gestolen, hoeven mogelijk niet als datalek te worden gemeld

Wat is encryptie?

Encryptie, of versleuteling, betekent dat je gegevens omzet in een onleesbare code. Alleen iemand met de juiste sleutel kan de gegevens weer leesbaar maken. Vergelijk het met een kluis: de inhoud is er nog steeds, maar zonder de code kom je er niet bij.

De GDPR (in Nederland ook wel AVG genoemd) noemt encryptie in Artikel 32 als een van de aanbevolen maatregelen om persoonsgegevens te beschermen. Dat maakt het een van de weinige technische maatregelen die de wet expliciet bij naam noemt.

Wanneer is encryptie nodig?

Artikel 32 vereist dat je “passende technische en organisatorische maatregelen” treft, rekening houdend met de stand van de techniek, de kosten en het risico. Encryptie is niet in elke situatie verplicht, maar bij de volgende scenario’s is het vrijwel onvermijdbaar:

  • Laptops en mobiele apparaten die buiten kantoor worden gebruikt
  • USB-sticks en externe harde schijven met persoonsgegevens
  • Gevoelige gegevens zoals medische informatie, financiele data of BSN-nummers
  • Gegevens die via internet worden verstuurd (formulieren, e-mails)
  • Back-ups die offsite worden bewaard

Drie praktische stappen voor je bedrijf

1. Full disk encryption op alle laptops

Dit is de makkelijkste en meest impactvolle stap. Schakel volledige schijfversleuteling in op elke laptop en desktop die persoonsgegevens verwerkt.

  • Windows: BitLocker (ingebouwd in Windows Pro en Enterprise)
  • Mac: FileVault (ingebouwd in macOS)
  • Linux: LUKS

Het kost je niets extra, het vertraagt je computer nauwelijks, en het beschermt je bij diefstal of verlies. Als een laptop met ingeschakelde schijfversleuteling wordt gestolen, kan de dief niet bij de gegevens.

2. TLS op je website

Als je website formulieren bevat waar bezoekers persoonsgegevens invullen, contactformulieren, inschrijfformulieren, bestelformulieren, dan moet het verkeer versleuteld zijn met TLS (herkenbaar aan het slotje en “https” in de adresbalk).

De meeste hostingproviders bieden gratis TLS-certificaten aan via Let’s Encrypt. Er is geen reden meer om dit niet te doen.

3. Versleutelde e-mail voor gevoelige gegevens

Stuur je medische gegevens, financiele informatie of kopieën van identiteitsbewijzen via e-mail? Gewone e-mail is niet versleuteld, vergelijkbaar met een ansichtkaart die iedereen onderweg kan lezen.

Opties:

  • Gebruik een beveiligd berichtenportaal (veel boekhoudpakketten en zorgplatforms bieden dit)
  • Versleutel bijlagen met een wachtwoord en deel het wachtwoord via een ander kanaal
  • Gebruik S/MIME of PGP als je organisatie daar klaar voor is

Het grote voordeel: minder meldplicht bij datalekken

Hier wordt encryptie echt interessant voor ondernemers. Als er persoonsgegevens worden gestolen of verloren, moet je normaal gesproken een datalek melden bij de toezichthouder en mogelijk bij de betrokkenen.

Maar als de gegevens goed versleuteld waren en de sleutel niet is gelekt, is er geen reëel risico voor de betrokkenen. De gegevens zijn immers onleesbaar. In dat geval oordeelt de toezichthouder doorgaans dat een melding niet nodig is.

Een gestolen laptop met BitLocker ingeschakeld? Documenteer het in je datalekregister, maar de kans is groot dat je het niet hoeft te melden. Dezelfde laptop zonder encryptie? Dan heb je een meldplichtig datalek met alle gevolgen van dien.

Veelgemaakte fouten

  • Encryptie aanzetten maar de sleutel niet goed beheren. Als je de herstelsleutel op een post-it plakt op de laptop, heb je niets bereikt
  • Alleen de harde schijf versleutelen, maar USB-sticks vergeten. Die ene USB-stick met het klantenbestand die in de trein achterblijft
  • Denken dat een wachtwoord op een Excel-bestand “encryptie” is. Dat is het niet; die beveiliging is eenvoudig te kraken
  • De website nog op http laten draaien. In 2024 is er geen excuus meer voor een website zonder TLS

Begin vandaag

Encryptie hoeft niet ingewikkeld te zijn. Begin met het inschakelen van schijfversleuteling op alle laptops. Dat kost je een halfuur per apparaat en beschermt je direct tegen een van de meest voorkomende datalekscenario’s.

auto_awesome Weet je of je gegevens versleuteld zijn?

GDPRWise brengt in kaart welke systemen persoonsgegevens verwerken en of ze adequaat beveiligd zijn. Zo zie je direct waar de risico's zitten.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.