AVG & NIS2 in 2025: Hoe Microsoft 365 jouw organisatie helpt veilig en toekomstbestendig te blijven

Blogs

27 februari 2025

Leestijd: 7 minuten leestijd

Blog

De AVG is inmiddels geen nieuws meer, maar het blijft een aandachtspunt. Waar het bij de introductie van de AVG in 2018 nog ging om de basis op orde krijgen, draait het in 2025 om slimme beveiliging, AI-verantwoordelijkheid en datalokalisatie. De Autoriteit Persoonsgegevens (AP) voert striktere controles uit, boetes worden sneller uitgedeeld en AI-toepassingen zoals Microsoft Copilot brengen nieuwe uitdagingen met zich mee. Daarnaast stelt de NIS2-richtlijn strengere eisen aan cybersecurity en risicomanagement, waardoor organisaties hun beveiliging verder moeten aanscherpen.

Microsoft 365 biedt de tools om compliant te blijven, maar die werken alleen als ze goed zijn ingesteld. In deze blog lees je wat er verandert, waar de risico’s liggen en hoe je jouw Microsoft 365-omgeving AVG- én NIS2-proof houdt.

De belangrijkste AVG- en NIS2-ontwikkelingen voor Microsoft 365-gebruikers 

Strengere controles en snellere boetes 

De AP richt zich dit jaar meer op cloudbeveiliging, AI-gebruik en datalokalisatie. Bedrijven die persoonsgegevens verwerken in Microsoft 365 moeten kunnen aantonen dat ze voldoen aan de AVG én, waar van toepassing, aan de nieuwe eisen van NIS2. Slecht ingestelde toegang of onvoldoende beveiliging? Dat wordt sneller bestraft. 

Toezichthouders letten vooral op: 

  • Toegangsbeheer en beveiliging. MFA, voorwaardelijke toegang en auditlogs moeten kloppen.
  • Gebruik van AI zoals Microsoft Copilot. Hoe worden persoonsgegevens verwerkt en geanalyseerd? 
  • Datalokalisatie en encryptie. Worden gegevens binnen de EU opgeslagen en voldoende beschermd? 
  • AI en Microsoft Copilot: nieuwe AVG- en NIS2-uitdagingen

Microsoft 365 wordt steeds slimmer met Copilot, dat e-mails samenvat, documenten doorzoekt en suggesties doet. Maar waar worden die gegevens verwerkt en hoe zit het met privacy?
Organisaties moeten vastleggen hoe AI-persoonsgegevens verwerkt en ervoor zorgen dat Copilot alleen toegang heeft tot noodzakelijke data. Binnen NIS2 geldt daarnaast dat bedrijven moeten kunnen aantonen dat hun IT-beveiliging en risicomanagement robuust genoeg zijn om geautomatiseerde bedreigingen te detecteren en te beperken. 

Datalokalisatie en encryptie: strengere regels 

Microsoft heeft begin 2025 de EU Data Boundary geïntroduceerd. Hierdoor kunnen organisaties beter controleren waar hun data wordt opgeslagen en verwerkt. Dit is niet alleen belangrijk voor AVG-compliance, maar ook voor bedrijven die onder NIS2 vallen en verplicht zijn om hun IT-omgeving beter te beveiligen.  Het is belangrijk om in Microsoft 365 Admin Center te controleren of data binnen Europese datacenters wordt verwerkt. Encryptie blijft essentieel om gevoelige informatie te beveiligen, zowel bij opslag als bij verzending. 

AVG- en NIS2-compliant blijven met Microsoft 365: de juiste tools 

Microsoft Purview: grip op je data 

Microsoft Purview is het compliance-platform binnen Microsoft 365. Het biedt functies zoals Data Loss Prevention (DLP) om datalekken te voorkomen, Information Protection voor het versleutelen en labelen van gevoelige documenten en Compliance Manager om je naleving te monitoren.

Zero Trust: beveiliging als standaard

Een sterke beveiligingsaanpak is verplicht voor zowel AVG- als NIS2-compliance. Microsoft 365 werkt met Zero Trust, oftewel: niemand krijgt automatisch toegang.
Dit betekent dat multifactor-authenticatie (MFA) voor alle accounts aan moet staan, toegang beperkt moet worden op basis van locatie en apparaat, en verdachte inlogpogingen automatisch moeten worden geblokkeerd met Identity Protection. 

Meer weten over hoe je Zero Trust effectief implementeert? Bekijk onze Security-oplossingen. 

E-mailversleuteling en privacybeheer 

Veel datalekken ontstaan door verkeerd verstuurde e-mails. Microsoft 365 heeft standaard e-mailversleuteling ingebouwd. Dit voorkomt dat gevoelige informatie in verkeerde handen komt.
Daarnaast helpt Advanced eDiscovery bij het vinden en beheren van persoonsgegevens, bijvoorbeeld bij AVG-verzoeken. Onder NIS2 is een snelle detectie en reactie op beveiligingsincidenten vereist, wat deze functies nog relevanter maakt. 

Wat moet je nu doen? 

Om zowel AVG- als NIS2-proof te blijven in 2025 is een technische én organisatorische aanpak nodig. Dit betekent dat Microsoft Purview correct moet zijn ingesteld voor dataclassificatie, encryptie en DLP. Beveiligingsinstellingen zoals MFA en voorwaardelijke toegang moeten up-to-date zijn en AI-gebruik, zoals Microsoft Copilot, moet goed worden gedocumenteerd.
Daarnaast wordt het steeds belangrijker om de datalocatie-instellingen te controleren en te voldoen aan de strengere EU-opslagregels. Privacytrainingen en bewustwording onder medewerkers zijn niet langer optioneel, maar een essentieel onderdeel van zowel AVG- als NIS2-compliance. 

Hoe MostWare helpt

Veel organisaties denken dat hun Microsoft 365-omgeving AVG-proof is, maar uit onze controles blijkt vaak dat essentiële securitymaatregelen niet goed zijn ingesteld. Bij MostWare is security geen losse dienst, maar een vast onderdeel van onze Technisch Succes Partnership (TSP)-dienstverlening en verankerd in de MITS. Met de MITS zorgen we ervoor dat Microsoft 365 voldoet aan de juiste security- en compliance-standaarden, zoals ISO27001, CIS Benchmarks en Microsoft-best practices. De security-aanpak binnen MITS is niet alleen gericht op de AVG, maar houdt ook rekening met aanscherpingen in wet- en regelgeving zoals NIS2.

Wat doen we concreet? 

  • Identity Protection & Toegangsbeheer – Correcte implementatie van MFA en Conditional Access binnen de MITS. 
  • Datakwaliteit & Encryptie – Beheer van dataclassificatie en bescherming van gevoelige data in Microsoft 365. 
  • Security Awareness & Phishingtests – Structurele training en periodieke phishingtests voor medewerkers. 
  • Continue monitoring en verbetering – Vulnerability scans, security-analyses en roadmap-aanpassingen binnen de MITS-strategie. 

Omdat security een vast onderdeel is van de MITS, wordt je IT-omgeving doorlopend geëvalueerd en verbeterd. Daarnaast kunnen we helpen om inzicht te krijgen in de impact van nieuwe regelgeving zoals NIS2, door security en compliance structureel te benaderen.

Wil je weten hoe je organisatie ervoor staat? Neem contact met ons op voor een securityscan en een concreet stappenplan. 

Ontgrendel groei. Haal IT vanuit de schaduw in de spotlights

Blogs
Lees verder

Geef je groei een boost met persoonlijke aandacht in IT

Blogs
Lees verder
Geef je groei een boost met persoonlijke aandacht in IT

IT-transformatie draait om mensen, niet om techniek

Technisch Succes
Lees verder
IT-transformatie draait om mensen, niet om techniek

Benieuwd wat wij voor jou kunnen regelen?

Dit is Dennis, hij adviseert je graag. Neem vrijblijvend contact op!
Dennis

Kom met ons in contact

Op ons algemene nummer
+31 (0)71 579 10 10
Of direct naar de helpdesk
+31 (0)71 579 10 15

Supportvraag? Maak een ticket aan of bekijk de status van je ticket op onze portal mijnmostware.nl

Contactformulier Ik wil jullie bezoeken

Dennis Schellekens

Brand Manager