AP gaat beveiliging data bij ICT-leveranciers controleren
De Autoriteit Persoonsgegevens (AP) gaat bij een aantal ICT-leveranciers in Nederland preventief controleren hoe zij de digitale beveiliging hebben geregeld. Zo kunnen zij tijdig aanpassingen doen als dat nodig blijkt.
Na een reeks grote datalekken, bij onder meer Odido en Clinical Diagnostics, wil de AP met deze controles de preventie tegen cyberaanvallen en datalekken bevorderen.
Grote gevolgen
ICT-leveranciers verwerken vaak grote hoeveelheden persoonsgegevens namens meerdere bedrijven. "Als bij leveranciers een datalek plaatsvindt, zijn de gevolgen al snel enorm", stelt een woordvoerder van de autoriteit. "Vandaar dat preventieve controle bij ICT-leveranciers volgens de AP een doelgerichte, effectieve manier is om haar begrensde middelen als toezichthouder in te zetten."
De controles zouden onder meer moeten bestaan uit het testen van de beveiliging van servers, nagaan of organisaties updates uitvoeren en niet meer gegevens opslaan dan per se nodig is. Ook is er volgens de AP onderzoek nodig bij organisaties die nooit datalekken melden. De autoriteit wil zulke preventieve controles graag structureel uitvoeren, maar wijst er tegelijkertijd op dat de mogelijkheden "door een te laag budget" beperkt zijn.
Hacks
De afgelopen tijd zijn er meerdere grote hacks geweest. Zo werden bij Odido de persoonsgegevens van meer dan zes miljoen accounts buitgemaakt van zowel klanten als oud-klanten. Bij Clinical Diagnostics werden persoonsgegevens van 855.000 mensen gestolen. Onlangs waren er ook hacks bij onder meer Booking.com en Basic-Fit, maar ook de AP zelf, het Openbaar Ministerie en recent de SRA werden slachtoffer van cybercrime.
Grote bedrijven huren vaak een ICT-leverancier in, maar blijven zelf verantwoordelijk voor de gegevens. Na een melding van een ernstig datalek kijkt de autoriteit samen met het getroffen bedrijf hoe dit heeft kunnen plaatsvinden en wat wordt gedaan om het lek te dichten en herhaling te voorkomen.
Bits of Freedom stelde eerder dat meer controles nodig zijn om ervoor te zorgen dat bedrijven en organisaties hun gegevens goed beschermen.
Bron: ANP
Gerelateerd
Nederlandse banken verbeteren beveiliging, na waarschuwingen over AI-model Mythos
Nederlandse banken geven gehoor aan de waarschuwingen van toezichthouders over AI-model Mythos. Banken in de eurozone moeten van de Europese Centrale Bank (ECB)...
Cbw (NIS2) Control Framework uitgebreid met sector zorg
Het Cbw (NIS2) Control Framework, ontwikkeld door de Auditdienst Rijk en NOREA, is uitgebreid met vereisten voor de zorgsector. Het framework helpt organisaties...
Bedrijf achter Canvas sluit akkoord met hackers
Instructure, het Amerikaanse bedrijf achter onderwijsplatform Canvas, heeft een akkoord gesloten met de hackers die recent de software van het bedrijf wisten binnen...
Universiteiten getroffen door cyberaanval, VU koppelt systemen los
Zeven Nederlandse universiteiten zijn geraakt door een cyberaanval op Instructure, het bedrijf achter onderwijssoftware Canvas. De VU in Amsterdam heeft de eigen...
Cyberincidenten tonen kwetsbaarheid keten en belang van communicatie
Bij cyberincidenten moet sneller en transparanter worden gecommuniceerd. Ook is er meer overleg nodig tussen organisaties in sectoren die een sterke ketenafhankelijkheid...