AVG Penetratietest Vereisten
De AVG (de Algemene Verordening Gegevensbescherming, in het Engels GDPR) verplicht organisaties om de persoonsgegevens die zij verwerken te beveiligen, en om aan te tonen dat hun beveiligingsmaatregelen echt werken. Artikel 32 maakt het regelmatig testen van die maatregelen tot een expliciete verplichting, en een penetratietest is de geaccepteerde manier om daaraan te voldoen.
Deze gids legt uit wat artikel 32 van de AVG vereist voor beveiligingstesten, waarom een penetratietest daaraan voldoet, wie binnen de reikwijdte valt, en hoe Budget Security opdrachten levert die dit bewijs opleveren.
Wat de AVG vereist voor beveiligingstesten
De AVG hanteert een risicogebaseerde benadering van beveiliging. Artikel 32 beschrijft de maatregelen die verwerkingsverantwoordelijken en verwerkers moeten overwegen, en een daarvan geeft een directe rol aan penetratietesten:
Artikel 32(1)(d) - Regelmatig testen
Een procedure voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische beveiligingsmaatregelen
Artikel 32(1)(b) - Vertrouwelijkheid
Het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van verwerkingssystemen, wat testen helpt verifiëren
Risicogebaseerde beveiliging
Maatregelen moeten passen bij het risico voor betrokkenen; testen bepaalt of uw maatregelen in de praktijk passend zijn
Verantwoording (artikel 5)
U moet naleving kunnen aantonen; gedocumenteerd penetratietesten is concreet bewijs van verantwoording
De Autoriteit Persoonsgegevens verwacht dat organisaties die veel persoonsgegevens verwerken hun beveiliging regelmatig testen. Een recent penetratietest-rapport is direct bewijs dat u voldoet aan de testverplichting van artikel 32.
Waarom een penetratietest voldoet aan artikel 32
Artikel 32 noemt geen specifieke test, maar een penetratietest is de methode die de verplichting tot regelmatig testen het best onderbouwt:
Het test doeltreffendheid, niet alleen aanwezigheid
Artikel 32(1)(d) vraagt u de doeltreffendheid van uw maatregelen te evalueren. Een penetratietest doet precies dat: het probeert uw maatregelen te doorbreken en laat zien of ze standhouden, in plaats van alleen te bevestigen dat een maatregel op papier bestaat.
Het sluit aan op de gegevens die u beschermt
De test wordt afgebakend op de applicaties en systemen die persoonsgegevens verwerken, zodat bevindingen direct verband houden met het risico voor betrokkenen dat de AVG beoogt te verkleinen.
Het levert verantwoordingsbewijs op
Een gestructureerd rapport, met bevindingen en herstel, is het soort gedocumenteerd bewijs dat verantwoording aantoont richting de Autoriteit Persoonsgegevens, zeker na een datalek.
Wie valt binnen de reikwijdte
Elke verwerker van EU-persoonsgegevens
De AVG geldt ongeacht waar u gevestigd bent als u persoonsgegevens verwerkt van personen in de Europese Unie, dus ook veel internationale bedrijven vallen eronder.
Verantwoordelijken en verwerkers
Zowel de organisatie die bepaalt hoe gegevens worden gebruikt als elke leverancier die ze namens hen verwerkt, moet voldoen aan de beveiligingsverplichtingen van artikel 32.
De testcadans
Regelmatig testen dat past bij het risico, wat de meeste organisaties invullen met een jaarlijkse penetratietest plus testen na significante wijzigingen.
Bewijs en de toezichthouder
Testresultaten en herstelregistraties ondersteunen verantwoording en zijn nuttig in elk contact met de Autoriteit Persoonsgegevens.
Hoe Budget Security u helpt te voldoen aan de AVG
Budget Security levert penetratietesten die zijn afgebakend op de systemen die persoonsgegevens verwerken en die uw verplichtingen onder artikel 32 onderbouwen. Via ons platform bepaalt u de scope en start u opdrachten op uw eigen tijdlijn, vanaf 849 euro per testdag.
Scope op systemen met persoonsgegevens
Bepaal welke applicaties, netwerken en API's persoonsgegevens verwerken, zodat de test precies dekt waar artikel 32 van de AVG om draait.
Testen door gekwalificeerde engineers
Onze testers beschikken over erkende offensieve beveiligingscertificeringen (OSCP, OSWE) en volgen OWASP-, PTES- en NIST SP 800-115-methodologieën.
Rapportage klaar voor verantwoording
Rapporten documenteren bevindingen met CVSS v3.1-scores, bewijs van exploitatie en herstelaanbevelingen, het soort bewijs dat de Autoriteit Persoonsgegevens verwacht.
Herstelopvolging en hertesten
Volg herstel via ons kwetsbaarheidsdashboard en hertest daarna om te bevestigen dat problemen zijn opgelost en de doeltreffendheid aan te tonen.
Vraag uw AVG pentest-offerte aan
Zie precies wat uw AVG-conforme penetratietest zou kosten. Opdrachten worden afgebakend op uw systemen met persoonsgegevens en leveren het verantwoordingsbewijs dat artikel 32 verwacht.