Toezichthouder gaat ICT-leveranciers preventief controleren na grote datalekken

In dit artikel:

De Autoriteit Persoonsgegevens (AP) start binnenkort gerichte, preventieve controles bij een aantal Nederlandse ICT-leveranciers, naar aanleiding van een reeks zware datalekken zoals bij Odido en Clinical Diagnostics. Doel is vroegtijdig tekortkomingen in digitale beveiliging te ontdekken zodat leveranciers tijdig maatregelen kunnen nemen en nieuwe aanslagen of lekkages mogelijk te voorkomen.

De inspecties richten zich onder meer op serverbeveiliging, of updates worden doorgevoerd en of organisaties niet meer persoonsgegevens vasthouden dan noodzakelijk. De toezichthouder wil ook onderzoeken waarom sommige partijen nooit datalekken melden. De AP geeft aan dat controles efficiënt inzetbaar zijn, maar dat de mogelijkheden momenteel beperkt worden door een te laag budget.

Recente incidenten illustreerden de urgentie: onder meer Odido (meer dan zes miljoen accounts) en Clinical Diagnostics (ongeveer 855.000 dossiers), plus hacks bij Booking.com en Basic-Fit. Hoewel grote bedrijven vaak externe ICT-dienstverleners inhuren, blijven zij zelf verantwoordelijk voor de verwerking van persoonsgegevens. Bits of Freedom pleit eveneens voor meer toezicht om privacy beter te waarborgen.