AVG artikel 32 en visuele beveiliging op de werkplek: wat verwacht de wet?

Wat zegt AVG artikel 32 precies?

Artikel 32 van de Algemene Verordening Gegevensbescherming (AVG) verplicht verwerkingsverantwoordelijken en verwerkers om “passende technische en organisatorische maatregelen” te treffen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico. De wet noemt expliciet: pseudonimisering, versleuteling en het waarborgen van de vertrouwelijkheid van verwerkingssystemen.

De formulering “technische en organisatorische maatregelen” is bewust breed gehouden. De AVG schrijft geen vaste lijst van maatregelen voor. Van organisaties wordt verwacht dat zij een risicoafweging maken: welke informatie verwerken wij, welk risico loopt die informatie, en welke maatregelen zijn passend?

Visuele afscherming van schermen valt rechtstreeks binnen deze definitie. Persoonsgegevens die zichtbaar zijn op een beeldscherm in een kantoor, trein of openbare ruimte zijn blootgesteld aan een concreet risico: ze kunnen worden ingezien door onbevoegden. Dat risico is meetbaar: het Ponemon Institute voerde in 2015 en 2016 experimenten uit waarbij een undercover-onderzoeker in kantooromgevingen gevoelige informatie wist te bemachtigen via visuele hacking. Bij 91% van de pogingen was dat succesvol — in 52% van de gevallen rechtstreeks van computerschermen. In bijna de helft van de gevallen kostte het minder dan 15 minuten. Regelmatig zien we op LinkedIn berichten voorbij komen van mensen die kunnen meekijken op een scherm van iemand die in de trein aan het werken is. 

Wat is de BIO en wat schrijft die voor?

De Baseline Informatiebeveiliging Overheid (BIO) is het verplichte normenkader voor informatiebeveiliging bij alle Nederlandse overheidslagen: Rijk, gemeenten, provincies en waterschappen. De BIO2 — de meest recente versie, gepubliceerd op 5 maart 2026 — is gebaseerd op de internationale normen ISO/IEC 27001:2023 en ISO/IEC 27002:2022.

De BIO is verplicht voor alle overheidsorganisaties. Gemeenten, ministeries, uitvoeringsorganisaties, waterschappen en provincies moeten voldoen aan de BIO-eisen en dat aantoonbaar maken via de ENSIA-verantwoording.

Wat schrijft ISO 27002:2022 voor over schermbeveiliging?

ISO 27002:2022 — de internationale standaard voor informatiebeveiliging waarop de BIO is gebaseerd — bevat in maatregel 7.7 een expliciete eis over clear desk en clear screen:

“Clear desk voor papieren documenten en verwijderbare opslagmedia en clear screen-beleid voor informatieverwerkende faciliteiten dient vastgesteld en afgedwongen te worden.”

Belangrijk: de formulering is aangescherpt ten opzichte van de vorige versie van de norm. Waar de oude norm vroeg om het instellen van een beleid, eist ISO 27002:2022 nu ook dat het beleid afgedwongen wordt. Een auditor vraagt niet alleen of het beleid bestaat, maar ook hoe de naleving wordt gecontroleerd en gehandhaafd.

Een privacy filter is een technische maatregel die het clear screen-principe direct en aantoonbaar implementeert: zelfs als een medewerker vergeet zijn scherm te vergrendelen, kunnen voorbijgangers de scherminhoud niet aflezen.

Wat is het verschil tussen een technische en een organisatorische maatregel?

De AVG onderscheidt twee soorten maatregelen:

Technische maatregelen zijn ingebouwd in systemen of apparatuur en werken ongeacht het gedrag van de medewerker. Voorbeelden: versleuteling, automatische schermvergrendeling, privacy filters op schermen.

Organisatorische maatregelen steunen op beleid, training en bewustzijn. Voorbeelden: clean desk-beleid, instructies aan medewerkers, toegangsbeveiliging met badge.

Organisatorische maatregelen alleen zijn kwetsbaar voor menselijke fouten. Een medewerker die zijn scherm niet vergrendelt bij een korte pauze, of die in een open kantoor met zijn rug naar de gang zit, vormt een risico — ook al is het beleid op papier goed geregeld. Technische maatregelen zoals een privacy filter zijn passief en werken altijd, zonder dat de medewerker actief iets hoeft te doen. Voor een auditor of toezichthouder is een technische maatregel dan ook aantoonbaar sterker dan alleen een organisatorische maatregel.

Voor welke organisaties is dit het meest relevant?

In principe voor elke organisatie die persoonsgegevens verwerkt op een werkplek waar anderen kunnen meekijken. In de praktijk zijn de risico’s het hoogst bij:

• Overheid en publieke sector: gemeentebalies, publieksafdelingen, BSN-verwerking, sociale dienst, politie, rechtbanken.
• Zorginstellingen: medische dossiers, EPD’s, apotheken, ziekenhuizen, huisartsenpraktijken.
• Financiële dienstverlening: banken, accountants, belastingadviseurs, notarissen.
• HR-afdelingen: salarisadministratie, arbeidscontracten, personeelsdossiers.
• Advocaten en juridische dienstverleners: cliëntdossiers, geprivilegieerde documenten.
• Open kantooromgevingen: flexwerkplekken, hot desks, co-working spaces.

Praktische implementatie: wat betekent dit voor uw organisatie?

Een privacy filter is een laagdrempelige, kosteneffectieve technische maatregel die u direct kunt inzetten als onderdeel van uw AVG- en BIO-compliance. Relevante overwegingen:

• Risicoafweging: Welke werkplekken verwerken zichtbare persoonsgegevens? Balies, open kantoortafels en vergaderruimtes hebben een ander risicoprofiel dan afgesloten kantoren.
• Aantoonbaarheid: Een privacy filter is een fysiek aantoonbare maatregel. U kunt de aanschaf documenteren als onderdeel van uw verwerkingsregister of ISMS-maatregelenlijst.
• Combinatie met beleid: Een privacy filter vervangt een clear screen-beleid niet, maar versterkt het. Samen zorgen ze voor meerdere verdedigingslagen (defense in depth).

Privacy-filter.nl levert filters voor alle gangbare laptop- en monitorformaten, met bestelling op factuur voor overheid en zakelijke klanten. Bekijk het zakelijke aanbod of de specifieke informatie voor overheid en publieke sector.

Meer lezen? Zie ook: Wat is shoulder surfing en hoe voorkom je het op kantoor? en het volledige laptop-filteroverzicht.