Waarom een goede back-up onmisbaar is onder AVG en NIS2

Met de komst van de AVG werden organisaties al verplicht om hun digitale weerbaarheid aantoonbaar op orde te hebben. Nu dat de NIS2-richtlijn eraan komt, worden de leidinggevenden ook hoofdelijk aansprakelijk voor dataverlies. Back-ups spelen daarin een cruciale rol: ze moeten betrouwbaar, getest en snel herstelbaar zijn, omdat continuïteit én beveiliging zwaarder worden meegewogen dan ooit.

Steeds meer bedrijven vertrouwen voor hun dagelijkse werkzaamheden volledig op de cloud. Dat is logisch: diensten zoals Microsoft 365, cloudopslag en SaaS-applicaties maken samenwerken eenvoudig, veilig en schaalbaar. Maar er is één misvatting die in 2026 gevaarlijker is dan ooit: Cloudopslag is géén back-up.
En onder AVG en NIS2 kan dat grote gevolgen hebben.

NIS2: strengere regels, hogere boetes, meer verantwoordelijkheid
De nieuwe Europese NIS2‑richtlijn scherpt de cyberbeveiligingseisen aanzienlijk aan. Organisaties die ‘essentieel’ of ‘belangrijk’ zijn, moeten kunnen aantonen dat zij continuïteit kunnen waarborgen, robuuste back-up- en herstelstrategieën hebben, incidenten binnen 24 uur kunnen melden, en dat hun directie verantwoordelijkheid neemt voor digitale risico’s.
In de praktijk betekent dit: zonder aantoonbaar goede back-ups ben je niet NIS2‑proof.

Ook de AVG verbiedt dataverlies: dataverlies = datalek
Naast NIS2 legt ook de AVG duidelijke verplichtingen op rondom het voorkomen van dataverlies. De AVG omschrijft een datalek namelijk als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging of het verlies van verwerkte gegevens”. Dat betekent dat élke situatie waarin persoonsgegevens verloren gaan (door ransomware, menselijke fouten, corrupte opslag of simpelweg het ontbreken van een goede back‑up), automatisch als datalek wordt beschouwd.

Ook onder de AVG zijn organisaties verplicht om passende technische en organisatorische maatregelen te nemen om dataverlies te voorkomen. Wanneer gegevens wél verloren gaan en dit gevolgen kan hebben voor betrokkenen, geldt bovendien een meldplicht bij de Autoriteit Persoonsgegevens. Daarmee sluit de AVG naadloos aan op de verplichtingen uit NIS2: waar NIS2 inzet op digitale weerbaarheid en continuïteit, verplicht de AVG dat persoonsgegevens nooit zomaar verloren mogen gaan.

Microsoft 365: wél beschikbaarheid, géén back-up
Veel organisaties denken dat hun cloudprovider automatisch zorgt voor volledige bescherming. Maar dat is helaas niet zo.
Microsoft 365 is fantastisch voor productiviteit, maar biedt géén volledige back-upfunctionaliteit. Microsoft zorgt voor uptime en platformstabiliteit, maar:

• geen lange-termijn back-ups,
• beperkte herstelmogelijkheden,
• geen beschermde offsite kopieën,
• geen bescherming tegen ransomware in je tenant,
• geen herstel van oude versies buiten retentieperioden.

Microsoft zegt het zelf: de klant is verantwoordelijk voor zijn eigen data. Dat betekent dat áls je gegevens worden verwijderd (per ongeluk, door ransomware, of door een interne fout) Microsoft deze niet voor je terug kan halen.

Voor CASE‑klanten betekent dit heel concreet: voor Microsoft 365 moet altijd een aparte back-updienst worden ingericht.

Conclusie: back-up is de laatste verdedigingslijn
De cloud biedt enorme voordelen, maar ook nieuwe afhankelijkheden en risico’s. NIS2 dwingt organisaties om deze risico’s serieus te nemen. Een dataverliesincident van vorig jaar toont pijnlijk aan wat er kan gebeuren als back-ups ontbreken of uitsluitend bij dezelfde leverancier staan: klik hier om meer te lezen over dit incident

Met een robuuste, onafhankelijke back-upoplossing voorkom je dataverlies, bedrijfsonderbreking, reputatieschade, juridische problemen en boetes en afhankelijkheid van één enkele partij.

Back-up is geen kostenpost. Het is je digitale verzekering.
Meer weten? We helpen je graag, neem contact met ons op!