Wat is een compenserende beheersmaatregel voor versleuteling van gegevens in rust?

Een compenserende beheersmaatregel is een alternatieve beveiligingsmaatregel die wordt ingezet wanneer de primaire beheersmaatregel, zoals versleuteling van gegevens in rust, niet haalbaar is. De maatregel moet een vergelijkbaar beschermingsniveau bieden door dezelfde risico’s te adresseren, zoals de vertrouwelijkheid van gegevens wanneer een opslagapparaat verloren gaat of wordt gestolen. Voorbeelden zijn preventie van gegevensverlies (DLP), strikte toegangscontrole en datamaskering.

Accepteren auditors compenserende beheersmaatregelen voor raamwerken zoals ISO/IEC 27001:2022?

Ja, auditors accepteren goed gedocumenteerde en aantoonbaar effectieve compenserende beheersmaatregelen. Zij verwachten een formele risicobeoordeling die de noodzaak van de maatregel onderbouwt, bewijs dat de maatregel consistent wordt afgedwongen, zoals logboeken en rapportages, en onderbouwing dat de oorspronkelijke risico’s daadwerkelijk worden beperkt. De kern is dat u een volwassen, risicogebaseerde aanpak aantoont, niet slechts een excuus voor een beheersingshiaat.

Hoe verhouden compenserende beheersmaatregelen zich tot GDPR-naleving?

GDPR Article 32 vereist 'passende technische en organisatorische maatregelen' om persoonsgegevens te beschermen. Hoewel versleuteling een aanbevolen maatregel is, is deze niet in alle gevallen strikt verplicht. Als versleuteling van gegevens in rust niet mogelijk is, kan een robuuste set compenserende beheersmaatregelen, zoals pseudonimisering, datamaskering en strikte toegangsmonitoring, helpen om due diligence aan te tonen en te voldoen aan de eis om een passend beveiligingsniveau te bieden.

Wat zijn de meest voorkomende valkuilen bij de implementatie van compenserende beheersmaatregelen?

Veelvoorkomende valkuilen zijn gebrekkige documentatie, het ontbreken van formele risicoacceptatie door het management, het implementeren van beheersmaatregelen die niet alle dreigingsvectoren afdekken, bijvoorbeeld door cloudsynchronisatiediensten over het hoofd te zien, en het niet periodiek testen van de effectiviteit. Een beheersmaatregel die alleen op papier bestaat, biedt geen daadwerkelijke bescherming en overtuigt een auditor niet.

Kan preventie van gegevensverlies (DLP) versleuteling van gegevens in rust echt vervangen?

DLP vervangt versleuteling niet, maar kan wel een krachtige compenserende beheersmaatregel zijn. Versleuteling maakt gegevens onleesbaar wanneer ze worden gestolen. DLP is erop gericht te voorkomen dat gegevens überhaupt worden gestolen, door ongeautoriseerde gegevensoverdrachten te monitoren en te blokkeren. In combinatie met andere lagen, zoals strikte toegangscontrole en fysieke beveiliging, ontstaat een sterke verdediging die voor specifieke, gedocumenteerde gebruikssituaties een beschermingsniveau kan bieden dat vergelijkbaar is met versleuteling.

NIS2 DORA GDPR NIST COBIT 2019

Versleuteling van gegevens in rust niet mogelijk? Een CISO-gids voor robuuste compenserende beheersmaatregelen

Clarysec-redactie

November 25, 2025

18 min read

#Risicobeheer #Audit #ISMS #Gegevensbescherming #Compenserende beheersmaatregelen

Stroomdiagram dat het 3-fasenproces van de CISO illustreert voor het implementeren van compenserende beheersmaatregelen voor versleuteling van gegevens in rust, inclusief risicobeoordeling, gelaagde verdedigingsmaatregelen (DLP, datamaskering, toegangscontrole) en auditdocumentatie binnen ISO 27001-, GDPR- en NIST-raamwerken.

De auditbevinding belandde met een bekende dreun op het bureau van CISO Sarah Chen. Een kritieke legacydatabase die omzet genereerde en het operationele hart vormde van de productielijn van het bedrijf, ondersteunde geen moderne versleuteling van gegevens in rust. De onderliggende architectuur was tien jaar oud en de leverancier had al lange tijd geen beveiligingspatches meer geleverd. De auditor kwalificeerde dit terecht als een significant risico. De aanbeveling luidde: “Versleutel alle gevoelige gegevens in rust met algoritmen die gangbaar zijn in de sector.”

Voor Sarah was dit niet alleen een technisch probleem, maar een bedrijfscontinuïteitscrisis. Een upgrade van het systeem zou maanden uitval en miljoenen aan kosten betekenen, en was voor de raad van bestuur geen optie. Tegelijkertijd was het onaanvaardbaar om een grote hoeveelheid gevoelige intellectuele eigendom onversleuteld te laten; het was een duidelijke afwijking van hun managementsysteem voor informatiebeveiliging (ISMS).

Dit is de praktijk van cybersecurity: perfecte oplossingen zijn zeldzaam en compliance kan niet worden gepauzeerd. Het gebeurt wanneer kritieke back-upbestanden op legacysystemen worden opgeslagen, wanneer een belangrijke SaaS-aanbieder zich beroept op “technische beperkingen”, of wanneer high-performance toepassingen bezwijken onder de overhead van versleuteling. Het schoolboekantwoord “versleutel het gewoon” botst vaak met de weerbarstige werkelijkheid.

Wat gebeurt er dus wanneer de primaire, voorgeschreven beheersmaatregel niet beschikbaar is? Dan accepteert u het risico niet zomaar. U bouwt een slimmere, veerkrachtigere verdediging met compenserende beheersmaatregelen. Dit gaat niet om excuses, maar om het aantonen van volwassen, risicogebaseerd beveiligingsmanagement dat bestand is tegen de strengste audittoetsing.

Waarom versleuteling van gegevens in rust een kritieke eis is

Versleuteling van gegevens in rust is een fundamentele beheersmaatregel in alle moderne beveiligingsraamwerken, waaronder ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA en NIST SP 800-53 SC-28. Het doel is eenvoudig maar cruciaal: opgeslagen gegevens onleesbaar maken wanneer fysieke of logische verdedigingsmaatregelen falen. Een verloren back-uptape of een gestolen server met onversleutelde gegevens is niet alleen een technische misstap; het is vaak een wettelijk meldplichtig datalek.

De risico’s zijn duidelijk en aanzienlijk:

Diefstal of verlies van draagbare media zoals USB-sticks en back-uptapes.
Blootstelling van gegevens op onbeheerde, vergeten of legacyapparaten.
Onmogelijkheid om native schijf- of databaseversleuteling toe te passen in specifieke SaaS-, cloud-, OT- of legacycontexten.
Herstelrisico’s wanneer encryptiesleutels verloren raken of verkeerd worden beheerd.

Deze vereisten zijn niet alleen technisch; het zijn ook wettelijke verplichtingen. GDPR Article 32 en DORA Articles 5 en 10 erkennen versleuteling expliciet als een “passende technische maatregel”. NIS2 benoemt versleuteling als basislijn voor het waarborgen van systeem- en informatie-integriteit. Wanneer deze primaire verdediging niet haalbaar is, verschuift de bewijslast naar de organisatie om aan te tonen dat de alternatieve maatregelen even effectief zijn.

Van één afvinkpunt naar gelaagde verdediging

De reflexreactie op een auditbevinding zoals die van Sarah is vaak paniek. Maar een goed gestructureerd ISMS anticipeert op dergelijke situaties. Sarah belde niet als eerste het infrastructuurteam; ze opende het Beleid inzake cryptografische beheersmaatregelen van haar organisatie, een document dat was opgesteld met behulp van de enterprise-sjablonen van Clarysec. Ze ging direct naar de bepaling die de basis vormde voor haar strategie.

Volgens het Beleid inzake cryptografische beheersmaatregelen beschrijft paragraaf 7.2.3 expliciet het proces voor het definiëren van:

“Specifieke compenserende beheersmaatregelen die moeten worden toegepast”

Deze bepaling is de beste bondgenoot van een CISO. Ze erkent dat een uniforme beveiligingsaanpak tekortschiet en biedt een goedgekeurd pad om risico’s te behandelen. Het beleid staat niet op zichzelf. Zoals vermeld in bepaling 10.5 is het direct gekoppeld aan het Beleid inzake gegevensclassificatie en etikettering, dat “de classificatieniveaus definieert, zoals Vertrouwelijk en gereguleerd, die specifieke versleutelingsvereisten activeren.”

Deze koppeling is cruciaal. De gegevens in de legacydatabase waren geclassificeerd als “Vertrouwelijk”; daarom werd het ontbreken van versleuteling gesignaleerd. Sarahs opdracht was nu duidelijk: bouw een zodanig robuuste verdedigingslaag van compenserende beheersmaatregelen dat het blootstellingsrisico tot een aanvaardbaar niveau wordt beperkt.

Een verdedigbare strategie ontwerpen met de Zenith Blueprint

Versleuteling is een hoeksteen van moderne beveiliging, maar zoals Clarysec’s Zenith Blueprint: een 30-stappenroadmap voor auditors in stap 21 uitlegt, gaat beheersmaatregel 8.24 Gebruik van cryptografie niet simpelweg over “encryptie aanzetten”. Het gaat om “cryptografie verankeren in het ontwerp, het beleid en het levenscyclusbeheer van de organisatie.”

Wanneer één onderdeel van het ontwerp faalt, namelijk de legacydatabase, moeten het beleid en de levenscyclusaspecten compenseren. Sarahs team gebruikte dit raamwerk om een meerlaagse verdediging te ontwerpen die erop was gericht te voorkomen dat de gegevens ooit hun beveiligde, zij het onversleutelde, container zouden verlaten.

Compenserende beheersmaatregel 1: preventie van gegevensverlies (DLP)

Als u de gegevens niet kunt versleutelen waar ze zich bevinden, moet u ervoor zorgen dat ze die locatie niet kunnen verlaten. Sarahs team implementeerde een oplossing voor preventie van gegevensverlies (DLP) als digitale poortwachter. Dit was geen eenvoudige netwerkregel, maar een geavanceerde, inhoudsbewuste beheersmaatregel.

Met behulp van Clarysec’s Zenith Controls: de cross-compliancegids configureerden zij het DLP-systeem op basis van de richtlijnen voor ISO/IEC 27001:2022 beheersmaatregel 8.12 Preventie van gegevenslekken. De regels waren direct gebaseerd op 5.12 Classification of information. Alle gegevens die overeenkwamen met de schema’s van de als “Vertrouwelijk” geclassificeerde informatie in de legacydatabase, werden automatisch geblokkeerd bij overdracht via e-mail, webuploads of zelfs bij kopiëren en plakken naar andere toepassingen.

Zoals Zenith Controls toelicht:

“Preventie van gegevensverlies (DLP) is fundamenteel afhankelijk van nauwkeurige gegevensclassificatie. Beheersmaatregel 5.12 zorgt ervoor dat gegevens worden gelabeld op basis van gevoeligheid… DLP is een gespecialiseerde vorm van continue monitoring, gericht op gegevensbeweging… 8.12 kan encryptiebeleid afdwingen voor gegevens die de organisatie verlaten, zodat gegevens, zelfs als ze worden geëxfiltreerd, onleesbaar blijven voor onbevoegde partijen.”

Deze beheersmaatregel wordt in meerdere raamwerken erkend en is te koppelen aan GDPR Art. 32, NIS2 Art. 21, DORA Art. 10 en NIST SP 800-53 SI-4. Door deze maatregel te implementeren, creëerde Sarahs team een krachtige beschermingsschil die ervoor zorgde dat de onversleutelde gegevens geïsoleerd bleven.

Compenserende beheersmaatregel 2: datamaskering voor niet-productiegebruik

Een van de grootste risico’s voor legacygegevens is het gebruik ervan in andere omgevingen. Het ontwikkelteam had regelmatig gegevens uit het productiesysteem nodig om nieuwe applicatiefuncties te testen. Het rechtstreeks verstrekken van onversleutelde, vertrouwelijke gegevens was uitgesloten.

Hier greep Sarah terug op stap 20 van de Zenith Blueprint, waarin 8.11 Data masking wordt behandeld. De gids merkt op dat auditors nadrukkelijk zullen vragen: “Gebruikt u ooit echte persoonsgegevens in testsystemen? Zo ja, hoe worden die beschermd?”

Op basis van deze richtlijnen implementeerde Sarahs team een strikte procedure voor datamaskering. Elke gegevensextractie die door het ontwikkelteam werd aangevraagd, moest door een geautomatiseerd proces dat gevoelige velden pseudonimiseerde of anonimiseerde. Namen van klanten, bedrijfseigen formules en productiemetrieken werden vervangen door realistische maar fictieve gegevens. Deze ene beheersmaatregel verwijderde een groot deel van het aanvalsoppervlak, doordat de gevoelige gegevens nooit in hun oorspronkelijke vorm buiten de streng gecontroleerde productieomgeving kwamen.

Compenserende beheersmaatregel 3: geharde fysieke en logische beheersmaatregelen

Nu gegevenslekken en niet-productiegebruik waren aangepakt, richtte de laatste verdedigingslaag zich op het systeem zelf. Op basis van de principes van 7.10 Storage media uit Zenith Controls behandelde Sarahs team de fysieke server als een hoogbeveiligd bedrijfsmiddel. Hoewel 7.10 vaak wordt geassocieerd met verwisselbare media, zijn de principes voor levenscyclusbeheer en fysieke beveiliging hier volledig toepasbaar.

Zoals Zenith Controls hierover opmerkt:

“ISO/IEC 27002:2022 biedt uitgebreide richtlijnen onder bepaling 7.10 voor het veilig beheren van opslagmedia gedurende hun volledige levenscyclus. De norm adviseert organisaties een register bij te houden van alle verwisselbare media…”

Volgens deze redenering werd de server verplaatst naar een afzonderlijk, afgesloten rack in het datacenter, alleen toegankelijk voor twee bij naam aangewezen senior engineers. Fysieke toegang vereiste registratie bij binnenkomst en werd bewaakt met CCTV. Aan de netwerkzijde werd de server geplaatst in een gesegmenteerd “legacy”-VLAN. Firewallregels werden geconfigureerd om standaard al het verkeer te weigeren, met één expliciete regel die communicatie uitsluitend toestond vanaf de aangewezen applicatieserver op een specifieke poort. Deze vergaande isolatie verkleinde het aanvalsoppervlak drastisch en maakte de onversleutelde gegevens onzichtbaar en ontoegankelijk.

De audit tegemoet treden: een verdedigbare strategie vanuit meerdere invalshoeken presenteren

Toen de auditor terugkwam voor de opvolging, presenteerde Sarah geen excuses. Ze presenteerde een volledig risicobehandelingsplan, inclusief documentatie, logboeken en live demonstraties van de compenserende beheersmaatregelen van haar team. Een audit is geen eenmalige gebeurtenis; het is een gesprek dat door verschillende lenzen wordt gevoerd, en een CISO moet op elke lens zijn voorbereid.

De ISO/IEC 27001-auditorlens: De auditor wilde de operationele effectiviteit zien. Sarahs team demonstreerde hoe het DLP-systeem een ongeautoriseerde e-mail blokkeerde, liet het datamaskeringsscript draaien en verstrekte logboeken van fysieke toegang die waren vergeleken met werktickets.

De GDPR- en privacylens: De auditor vroeg hoe gegevensminimalisatie werd afgedwongen. Sarah toonde de geautomatiseerde scripts voor veilige verwijdering van gecachete gegevens en het pseudonimiseringsproces voor alle gegevens die het productiesysteem verlaten, in lijn met GDPR Article 25 (gegevensbescherming door ontwerp en door standaardinstellingen). Het Beleid inzake cryptografische beheersmaatregelen voor mkb-organisaties wijst de DPO expliciet de verantwoordelijkheid toe om “ervoor te zorgen dat encryptiebeheersmaatregelen aansluiten op gegevensbeschermingsverplichtingen onder Article 32 van de GDPR.”

De NIS2/DORA-lens: Dit perspectief richt zich op operationele weerbaarheid. Sarah presenteerde de resultaten van back-up- en hersteltests voor het geïsoleerde systeem en beveiligingsaddenda van de leverancier voor de legacysoftware, waarmee zij proactief risicobeheer aantoonde zoals vereist door NIS2 Article 21 en DORA Article 9.

De NIST/COBIT-lens: Een auditor die deze raamwerken gebruikt, kijkt naar governance en metrieken. Sarah presenteerde het bijgewerkte risicoregister met formele acceptatie van het restrisico (COBIT APO13). Ze koppelde DLP aan NIST SP 800-53 SI-4 (System Monitoring), netwerksegmentatie aan SC-7 (Boundary Protection), en toegangscontrole aan AC-3 en AC-4. Daarmee toonde zij aan dat, hoewel SC-28 (Protection of Information at Rest) niet rechtstreeks werd gehaald, een gelijkwaardige set beheersmaatregelen was ingericht.

Belangrijk auditbewijs voor compenserende beheersmaatregelen

Om hun strategie effectief toe te lichten, bereidde Sarahs team bewijsmateriaal voor dat aansloot op wat auditors zoeken.

Auditlens	Vereist bewijsmateriaal	Gebruikelijke audittest
ISO/IEC 27001	Vermeldingen in het risicoregister, logboeken voor beleidsuitzonderingen, DLP-regels, inventarissen van opslagmedia	Beoordeel risico- en uitzonderingslogboeken, vraag logboeken van DLP-acties op; traceer de levenscyclus van media.
GDPR	Procedures voor datamaskering, gereedheid voor meldingen van inbreuken, registraties van gegevensverwijdering	Beoordeel voorbeelddatasets (gemaskeerd versus niet-gemaskeerd), test DLP-triggers, simuleer een inbreukscenario.
NIS2/DORA	Testresultaten van back-up en herstel, beveiligingsbeoordelingen van leveranciers, incidentresponsoefeningen	Simuleer een poging tot gegevensexport; beoordeel processen voor back-upverwerking; test DLP-beheersmaatregelen op kritieke gegevens.
NIST/COBIT	Technische monitoringlogboeken, documentatie over beleidsintegratie, interviews met medewerkers	Simuleer data-exfiltratie, vergelijk beleid met procedures, interview belangrijke gegevensbeheerders en systeemeigenaren.

Door op deze verschillende perspectieven te anticiperen, veranderde Sarah een mogelijke non-conformiteit in een demonstratie van beveiligingsvolwassenheid.

Een praktische samenvatting voor uw volgende audit

Om de strategie duidelijk en verdedigbaar te maken, stelde Sarahs team een samenvattende tabel op in het risicobehandelingsplan. Het is een aanpak die elke organisatie kan toepassen.

Risico	Primaire beheersmaatregel (niet haalbaar)	Strategie voor compenserende beheersmaatregelen	Clarysec-resource	Bewijsmateriaal voor auditor
Ongeautoriseerde openbaarmaking van gegevens in rust	Volledige schijfversleuteling (AES-256)	1. Preventie van gegevensverlies (DLP): Monitor en blokkeer alle ongeautoriseerde pogingen tot data-exfiltratie op basis van inhoud en context.	Zenith Controls (8.12)	DLP-beleidsconfiguratie, waarschuwingslogboeken, incidentresponsprocedures.
		2. Strikte logische toegangscontrole: Isoleer de server in een gesegmenteerd netwerk met firewallregels die standaard al het verkeer weigeren en sterk beperkte toegang voor serviceaccounts.	Zenith Controls (8.3)	Netwerkdiagrammen, firewallregelsets, beoordelingen van toegangsrechten, beleid voor inloggegevens van serviceaccounts.
		3. Versterkte fysieke beveiliging: Plaats de server in een afzonderlijk, afgesloten rack met geregistreerde en bewaakte fysieke toegang.	Zenith Controls (7.10)	Toegangslogboeken van het datacenter, registraties van CCTV-beelden, uittekenlijsten voor racksleutels.
Gebruik van gevoelige gegevens in niet-productieomgevingen	Versleuteling van kopieën van testgegevens	Datamaskering: Implementeer een formele procedure om alle gegevensextracten vóór gebruik in test of ontwikkeling te pseudonimiseren of anonimiseren.	Zenith Blueprint (stap 20)	Formeel proceduredocument voor datamaskering, demonstratie van maskeringsscripts, voorbeeld van gemaskeerde dataset.

Cross-compliance in één oogopslag

Een sterke strategie met compenserende beheersmaatregelen is verdedigbaar binnen alle belangrijke raamwerken. Clarysec’s Zenith Controls biedt de crosswalk-mapping om te zorgen dat uw verdedigingsmaatregelen universeel worden begrepen en geaccepteerd.

Raamwerk	Belangrijke bepaling/referentie	Hoe compenserende beheersmaatregelen worden erkend
ISO/IEC 27001:2022	8.24, 7.10, 8.12, 8.11, 5.12	Een risicogebaseerde aanpak maakt alternatieve beheersmaatregelen mogelijk, zoals DLP, beheer van opslagmedia en datamaskering, mits onderbouwd.
GDPR	Art. 5(1)(f), 25, 32	Vereist “passende” technische maatregelen; pseudonimisering, toegangscontrole en DLP kunnen hieraan voldoen als versleuteling niet haalbaar is.
NIS2	Art. 21, 23	Verplicht een risicogebaseerde aanpak; gelaagde beheersmaatregelen zoals DLP, bescherming van back-ups en leverancierscontroles zijn geldige risicobehandelingen.
DORA	Art. 5, 9, 10, 28	Benadrukt operationele weerbaarheid; DLP, toegangscontrole en robuuste logging zijn essentieel voor de bescherming van financiële gegevens, met of zonder versleuteling.
NIST SP 800-53	SC-28, MP-2 tot MP-7, AC-3/4, SI-4	Staat compenserende beheersmaatregelen toe; DLP (SI-4), toegangsbeperkingen (AC-3) en het volgen van media (MP-serie) kunnen de risico’s van onversleutelde gegevens adresseren.
COBIT	DSS05, APO13, MEA03	Richt zich op governance en meting; gedocumenteerde risicoacceptatie (APO13) en monitoring van compenserende beheersmaatregelen (MEA03) tonen due diligence aan.

Conclusie: maak van uw zwakste schakel een sterkte

Het verhaal van de niet-versleutelbare legacydatabase is geen verhaal van falen. Het is een verhaal van volwassen, intelligent risicobeheer. Door geen genoegen te nemen met een simpel “het kan niet”, veranderde Sarahs team een aanzienlijke kwetsbaarheid in een toonbeeld van verdediging in de diepte. Zij bewezen dat beveiliging niet draait om het afvinken van één vakje met het label “versleuteling”. Het gaat om het begrijpen van het risico en het bouwen van een doordachte, gelaagde en auditeerbare verdediging om dat risico te beperken.

Uw organisatie zal onvermijdelijk een eigen versie van deze legacydatabase hebben. Wanneer u die vindt, beschouw die dan niet als een blokkade. Zie het als een kans om een veerkrachtiger en beter verdedigbaar beveiligingsprogramma te bouwen.

Klaar om uw eigen robuuste, auditklare beheersingskader te bouwen? Begin met de juiste basis.

Beoordeel uw beleidsecosysteem met de uitgebreide beleidstoolkits van Clarysec.
Verken Zenith Blueprint: een 30-stappenroadmap voor auditors als leidraad voor uw implementatie.
Gebruik Zenith Controls: de cross-compliancegids om ervoor te zorgen dat uw verdedigingsmaatregelen vanuit elke invalshoek standhouden.

Neem contact op met Clarysec voor een workshop op maat of een volledige cross-compliancebeoordeling. Want in het huidige regelgevingslandschap is voorbereiding de enige beheersmaatregel die telt.

Referenties:

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council