Ict-leveranciers kunnen binnenkort de Autoriteit Persoonsgegevens (AP) op hun dak krijgen. Op korte termijn wil de privacywaakhond bij een aantal marktpartijen controleren hoe ze hun digitale beveiliging hebben geregeld. Door een actievere rol te spelen hoopt de AP dat deze organisaties tijdig maatregelen treffen.
Ict-bedrijven verwerken vaak grote hoeveelheden persoonsgegevens namens veel klantorganisaties. Als bij ict-leveranciers een datalek plaatsvindt, zijn de gevolgen al snel enorm. Vandaar dat preventieve controle bij ict-leveranciers volgens de AP een doelgerichte, effectieve manier is om de begrensde middelen als toezichthouder in te zetten.
Dat de AP overgaat tot deze aanpak, hangt samen met de groeiende risico’s van cyberaanvallen en grote datalekken die mensen in Nederland treffen. De AP zal meerdere ict-organisaties bekijken. En ze, waar nodig, van advies voorzien en verder op weg helpen.
Zorgsector
Sinds kort controleert de AP ook bij zorgorganisaties hoe het ervoor staat met de bescherming en beveiliging van gevoelige gegevens. De cyberbeveiliging is nadrukkelijk een onderdeel van deze steekproef.
Directe aanleiding van deze bezoeken door de AP is het datalek van vorig jaar bij Clinical Diagnostics. Dit bedrijf werd vorig jaar slachtoffer van ransomware. Hackers hadden toegang tot de data van 850.000 vrouwen die hadden meegedaan aan het bevolkingsonderzoek naar baarmoederhalskanker.
Net als bij de controles op ict-leveranciers is het doel van de AP om zorgorganisaties de juiste richting op te helpen bij het beschermen van persoonsgegevens.
Ze delen nog geen boetes uit. Ze gaan alleen nog maar “advies” geven. Maar moesten organisaties hun beveiliging niet al veel langer op orde hebben?
Eigenlijk vind ik dat er gewoon boetes uitgedeeld moeten worden. Odido, Clinical Diagnostics en ChipSoft laten zien dat bedrijven hun beveiliging gewoon niet op orde hebben.
Bij de hosted versie van ChipSoft’s Hix zaten alle gegevens van verschillende organisaties gewoon in één database! Als hackers daar binnendrongen dan konden ze de gegevens van ALLE organisaties zo meenemen. Dat is al een enorme “red flag” zou ik zeggen.