Persoonsgegevens veilig versturen: wat de AVG vereist
AVG-conformiteit bij verzending is geen eigenschap van een bestand, maar het resultaat van een onderbouwde beslissing. Vier vragen leiden naar het juiste kanaal – en naar het bewijs.
Een HR-afdeling stuurt een loonstrook naar een medewerker. Een belastingadviseur verstuurt stukken naar de Belastingdienst. Een huisartsenpraktijk zendt een uitslag naar een specialistische kliniek. Drie alledaagse handelingen – en drie doorgiftes van persoonsgegevens waarbij zich beslist of een organisatie haar verplichtingen onder de AVG nakomt. De vraag die daarbij telt, luidt zelden "Is het bestand versleuteld?" maar "Kan ik aantonen dat deze doorgifte passend was bij het risico?" Dit artikel zet uiteen wat de AVG vereist bij het versturen van persoonsgegevens, hoe die eisen zich vertalen in een verdedigbare beslissing en waaraan u een geschikt verzendkanaal herkent.
- Conformiteit is een proces, geen bestandsformaat
- Vier vragen vóór elke verzending
- Wat artikel 32 concreet vereist
- Passend betekent afstemmen, niet maximaliseren
- Verzendkanalen vergeleken
- Van het juiste kanaal naar verdedigbaar bewijs
- Wanneer de doorgifte mislukt
- Een beslishulp voor de dagelijkse verzendpraktijk
- Conclusie
Conformiteit is een proces, geen bestandsformaat
Een doorgifte is niet AVG-conform omdat een bepaald hulpmiddel is gebruikt, maar omdat de genomen beslissing achteraf te onderbouwen is. De AVG schrijft nergens een specifieke technologie voor. Zij formuleert beginselen en verplichtingen waarvan de naleving de verwerkingsverantwoordelijke zelf moet waarborgen en moet kunnen aantonen.
Drie bepalingen vormen het kader. Artikel 5 AVG noemt de beginselen, waaronder integriteit en vertrouwelijkheid, minimale gegevensverwerking en doelbinding. Artikel 32 AVG verplicht tot technische en organisatorische maatregelen die passend zijn bij het risico. En artikel 5, lid 2 AVG – de verantwoordingsplicht – vereist dat de verwerkingsverantwoordelijke de naleving van deze beginselen niet alleen waarborgt, maar ook kan aantonen.
Daarmee is de eerste en meest gestelde vraag beantwoord: wanneer geldt een doorgifte als AVG-conform? Wanneer zij proportioneel is, doelgebonden en met risicopassende waarborgen plaatsvindt – en wanneer die beoordeling is gedocumenteerd en bij een controle aantoonbaar is. "Conform" is dus geen toestand van het bestand, maar een eigenschap van het proces. Wie dat verinnerlijkt, stopt met zoeken naar die ene veilige verzendknop en begint de juiste beslissing te nemen.
Vier vragen vóór elke verzending
De eisen van de AVG laten zich vertalen in een korte toets die vóór elke doorgifte kan worden doorlopen. Vier vragen volstaan om het passende beschermingsniveau en het juiste kanaal te bepalen.
Welke gegevens verlaten het huis?
Bepalend is allereerst de aard van de gegevens. Persoonsgegevens zijn niet alle even gevoelig. Artikel 9 AVG noemt bijzondere categorieën – waaronder gezondheidsgegevens, gegevens over religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond, seksueel leven en biometrische gegevens met het oog op unieke identificatie. Daarvoor geldt in beginsel een hoger beschermingsniveau, en dienovereenkomstig stijgen de eisen aan de doorgifte.
Voordat de vraag naar het hoe überhaupt aan de orde komt, loont het beginsel van minimale gegevensverwerking: moeten deze gegevens, in deze omvang, aan deze ontvanger eigenlijk wel worden verstuurd? Vaak laat het risico zich al verlagen doordat minder gegevens het huis verlaten – door zwarting, pseudonimisering of beperking tot wat werkelijk noodzakelijk is.
Wie ontvangt de gegevens – en in welke rol?
De tweede vraag betreft de ontvanger en diens rol in gegevensbeschermingsrechtelijke zin. Het maakt verschil of de gegevens naar een zelfstandig verwerkingsverantwoordelijke gaan – bijvoorbeeld een overheidsinstantie of een cliënt – of naar een dienstverlener die de gegevens in uw opdracht verwerkt.
In het tweede geval is sprake van verwerking in opdracht, en artikel 28 AVG vereist een verwerkersovereenkomst als grondslag. Hier ligt het antwoord op een veelgestelde vraag: een verwerkersovereenkomst hebt u altijd nodig wanneer een externe dienstverlener persoonsgegevens volgens uw instructies verwerkt – dus ook wanneer u voor de doorgifte zelf een portaal of clouddienst van een aanbieder gebruikt. Het gekozen kanaal is in zoverre niet alleen een technische, maar ook een contractuele kwestie.
Waar gaan de gegevens geografisch heen?
Verlaten de gegevens de Europese Economische Ruimte, dan komt er een aanvullend regelkader bij. De artikelen 44 e.v. AVG regelen de doorgifte naar derde landen. Die is met name toegestaan wanneer voor het bestemmingsland een adequaatheidsbesluit van de Europese Commissie geldt, of wanneer passende waarborgen zoals standaardcontractbepalingen (SCC's) zijn overeengekomen, waar nodig aangevuld met extra beschermingsmaatregelen.
Doorgifte naar de Verenigde Staten is hier een apart toetspunt, omdat de juridische grondslagen voor transatlantische doorgiftes herhaaldelijk zijn aangepast. Wie persoonsgegevens doorgeeft aan ontvangers in de VS of aan diensten met een Amerikaanse band, moet de actuele adequaatheidsgrondslag en de concrete certificering van de ontvanger nagaan, in plaats van te vertrouwen op een eerdere rechtssituatie. Ook de serverlocatie van een gebruikte verzenddienst hoort in deze beschouwing thuis.
Welk beschermingsniveau vereist het risico?
De vierde vraag brengt de eerste drie samen. Artikel 32 AVG vereist een beschermingsniveau dat past bij het risico – en het risico volgt uit de aard van de gegevens, de ontvanger en het verzendkanaal. Hoe gevoeliger de gegevens, en hoe groter de kans op en de ernst van mogelijke schade, des te strenger de eisen aan de technische maatregelen. Deze afweging is de kern van elke verzendbeslissing.
Wat artikel 32 concreet vereist
Artikel 32 blijft bewust technologieneutraal, maar geeft voorbeelden van passende maatregelen. Daartoe behoren uitdrukkelijk de versleuteling en de pseudonimisering van persoonsgegevens, het waarborgen van de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van systemen, en een procedure om de doeltreffendheid van die maatregelen regelmatig te toetsen.
Daarmee is een veelgestelde vraag te beantwoorden: moeten persoonsgegevens versleuteld worden verstuurd? Een uitzonderingsloze verplichting formuleert de AVG niet. In de praktijk is versleuteling bij de doorgifte van persoonsgegevens echter de te verwachten stand van de techniek – en bij gevoelige gegevens van de bijzondere categorieën praktisch onmisbaar, omdat een lager beschermingsniveau doorgaans niet passend zou zijn bij het risico. De Autoriteit Persoonsgegevens beoordeelt het onversleuteld versturen van beschermenswaardige gegevens dan ook kritisch.
Een praktische opmerking betreft de sleutels. Versleuteling beschermt slechts zo goed als de bijbehorende sleutel wordt bewaard; wordt die via hetzelfde kanaal als de gegevens of onvoldoende beveiligd verstuurd, dan verdampt de bescherming. Artikel 32 vereist eveneens geen eenmalige, maar een doorlopende waarborging van de doeltreffendheid – maatregelen moeten dus regelmatig worden getoetst en aan veranderende risico's worden aangepast.
Technische en organisatorische maatregelen zijn daarbij niet alleen techniek. Tot de organisatorische maatregelen behoren autorisatieconcepten, regels voor het verifiëren van ontvangers, training en vastgelegde verzendwegen. Juist de organisatorische kant beslist of de veilige weg de standaardinstelling wordt of van het individuele geval afhangt. Belangrijk is bovendien het onderscheid tussen versleuteling op het transporttraject en doorlopende versleuteling van afzender tot ontvanger; dit wordt verdiept in Eind-tot-eind versus transportversleuteling en heeft directe gevolgen voor de kanaalkeuze.
Passend betekent afstemmen, niet maximaliseren
De risicogebaseerde benadering van artikel 32 heeft een gevolg dat in de praktijk vaak over het hoofd wordt gezien: zij vereist geen maximale bescherming voor elke handeling, maar een niveau dat past bij het concrete geval. Een algehele maximale beveiliging voor elk bericht is niet alleen onrendabel, maar kan de acceptatie in het dagelijks werk ondermijnen – en daarmee uiteindelijk de veiligheid verzwakken, omdat medewerkers omslachtige wegen omzeilen zodra die als hinderlijk worden ervaren.
De maatstaf is afstemming. Een interne, weinig gevoelige afspraak over een datum vereist een ander beschermingsniveau dan de doorgifte van een volledig personeelsdossier of een medische uitslag. Voor het eerste kan een transportversleutelde verbinding volstaan; voor het tweede is die doorgaans ontoereikend. De kunst van een passende doorgifte ligt in het bewust koppelen van het beschermingsniveau aan de aard van de gegevens en het risico, in plaats van het stelselmatig te onderschatten of reflexmatig te overdrijven.
Deze afstemming is tegelijk een argument voor duidelijk omschreven verzendwegen. Wanneer voor typische gevallen is vastgelegd welk kanaal wordt gebruikt – gewone maar transportbeveiligde communicatie voor het ongevoelige, een doorlopend versleutelde weg voor het beschermenswaardige – hoeft niet bij elk bericht opnieuw te worden afgewogen. De beoordeling per geval blijft gereserveerd voor grensgevallen, en de reguliere praktijk verloopt veilig zonder de betrokkenen te overbelasten. Zo'n vastlegging is zelf een organisatorische maatregel in de zin van artikel 32 en versterkt en passant de aantoonbaarheid, omdat de gekozen werkwijze onderbouwd en herhaalbaar is.
Verzendkanalen vergeleken
Uit de vier vragen en de eisen van artikel 32 volgt geen in het algemeen beste, maar een bij het risico passende keuze. De volgende matrix zet gangbare kanalen af tegen de centrale eisen.
| Verzendkanaal | Vertrouwelijkheid onderweg | Bescherming in rust | Metagegevens/onderwerp beschermd | Aantoonbaarheid | Geschiktheid voor gevoelige gegevens |
|---|---|---|---|---|---|
| Onversleutelde e-mail | nee | nee | nee | zwak | ongeschikt |
| E-mail met transportversleuteling (TLS) | alleen per deeltraject | nee | nee | zwak | beperkt |
| Met wachtwoord beveiligde bijlage | afhankelijk van wachtwoordkanaal en -sterkte | gedeeltelijk | nee | zwak | beperkt |
| Eind-tot-eind versleutelde e-mail (PGP/S/MIME) | ja | ja | onderwerp blijft open | gemiddeld | geschikt, maar tweezijdig veeleisend |
| Veilige link / zero-knowledge-portaal | ja | ja | inhoud verlaat de e-mail niet | goed (ophalen te loggen) | geschikt |
Twee rijen verdienen bijzondere aandacht. E-mail met transportversleuteling beschermt het bericht alleen op het betreffende deeltraject tussen twee servers; op de stations en in het postvak ligt het in leesbare vorm. Waarom dit voor vertrouwelijke inhoud doorgaans niet volstaat, behandelt het artikel Waarom e-mail geen veilige manier is om gegevens te versturen in detail. Daarmee is ook de vraag beantwoord of TLS-versleutelde e-mail volstaat: voor weinig gevoelige berichten mogelijk wel, voor beschermenswaardige gegevens in de regel niet.
De onderste benadering – een veilige link in plaats van de inhoud zelf – keert de logica om. In plaats van de gegevens door vreemde systemen te sturen, blijft de inhoud op een gecontroleerde plek en haalt de ontvanger die op via een beveiligde toegang. Bij een op zero-knowledge gebaseerde methode kan zelfs de aanbieder de inhoud niet ontsleutelen; de achtergrond beschrijft Zero-knowledge uitgelegd. Hoe bestanden op deze manier concreet kunnen worden overgedragen, laat Veilig bestanden delen en one-time links zien.
Van het juiste kanaal naar verdedigbaar bewijs
Het juiste kanaal is het halve werk; de andere helft is het bewijs. De verantwoordingsplicht uit artikel 5, lid 2 AVG vereist dat de verwerkingsverantwoordelijke de naleving van de beginselen kan aantonen. Bij een controle of geschil is veilig gehandeld hebben niet genoeg – u moet het kunnen laten zien.
Aantoonbaar wordt een doorgifte door meerdere samenwerkende elementen: de documentatie van de getroffen technische en organisatorische maatregelen, het register van verwerkingsactiviteiten, aanwezige verwerkersovereenkomsten met betrokken dienstverleners en – afhankelijk van de methode – logbestanden over het ophalen of de aflevering. Juist hier spelen verzendkanalen hun kracht uit die een gecontroleerd ophalen documenteren, in plaats van een bericht ongezien het open systeem in te sturen.
In de praktijk loont het om het bewijs niet pas bij een incident te reconstrueren, maar het terloops te laten ontstaan. Een verzendweg die ontvangst of ophalen automatisch logt, levert dit bewijs zonder extra inspanning. Waar de methode zelf vastlegt wat wanneer aan wie is verstuurd, verandert de verantwoordingsplicht van een achteraf te leveren krachttoer in een bijproduct van de normale bedrijfsvoering.
Daarmee is de vraag naar het bewijs beantwoord: conformiteit toont u niet aan met een enkel versleuteld bestand, maar met een navolgbare keten van onderbouwde risico-inschatting, gedocumenteerde maatregel en – waar mogelijk – technisch bewijs van de daadwerkelijke doorgifte. Bij hogere risico's kan bovendien een gegevensbeschermingseffectbeoordeling vereist zijn, waarvan de uitkomst de keuze van beschermingsmaatregelen ondersteunt.
Wanneer de doorgifte mislukt
De kanaalkeuze heeft een gevolg dat vaak pas bij schade zichtbaar wordt. Belandt een onvoldoende beschermde doorgifte in verkeerde handen, dan is er doorgaans sprake van een inbreuk in verband met persoonsgegevens. Artikel 33 AVG verplicht dan tot melding aan de bevoegde toezichthoudende autoriteit, in beginsel zonder onredelijke vertraging en zo mogelijk binnen 72 uur na kennisname. Bij een waarschijnlijk hoog risico voor de betrokkenen komt op grond van artikel 34 AVG de plicht erbij om ook hen te informeren.
Hier toont zich de werkelijke waarde van een goede verzendbeslissing. Waren de gegevens doorlopend versleuteld en was de sleutel niet mede getroffen, dan verandert dat de risicobeoordeling van het lek aanzienlijk. Passende versleuteling is daarmee niet alleen plichtsvervulling in de normale bedrijfsvoering, maar ook een doeltreffend middel om de gevolgen van een incident te beperken.
Een beslishulp voor de dagelijkse verzendpraktijk
De volgende logica vat de vier vragen samen tot een volgorde die vóór elke verzending in enkele seconden is te doorlopen:
- Gaat het om persoonsgegevens? Zo nee, dan gelden de volgende stappen niet; zo ja, ga verder.
- Zijn bijzondere categorieën op grond van artikel 9 in het geding, of is de inhoud anderszins zeer gevoelig? Zo ja, dan is doorlopende versleuteling de maatstaf.
- Kan de hoeveelheid gegevens vóór verzending worden verminderd – door zwarting, pseudonimisering of beperking tot het noodzakelijke? Zo ja, verminder eerst.
- Is de ontvanger een verwerker? Zo ja, is er een verwerkersovereenkomst?
- Verlaten de gegevens de EER? Zo ja, is er een passende grondslag voor de doorgifte naar een derde land?
- Voldoet de gekozen weg aan het vereiste beschermingsniveau in rust en onderweg – niet alleen op één deeltraject?
- Is de beslissing gedocumenteerd en het proces bij twijfel aantoonbaar?
Blijft een van deze vragen open, dan is niet de verzending de volgende stap, maar de opheldering. Zo'n volgorde verschuift de verantwoordelijkheid van de spontane individuele beslissing naar een herhaalbare procedure – en juist dat is wat de verantwoordingsplicht in de kern vereist.
Conclusie
De AVG schrijft geen product en geen technologie voor om persoonsgegevens te versturen. Zij vereist een onderbouwde beslissing die past bij het risico, en het bewijs daarvan. Wie de aard van de gegevens, de rol van de ontvanger, de geografische bestemming en het vereiste beschermingsniveau stelselmatig toetst, komt vrijwel onvermijdelijk tot een geschikte weg – en kan die bij een controle verdedigen.
Voor beschermenswaardige gegevens leidt deze toets doorgaans weg van de gewone e-mail en naar methoden met doorlopende versleuteling en gecontroleerd, aantoonbaar ophalen. De beslissende stap is organisatorisch van aard: de veilige weg tot standaardinstelling maken, in plaats van die over te laten aan het geheugen van individuele medewerkers in het concrete geval. Zo wordt "veilig versturen" geen voornemen, maar een aantoonbare standaard.
Altijd op de hoogte.
Nieuwe artikelen over gegevensbescherming, compliance en veilig delen – rechtstreeks in uw inbox. Geen spam, altijd opzegbaar.
Ontdek alle functiesBlog-updates ontvangen
Meld u aan en mis geen enkel nieuw artikel.
Door u te abonneren, gaat u akkoord met ons Privacy Policy.