Wat is encryptie en waarom is het belangrijk voor compliance?

Encryptie zet leesbare gegevens (platte tekst) om in onleesbare cijfertekst met behulp van wiskundige algoritmen en cryptografische sleutels. Het is belangrijk voor compliance omdat vrijwel elk beveiligingsframework — ISO 27001, SOC 2, NIS2, DORA en de AVG — encryptie als kernmaatregel vereist voor het beschermen van gevoelige gegevens at rest en in transit.

Wat is het verschil tussen symmetrische en asymmetrische encryptie?

Symmetrische encryptie gebruikt dezelfde sleutel voor versleuteling en ontsleuteling (bijv. AES-256), waardoor het snel en geschikt is voor grote hoeveelheden gegevens. Asymmetrische encryptie gebruikt een publiek-privaat sleutelpaar (bijv. RSA, ECC), waardoor het ideaal is voor sleuteluitwisseling, digitale handtekeningen en het opzetten van beveiligde kanalen. De meeste systemen combineren beide: asymmetrisch voor sleuteluitwisseling, symmetrisch voor gegevensversleuteling.

Welke encryptiestandaard moet u gebruiken?

Voor symmetrische encryptie is AES-256 de gouden standaard die door alle compliance-frameworks wordt geaccepteerd. Voor asymmetrische encryptie worden RSA-2048 of ECC P-256 aanbevolen als minimumnormen. Voor hashing zijn SHA-256 of SHA-3 de huidige best practice. Vermijd verouderde algoritmen zoals DES, 3DES, MD5 en SHA-1.

Wat is het verschil tussen encryptie at rest en in transit?

Encryptie at rest beschermt opgeslagen gegevens — databases, bestandssystemen, back-ups en archieven — met mechanismen zoals AES-256 volledige-schijfversleuteling of transparante gegevensversleuteling (TDE). Encryptie in transit beschermt gegevens die tussen systemen bewegen met TLS 1.2 of 1.3 voor netwerkverkeer. Beide worden door de meeste compliance-frameworks vereist.

Wat is sleutelbeheer en waarom is het cruciaal?

Sleutelbeheer omvat de volledige levenscyclus van cryptografische sleutels: generatie, distributie, opslag, rotatie en vernietiging. Slecht sleutelbeheer ondermijnt zelfs de sterkste encryptie. Sleutels moeten worden opgeslagen in hardware security modules (HSM's) of speciale sleutelbeheerdiensten, nooit naast de gegevens die ze beschermen.

Vereist de AVG encryptie?

AVG Artikel 32 noemt encryptie als een geschikte technische maatregel voor het beschermen van persoonsgegevens. Hoewel niet in alle gevallen strikt verplicht, is encryptie de sterkste verdediging bij een datalek — Artikel 34 stelt organisaties vrij van het informeren van betrokkenen als de gelekte gegevens versleuteld waren met sleutels die veilig zijn gebleven.

Wat is end-to-end-encryptie (E2EE)?

End-to-end-encryptie zorgt ervoor dat alleen de communicerende partijen de gegevens kunnen lezen. Zelfs de dienstverlener die de communicatie host, kan deze niet ontsleutelen. E2EE wordt gebruikt in messaging-apps, beveiligde bestandsdeling en zero-knowledge-architecturen. Het biedt de sterkste privacygarantie, maar bemoeilijkt server-side verwerking en zoeken.

Hoe vaak moeten encryptiesleutels worden geroteerd?

De rotatiefrequentie van sleutels hangt af van het sleuteltype en wettelijke vereisten. Best practice is om symmetrische gegevensversleutelingssleutels jaarlijks te roteren, TLS-certificaten elke 90 dagen (volgens CA/Browser Forum-richtlijnen) en onmiddellijk na een vermoedelijke compromittering. Geautomatiseerde sleutelrotatie via een KMS vermindert operationeel risico.

Encryptie: de complete gids voor compliance- en beveiligingsteams

Published 8 mrt 2026

By Emre Salmanoglu

Encryptie: de complete gids voor compliance- en beveiligingsteams

Leer hoe encryptie gegevens beschermt at rest, in transit en in gebruik. Behandelt AES, RSA, TLS, sleutelbeheer en compliance-eisen onder ISO 27001, SOC 2, NIS2, DORA en de AVG.

encryptie

gegevensbescherming

cryptografie

sleutelbeheer

compliance

Wat is encryptie?

Encryptie is het proces van het omzetten van leesbare gegevens (platte tekst) naar een onleesbaar formaat (cijfertekst) met behulp van een wiskundig algoritme en een cryptografische sleutel. Alleen geautoriseerde partijen met de juiste ontsleutelingssleutel kunnen het proces omkeren en toegang krijgen tot de oorspronkelijke gegevens.

Voor compliance- en beveiligingsteams is encryptie geen optie — het is een fundamentele maatregel die door vrijwel elk groot beveiligingsframework en -regelgeving wordt vereist.

Soorten encryptie

Symmetrisch vs. asymmetrisch

Eigenschap	Symmetrische encryptie	Asymmetrische encryptie
Sleutels	Eén gedeelde sleutel	Publiek-privaat sleutelpaar
Snelheid	Snel — geschikt voor grote hoeveelheden gegevens	Langzamer — gebruikt voor sleuteluitwisseling en handtekeningen
Gangbare algoritmen	AES-128, AES-256, ChaCha20	RSA-2048, RSA-4096, ECC P-256, Ed25519
Toepassingen	Database-encryptie, schijfversleuteling, bestandsversleuteling	TLS-handshake, digitale handtekeningen, PGP-e-mail
Sleuteldistributie-uitdaging	Sleutel moet veilig worden gedeeld	Publieke sleutel kan vrij worden verspreid
Compliancestandaard	AES-256 universeel geaccepteerd	RSA-2048 minimum voor de meeste frameworks

Hybride encryptie

Moderne systemen gebruiken hybride encryptie — asymmetrische encryptie om veilig een symmetrische sleutel uit te wisselen, en vervolgens symmetrische encryptie voor de daadwerkelijke gegevens. TLS (HTTPS) is het meest voorkomende voorbeeld: de TLS-handshake gebruikt RSA of ECC om een AES-sessiesleutel overeen te komen.

Encryptiestaten

Status	Wat het beschermt	Gangbare mechanismen	Compliance-eis
At rest	Opgeslagen gegevens — databases, bestanden, back-ups	AES-256, LUKS, BitLocker, TDE, cloud-KMS	ISO 27001 A.8.24, SOC 2 CC6.1, AVG Art. 32
In transit	Gegevens die tussen systemen bewegen	TLS 1.2/1.3, IPsec, SSH, SFTP	ISO 27001 A.8.24, SOC 2 CC6.7, NIS2 Art. 21
In gebruik	Gegevens die in het geheugen worden verwerkt	Confidential computing, Intel SGX, AMD SEV, homomorfe encryptie	Opkomend — nog niet breed verplicht

Encryptie at rest

Encryptie at rest beschermt gegevens die op schijf, in databases of in cloudopslag zijn opgeslagen. Belangrijkste benaderingen:

Benadering	Beschrijving	Beste voor
Volledige-schijfversleuteling (FDE)	Versleutelt het volledige opslagvolume	Laptops, werkstations, draagbare apparaten
Bestandsniveau-encryptie	Versleutelt individuele bestanden of mappen	Selectieve bescherming van gevoelige bestanden
Database-encryptie (TDE)	Transparante gegevensversleuteling op database-engine-niveau	Gestructureerde gegevens in SQL/NoSQL-databases
Cloudmanagedencryptie	Cloudprovider versleutelt opslag automatisch (AWS S3, Azure Blob)	Cloudnative workloads
Applicatieniveau-encryptie	Applicatie versleutelt gegevens vóór opslag	Maximale controle, veldniveau-bescherming

Encryptie in transit

Protocol	Versie	Status	Opmerkingen
TLS	1.3	Aanbevolen	Snelst, meest veilig, minder roundtrips
TLS	1.2	Acceptabel	Nog steeds breed gebruikt, configureer sterke cipher suites
TLS	1.0, 1.1	Verouderd	Moet worden uitgeschakeld — bekende kwetsbaarheden
SSL	Alle	Achterhaald	Nooit gebruiken — kritiek onveilig
IPsec	IKEv2	Aanbevolen	VPN- en netwerkniveau-encryptie
SSH	v2	Vereist	Beheer op afstand en bestandsoverdracht

Cryptografische algoritmen: wat te gebruiken en wat te vermijden

Categorie	Aanbevolen	Vermijden
Symmetrisch	AES-256-GCM, ChaCha20-Poly1305	DES, 3DES, RC4, Blowfish
Asymmetrisch	RSA-2048+, ECC P-256+, Ed25519	RSA-1024, DSA
Hashing	SHA-256, SHA-3, BLAKE2	MD5, SHA-1
Sleutelafleiding	Argon2, bcrypt, scrypt	PBKDF2 met lage iteraties, platte hashing
MAC's	HMAC-SHA256, Poly1305	HMAC-MD5

Selectiecriteria voor algoritmen

Acceptatie door regelgeving — AES-256 en RSA-2048 worden door alle grote frameworks geaccepteerd
Prestatievereisten — AES-GCM voor serverworkloads, ChaCha20 voor mobiel/IoT
Post-quantum-gereedheid — Monitor NIST PQC-standaarden (CRYSTALS-Kyber, CRYSTALS-Dilithium)
Sleutellengte — Minimaal 128-bit symmetrisch, 2048-bit RSA, 256-bit ECC

Sleutelbeheer

Encryptie is slechts zo sterk als uw sleutelbeheer. Een perfect versleutelde database is waardeloos als de sleutels in platte tekst ernaast staan opgeslagen.

Sleutellevenscyclus

Fase	Best practice	Veelgemaakte fout
Generatie	Gebruik cryptografisch veilige willekeurige nummergeneratoren (CSPRNG)	Voorspelbare seeds of zwakke RNG's gebruiken
Opslag	Opslaan in HSM, cloud-KMS of speciale kluis (HashiCorp Vault)	Sleutels opslaan in broncode, configuratiebestanden of omgevingsvariabelen
Distributie	Gebruik veilige sleuteluitwisselingsprotocollen (TLS, Diffie-Hellman)	Sleutels verzenden via e-mail of chat
Rotatie	Rotatie automatiseren op schema en na incidenten	Sleutels nooit roteren
Intrekking	Gecompromitteerde sleutels onmiddellijk intrekken	Vertraagde intrekking na een inbreuk
Vernietiging	Cryptografische wissing — alle kopieën veilig vernietigen	Oude sleutels toegankelijk laten

Sleutelbeheerdiensten

Dienst	Type	Beste voor
AWS KMS	Cloudmanaged	AWS-native workloads
Azure Key Vault	Cloudmanaged	Azure-native workloads
Google Cloud KMS	Cloudmanaged	GCP-native workloads
HashiCorp Vault	Zelfbeheerd / SaaS	Multi-cloud, secretsbeheer
Hardware Security Module (HSM)	Hardware	Hoogste zekerheid, wettelijke vereisten

Compliance-eisen

Framework-mapping

Vereiste	ISO 27001	SOC 2	AVG	NIS2	DORA
Encryptie at rest	A.8.24	CC6.1	Art. 32	Art. 21(2)(d)	Art. 9(2)
Encryptie in transit	A.8.24	CC6.7	Art. 32	Art. 21(2)(d)	Art. 9(2)
Sleutelbeheer	A.8.24	CC6.1	Art. 32	Art. 21(2)(d)	Art. 9(2)
Cryptografisch beleid	A.8.24	CC6.1	—	Art. 21(2)(h)	Art. 9(4)(c)
Algoritmestandaarden	A.8.24	CC6.1	Overweging 83	Art. 21(2)(h)	Art. 9(4)(c)
Incidentrespons bij sleutelcompromittering	A.5.26	CC7.3	Art. 33-34	Art. 23	Art. 19

AVG en encryptie

De AVG biedt een sterke prikkel om persoonsgegevens te versleutelen:

Artikel 32 — Noemt encryptie als een geschikte technische maatregel
Artikel 34-vrijstelling — Als gelekte gegevens versleuteld waren en sleutels veilig zijn gebleven, hoeft u betrokkenen mogelijk niet te informeren
Pseudonimisering — Encryptie ondersteunt de pseudonimiseringseisen van de AVG

Auditbewijs voor encryptie

Type bewijs	Beschrijving	Framework
Encryptiebeleiddocument	Goedgekeurd beleid met algoritmen, sleutellengten en beheer	ISO 27001, SOC 2
Sleutelbeheerprocedures	Gedocumenteerde levenscyclus voor generatie, rotatie en vernietiging	Alle frameworks
TLS-configuratiescans	SSL Labs of vergelijkbare scanresultaten die TLS 1.2+ tonen	SOC 2, NIS2
Bewijs van encryptie at rest	Cloudconsolescreenshots of configuratie-exports	Alle frameworks
Sleutelrotatielogs	Geautomatiseerde rotatieregistraties uit KMS	ISO 27001, SOC 2
Certificaatinventaris	Complete lijst van alle certificaten met vervaldatums	NIS2, DORA
Penetratietestresultaten	Testen van de effectiviteit van encryptie-implementatie	ISO 27001, NIS2
Inventaris van crypto-algoritmen	Lijst van alle gebruikte algoritmen met afschrijvingstermijn	DORA, NIS2

Veelgemaakte fouten

Fout	Risico	Oplossing
Encryptiesleutels naast versleutelde gegevens opslaan	Bij een inbreuk worden zowel gegevens als sleutels blootgesteld	Gebruik een externe KMS of HSM
Verouderde algoritmen gebruiken (MD5, SHA-1, DES)	Bekende kwetsbaarheden, auditbevindingen	Migreer naar minimaal AES-256, SHA-256
Back-ups niet versleutelen	Diefstal van back-ups stelt alle gegevens bloot	Pas hetzelfde encryptiebeleid toe op back-ups
Sleutels hardcoden in broncode	Sleutels lekken via versiebeheer	Gebruik secretsbeheer (Vault, KMS)
Geen sleutelrotatie	Langere blootstellingsperiode bij gecompromitteerde sleutel	Automatiseer minimaal jaarlijkse rotatie
TLS 1.0/1.1 nog ingeschakeld	Compliance-falen, bekende aanvalsvectoren	Uitschakelen en TLS 1.2+ afdwingen
Geen inventaris van crypto-algoritmen	Kan compliance niet aantonen of migraties niet plannen	Onderhoud en beoordeel elk kwartaal

Hoe Orbiq encryptiecompliance ondersteunt

Orbiq helpt u encryptiemaatregelen aan te tonen en te beheren:

Bewijsverzameling — Automatisch encryptieconfiguratiebewijs verzamelen van cloudproviders
Beleidssjablonen — Kant-en-klare sjablonen voor cryptografisch beleid afgestemd op ISO 27001 en SOC 2
Continue monitoring — TLS-configuraties, certificaatvervaldatums en encryptiestatus volgen
Trust Center — Uw encryptiestatus delen met klanten en auditors via uw Trust Center
Auditgereedheid — Encryptiemaatregelen koppelen aan framework-eisen met kant-en-klare control-mappings

Verder lezen

ISO 27001-certificering — Framework dat encryptiemaatregelen vereist
Dataclassificatie — Bepalen welke gegevens encryptie nodig hebben
Toegangscontrole — Encryptie aanvullen met toegangsbeperkingen
Incidentrespons — Omgaan met sleutelcompromitteringsincidenten
Cloud-beveiligingspostuurbeheer — Cloudencryptieconfiguraties monitoren
SOC 2-compliance — Encryptie-eisen voor SOC 2