Hoe verhouden DORA en de AVG zich tot elkaar?
DORA en de AVG zijn twee verschillende Europese regelgevingen die elkaar op belangrijke punten raken. DORA richt zich op de digitale operationele weerbaarheid van financiële instellingen, terwijl de AVG de bescherming van persoonsgegevens waarborgt. Organisaties die onder beide kaders vallen, moeten hun compliance-inspanningen slim combineren om dubbel werk te voorkomen en synergie te creëren bij incidentmelding, risicobeheer en beveiligingsmaatregelen.
Wat is het verschil tussen DORA en de AVG?
DORA en de AVG hebben fundamenteel verschillende doelstellingen. De Digital Operational Resilience Act (DORA) is specifiek gericht op de financiële sector en stelt eisen aan de digitale operationele veerkracht van banken, verzekeraars, beleggingsondernemingen en hun kritieke IT-dienstverleners. De AVG daarentegen geldt voor alle organisaties die persoonsgegevens verwerken, ongeacht de sector.
De reikwijdte verschilt aanzienlijk. DORA is van toepassing op diverse financiële instellingen in de EU, waaronder banken, verzekeraars, herverzekeraars, beleggingsfondsen, betaaldienstverleners en elektronischegeldinstellingen. Ook kritieke derde dienstverleners, zoals cloudcomputingproviders, softwareleveranciers en datacentra, vallen onder DORA wanneer zij diensten verlenen aan financiële instellingen. De AVG geldt breder voor elke organisatie die persoonsgegevens van EU-burgers verwerkt.
Ook de toezichthouders verschillen. Voor DORA zijn dit de financiële toezichthouders, zoals DNB en de AFM, terwijl de Autoriteit Persoonsgegevens toezicht houdt op naleving van de AVG. Deze verschillende toezichtstructuren vragen om een doordachte governanceaanpak binnen organisaties.
Waar overlappen DORA en de AVG elkaar?
Ondanks hun verschillende focus delen DORA en de AVG belangrijke raakvlakken. Beide regelgevingen stellen eisen aan incidentmelding, risicobeheer, beveiligingsmaatregelen en documentatieverplichtingen. Deze overlap biedt kansen voor een geïntegreerde aanpak.
De gemeenschappelijke elementen omvatten:
- Risicobeheer: beide kaders vereisen een systematische aanpak van risico-identificatie en risicobeheersing
- Beveiligingsmaatregelen: technische en organisatorische maatregelen om systemen en gegevens te beschermen
- Incidentrespons: procedures voor detectie, melding en afhandeling van beveiligingsincidenten
- Documentatie: aantoonbaarheid van genomen maatregelen en gemaakte keuzes
- Derdenbeheer: eisen aan de beheersing van risico’s bij uitbesteding aan externe partijen
Organisaties die beide compliance-trajecten slim combineren, voorkomen dubbel werk. Een geïntegreerd risicobeheerkader dat zowel ICT-risico’s als privacyrisico’s adresseert, bespaart tijd en middelen, terwijl de effectiviteit toeneemt.
Hoe beïnvloedt DORA de verwerking van persoonsgegevens?
DORA-vereisten hebben directe impact op gegevensverwerkingsactiviteiten binnen financiële instellingen. Het ICT-risicobeheer onder DORA omvat namelijk ook de bescherming van klantgegevens tegen digitale dreigingen. Dit raakt rechtstreeks aan AVG-verplichtingen rondom gegevensbescherming.
De zes hoofdvereisten van DORA hebben elk raakvlakken met de AVG. Governance vereist het inrichten van een IT-risicobeheerkader om digitale dreigingen te beheersen én klantgegevens te beschermen. ICT-risicobeheer omvat regelmatige risicobeoordelingen om systemen en data veilig te houden, wat direct bijdraagt aan de AVG-verplichting om passende beveiligingsmaatregelen te treffen.
Het derdenbeheer onder DORA is bijzonder relevant voor de AVG. Financiële instellingen moeten strikt beheer voeren over hun IT-dienstverleners, contractuele afspraken maken die digitale weerbaarheid waarborgen en toezicht houden op prestaties. Deze eisen sluiten aan bij de AVG-verplichting om verwerkersovereenkomsten af te sluiten en de naleving door verwerkers te controleren.
Welke incidentmeldingsverplichtingen gelden onder DORA én de AVG?
Beide regelgevingen kennen meldingsverplichtingen bij incidenten, maar de criteria, termijnen en ontvangende autoriteiten verschillen. Een goed begrip van deze verschillen is essentieel voor een effectief incidentresponsproces.
Onder de AVG moet een datalek binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens wanneer er een risico is voor de rechten en vrijheden van betrokkenen. Bij een hoog risico moeten ook de betrokkenen zelf worden geïnformeerd.
Onder DORA gelden meldingsverplichtingen voor ernstige ICT-gerelateerde incidenten aan de financiële toezichthouder. De criteria richten zich op de impact op de financiële dienstverlening en de operationele continuïteit.
Een cyberaanval waarbij persoonsgegevens worden gestolen, kan dus leiden tot meldingen aan zowel de AP als de financiële toezichthouder. Een geïntegreerd incidentmeldingsproces zorgt ervoor dat beide meldingen tijdig en volledig plaatsvinden. Praktische tips hiervoor zijn:
- stel één centraal incidentresponsteam samen dat beide kaders kent
- ontwikkel beslisbomen die bepalen welke meldingen nodig zijn
- leg templates klaar voor beide typen meldingen
- oefen regelmatig met scenario’s die beide regelgevingen raken
Hoe zorg je voor gecombineerde compliance met DORA en de AVG?
Een geïntegreerde compliance-strategie voorkomt dubbel werk en creëert synergie. Dit vraagt om een doordachte aanpak van governance-structuren, beleidsdocumentatie, risicobeoordeling en interne controles.
Governance-structuur: wijs duidelijke verantwoordelijkheden toe voor zowel DORA- als AVG-compliance. DORA is primair een governance- en organisatievraagstuk, niet alleen een IT-thema. Bestuurlijke verantwoordelijkheid en een goed ingerichte second line zijn cruciaal. Overweeg hoe de Functionaris Gegevensbescherming en de IT Security Officer kunnen samenwerken.
Beleidsdocumentatie: ontwikkel beleid dat beide kaders adresseert. Een informatieveiligheidsbeleid kan zowel DORA-vereisten als AVG-beveiligingseisen dekken. DORA vraagt om aantoonbaarheid, niet alleen beleid. Zorg dat u kunt laten zien dat u in control bent.
Risicobeoordeling: voer een gecombineerde risicobeoordeling uit die zowel ICT-risico’s als privacyrisico’s identificeert. Een nulmeting is een logisch startpunt om vast te stellen in hoeverre DORA daadwerkelijk is geïmplementeerd en hoe het staat met de AVG-compliance.
Interne controles: richt controles in die beide regelgevingen ondersteunen. Assurance, bijvoorbeeld via een ISAE 3000-verklaring, kan een manier zijn om naleving aantoonbaar te maken naar toezichthouders en stakeholders.
Wat zijn de gevolgen van non-compliance met DORA en de AVG?
Niet-naleving van DORA of de AVG kan leiden tot aanzienlijke sancties, reputatieschade en operationele risico’s. De handhavingsmechanismen van beide regelgevingen zijn serieus te nemen.
De AVG kent boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Daarnaast kunnen betrokkenen schadevergoeding eisen en kan de AP verwerkingsverboden opleggen.
Onder DORA kunnen financiële toezichthouders eveneens substantiële boetes opleggen en aanvullende maatregelen treffen. De reputatieschade bij een ernstig ICT-incident kan het vertrouwen van klanten in financiële diensten ondermijnen.
Toezichthouders werken steeds vaker samen bij handhaving. Een datalek dat voortkomt uit gebrekkige ICT-beveiliging kan zowel de aandacht trekken van de Autoriteit Persoonsgegevens als van DNB of de AFM. Deze samenwerking vergroot het belang van een geïntegreerde compliance-aanpak.
DORA raakt organisaties vaak indirect via ketens, moedermaatschappijen of dienstverlening. Dit leidt regelmatig tot twijfel over de scope en de vraag of DORA van toepassing is. Een grondige analyse van de eigen positie in de financiële keten is daarom aan te raden.
Hoe helpt Hoek en Blok IT bij DORA- en AVG-compliance?
Hoek en Blok IT ondersteunt organisaties bij het ontwikkelen van een geïntegreerde aanpak voor DORA- en AVG-compliance. De combinatie van IT-auditexpertise en praktische beveiligingskennis zorgt voor pragmatische oplossingen die aantoonbaar werken.
De dienstverlening omvat:
- Gap-analyses: grondige nulmeting van de huidige DORA- en AVG-compliancestatus
- IT-audits: onafhankelijke beoordeling van ICT-risicobeheerkaders en beveiligingsmaatregelen
- Implementatiebegeleiding: praktische ondersteuning bij het opzetten van geïntegreerde compliance-structuren
- IT Security Officer as a Service: flexibele inzet van expertise voor organisaties zonder eigen security officer
- Assuranceverklaringen: ondersteuning bij ISAE 3000-trajecten om naleving aantoonbaar te maken
Wilt u weten hoe uw organisatie ervoor staat ten opzichte van DORA en de AVG? Neem contact op voor een vrijblijvend gesprek over de mogelijkheden voor een gecombineerde compliance-aanpak.




