Cybersecurity

AVG cybersecurity audit: hoe u uw KMO voorbereidt op een GBA-controle

Gepubliceerd op
#cybersecurity #avg #audit #compliance #gba

De Belgische Gegevensbeschermingsautoriteit (GBA) heeft haar controleactiviteit de afgelopen jaren aanzienlijk opgevoerd. KMO’s zijn niet langer gevrijwaard: meerdere recente onderzoeken betroffen bedrijven met minder dan 50 medewerkers, met boetes die kunnen oplopen tot tienduizenden euro’s voor technische tekortkomingen die als vermijdbaar worden beschouwd.

Het goede nieuws: de meeste lacunes die bij GBA-controles worden vastgesteld, zijn identificeerbaar — en corrigeerbaar — voordat een incident zich voordoet. Een gestructureerde cybersecurity audit is uw eerste verdedigingsmiddel.

Wat de GBA werkelijk controleert

In tegenstelling tot een wijdverbreide misvatting richt de GBA zich niet uitsluitend op privacyverklaringen en toestemmingsformulieren. De technische controles omvatten onder meer:

  • Toegangsbeheer: wie heeft toegang tot welke gegevens, met welke rechten, en is dit gedocumenteerd?
  • Versleuteling: zijn persoonsgegevens versleuteld in rust en in transit?
  • Traceerbaarheid: beschikt u over logs waarmee u kunt nagaan wie wanneer wat heeft geraadpleegd?
  • Onderaannemersbeheer: hebt u DPA’s (Data Processing Agreements) ondertekend met al uw dienstverleners die gegevens voor uw rekening verwerken?
  • Procedure bij datalekken: bent u in staat de GBA binnen 72 uur na detectie van een incident te verwittigen?

Deze vereisten zijn rechtstreeks afgeleid van artikel 32 van de AVG, dat “passende technische en organisatorische maatregelen” oplegt — een bewust vage formulering die ruimte voor interpretatie laat, maar steunt op erkende standaarden als ISO 27001 en CIS Controls.

De vijf meest voorkomende lacunes in Belgische KMO’s

1. Wachtwoord- en authenticatiebeheer

De meerderheid van de KMO’s die wij auditen, gebruikt nog steeds gedeelde wachtwoorden voor kritieke toegangen (servers, bedrijfsapplicaties, beheeraccounts voor e-mail). De afwezigheid van MFA (multifactorauthenticatie) op externe toegangen is de meest beboete tekortkoming.

Prioritaire correctie: MFA uitrollen op Microsoft 365 / Azure AD, VPN, en alle RDP- of SSH-toegangen die aan het internet zijn blootgesteld.

2. Afwezigheid van netwerksegmentatie

Delen uw productieservers, werkstations en IoT-apparaten (printers, camera’s, toegangscontrolesystemen) hetzelfde netwerksegment? Een gecompromitteerde printer kan dienen als ingangspunt naar uw dataservers. VLAN-segmentatie is een basismaatregel die bij meer dan 60 % van de KMO’s die wij evalueren ontbreekt.

3. Niet-geteste back-ups

Back-ups hebben is noodzakelijk maar onvoldoende. De GBA en cyberverzekeraars eisen regelmatige, gedocumenteerde hersteltesten. Wij stellen regelmatig vast dat back-ups al weken stilzwijgend falen, en pas ontdekt worden bij een echt incident.

4. Onbestaande inventaris van persoonsgegevens

U kunt niet beschermen wat u niet weet dat u verwerkt. Het verwerkingsregister (artikel 30 AVG) is verplicht voor elke organisatie met meer dan 250 medewerkers, maar sterk aanbevolen voor alle KMO’s. Het moet dekken: welke gegevens, voor welk doeleinde, met welke bewaartermijn, welke ontvangers.

5. Afwezigheid van een incidentresponsprocedure

Bij ransomware of een datalek, wie in uw organisatie is verantwoordelijk voor wat? Wat zijn de noodcontacten? Wat is de procedure om de GBA te verwittigen? Zonder gedocumenteerd proces wordt de reactietijd met drie vermenigvuldigd en verergeren communicatiefouten de impact.

Hoe u uw interne audit structureert

Een KMO-cybersecurity audit verloopt in drie fases:

Fase 1: Inventarisatie (1 tot 2 dagen)

Cartografie van alle informatica-activa (servers, werkstations, applicaties, clouddiensten), identificatie van verwerkte persoonsgegevens, lijst van onderaannemers met gegevenstoegang.

Fase 2: Risicobeoordeling (2 tot 3 dagen)

Per kritiek actief: evaluatie van de waarschijnlijkheid en de impact van een compromittering. Gebruik van een eenvoudige risicomatrix (waarschijnlijkheid x impact) om corrigerende acties te prioriteren.

Fase 3: Geprioriteerd remediatieplan

Lijst van corrigerende acties geclassificeerd op prioriteit (kritiek / hoog / gemiddeld), met inspannings- en kostenraming per maatregel. Dit document wordt uw cybersecurity-roadmap voor de komende 12 maanden.

De technische minimummaatregelen

Onafhankelijk van het resultaat van uw audit moeten bepaalde maatregelen aanwezig zijn in elke KMO die persoonsgegevens verwerkt:

  • MFA geactiveerd op alle Microsoft 365-accounts en externe toegangen
  • Schijfversleuteling op alle werkstations (BitLocker / FileVault)
  • 3-2-1 back-upbeleid: 3 kopieen, op 2 verschillende media, waarvan 1 offsite
  • Beveiligingsupdates toegepast binnen 30 dagen na publicatie
  • Antivirus/EDR gecentraliseerd uitgerold op alle endpoints
  • Inloggegevens minimaal 6 maanden bewaard

Deze maatregelen garanderen geen volledige AVG-conformiteit, maar vormen de basis die elke auditor of verzekeraar als de verwachte baseline zal beschouwen.

ITOPS.be: uw partner voor audit en remediatie

Wij voeren AVG-cybersecurity audits uit voor Belgische KMO’s van 20 tot 250 medewerkers. Onze aanpak combineert technische evaluatie (kwetsbaarheidsscan, gerichte penetratietesten, configuratie-analyse) en organisatorische evaluatie (beleid, procedures, teamtraining).

Na de audit beschikt u over een helder rapport met geprioriteerde en becijferde aanbevelingen — geen onbegrijpelijk document van 200 pagina’s, maar een realistisch actieplan aangepast aan de omvang en de middelen van uw organisatie.

Neem contact met ons op om uw situatie te bespreken en een offerte te ontvangen voor een audit op maat van uw sector en uw perimeter.

← Terug naar blog