Het aantal grote datalekken neemt schrikbarend toe. En als bij een ICT-leverancier een datalek plaatsvindt, zijn de gevolgen al snel enorm. Zij verwerken vaak grote hoeveelheden persoonsgegevens voor klanten. Vorige week nog werden we opgeschrikt door de lek bij Chipsoft. De AP ziet een preventieve controle daarom als een doelgerichte, effectieve manier om te helpen cyberaanvallen en datalekken te voorkomen.
AP gaat preventieve controles uitvoeren bij aantal ICT-leveranciers
De Autoriteit Persoonsgegevens gaat op korte termijn preventief controleren hoe zij hun digitale beveiliging hebben geregeld, bijvoorbeeld als het gaat om de inrichting van de servers, patchmanagement en het toepassen van dataminimalisatie.
Wat gaat de AP concreet doen?
De AP gaat een aantal ICT‑leveranciers selecteren op basis van hoeveelheid en gevoeligheid van de persoonsgegevens die zij namens klanten verwerken. Er vindt dus geen willekeurige steekproef plaats. Bij deze leveranciers gaan ze de beveiliging van servers en andere cruciale systemen testen. Ze zullen nagaan of organisaties hun software en systemen tijdig updaten (patchmanagement) en de kwetsbaarheden ook daadwerkelijk aanpakken. Ook gaan ze controleren of niet meer persoonsgegevens worden opgeslagen dan noodzakelijk is (dataminimalisatie).
Geen boetes, maar advies
Waar nodig gaat de AP de organisaties van advies voorzien en helpen bij het verbeteren van hun beveiliging. Deze aanpak sluit aan bij eerdere (steekproefsgewijze) controles bij zorgorganisaties, waar cyberbeveiliging expliciet onderdeel van het toezicht is. Directe aanleiding van deze toezichtsbezoeken door de AP was het datalek van vorig jaar bij Clinical Diagnostics.
De toezichthouder zou dit soort preventieve controles het liefst structureel doen, maar het beschikbare budget laat dit niet toe.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.