AP zet de schijnwerper op ICT leveranciers na nieuwe reeks datalekken
De Autoriteit Persoonsgegevens gaat de beveiliging van data bij ICT leveranciers nadrukkelijker controleren, zo meldt Accountant via Accountant. De aanleiding is zorgwekkend en herkenbaar tegelijk: opnieuw is gebleken hoe kwetsbaar organisaties worden zodra hun informatie wordt verwerkt of opgeslagen door een externe partij. Na grote incidenten bij onder meer Odido en Clinical Diagnostics groeit de druk op toezichthouders, bestuurders en leveranciers om niet alleen te reageren op incidenten, maar preventie aantoonbaar te maken. De AP wil dat de keten niet langer een zwakke schakel blijft, want een lek bij een leverancier raakt in de praktijk vaak veel meer organisaties dan alleen de direct betrokken partij.
Wat hier opvalt, is de verschuiving in de focus van toezicht. Niet alleen de eindorganisatie, maar ook de digitale toeleveringsketen komt nu nadrukkelijk in beeld. Dat is relevant voor iedere sector die leunt op externe software, hosting, zorgsystemen of data verwerking. De boodschap van de AP is helder: wie persoonsgegevens verwerkt, moet ook kunnen laten zien hoe de beveiliging bij partners is ingericht. In concrete zin gaat het om maatregelen zoals periodieke controles, aantoonbare risicoanalyses, strakke autorisatiebeheer, logging, segmentatie van systemen en snel herstelvermogen. Voor veel organisaties is dat geen luxe, maar een basisvoorwaarde om de schade bij een aanval te beperken.
Hack bij ChipSoft raakt revalidatiecentra in Rotterdam en daarbuiten
De nieuwste golf aan meldingen draait om de hack bij softwareleverancier ChipSoft, waardoor meerdere revalidatiecentra hebben bevestigd dat zij zijn getroffen. Dagblad010 berichtte hierover via Dagblad010, met Rijndam als een van de genoemde instellingen in de regio Rotterdam. Ook Headliner.nl meldt dat de hack verder reikt en dat ook een tbs kliniek getroffen is. De organisaties laten weten dat zij het onderzoek en de communicatie over het datalek volgen, zodat betrokkenen zo snel mogelijk worden geïnformeerd. Daarmee komt opnieuw pijnlijk in beeld hoe afhankelijk zorginstellingen zijn van leveranciers die toegang hebben tot gevoelige patiëntinformatie.
De gevolgen van zo een incident zijn zelden beperkt tot alleen technische verstoring. Zodra medische of justitiële gegevens in verkeerde handen vallen of onbedoeld zichtbaar worden, ontstaat er een reeks risico’s die verder gaan dan IT. Denk aan:
- verlies van vertrouwelijkheid van patiëntgegevens
- mogelijke verstoring van zorgprocessen
- extra meldplichten richting toezichthouders en betrokkenen
- reputatieschade voor zowel leverancier als zorginstelling
- forse herstelkosten voor onderzoek, communicatie en beveiligingsverbetering
Juist in de zorg is de impact groot, omdat gegevens vaak zeer gevoelig zijn en omdat uitval of vertraging direct effect kan hebben op behandeling, planning en continuiteit van zorg.
Wat deze incidenten duidelijk maken over digitale afhankelijkheid
De rode draad in deze nieuwsontwikkeling is niet alleen dat er opnieuw een datalek is, maar vooral dat de keten steeds complexer wordt. Zorginstellingen, revalidatiecentra en andere maatschappelijke organisaties werken met gespecialiseerde software en gedeelde platforms. Dat levert efficiëntie op, maar vergroot ook de potentiële impact van een lek. Als een leverancier wordt gecompromitteerd, kan één aanval meerdere organisaties tegelijk raken. Dat maakt leveranciersbeheer een kernonderdeel van cybersecurity, niet iets wat alleen juridisch of administratief geregeld hoeft te worden.
Voor bestuurders is dit het moment om kritische vragen opnieuw op tafel te leggen. Hoe vaak wordt de beveiliging van leveranciers gecontroleerd? Zijn afspraken over incidentmelding scherp genoeg? Is duidelijk welke data waar staat, wie erbij kan en hoe snel systemen kunnen worden afgesloten als er iets misgaat? En misschien nog belangrijker: wordt er getest of die afspraken in een crisissituatie ook echt werken? De recente ontwikkelingen laten zien dat papieren beleid niet volstaat. Toezichthouders kijken steeds nadrukkelijker naar aantoonbaarheid, en de publieke opinie verwacht terecht dat organisaties verantwoordelijkheid nemen zodra persoonsgegevens in het spel zijn.
AP onderstreept preventie, herstel en verantwoordingsplicht
De controles van de AP bij ICT leveranciers passen in een bredere trend waarin autoriteiten minder geduld hebben met gebrekkige beveiliging en onduidelijke ketenverantwoordelijkheid. De toezichthouder wil niet alleen zien dat incidenten worden gemeld, maar vooral dat organisaties structureel voorkomen dat aanvallen slagen. Dat betekent onder meer dat toegang tot data beperkt moet zijn, dat systemen tijdig worden bijgewerkt, dat kwetsbaarheden actief worden opgespoord en dat leveranciers hun beveiligingsniveau kunnen onderbouwen. Wanneer dat niet gebeurt, wordt de kans groter dat een incident uitmondt in een langdurig en kostbaar datalek.
Voor de betrokken revalidatiecentra en de tbs kliniek begint nu een fase die vaak net zo zwaar is als de technische nasleep zelf. Er moet worden uitgezocht wat precies is geraakt, welke gegevens eventueel zijn ingezien of buitgemaakt en welke mensen geïnformeerd moeten worden. Tegelijkertijd moeten organisaties laten zien dat zij leren van het incident. Dat betekent in de praktijk onder meer:
- snelle inventarisatie van getroffen systemen en data
- afstemming met leverancier en externe beveiligingsspecialisten
- heldere en tijdige communicatie naar betrokkenen
- herstel van toegang en verificatie van back ups
- aanpassing van contracten, controles en toegangsrechten
De les van deze week is glashelder: een datalek is allang geen technisch incident meer dat zich achter de schermen afspeelt. Het raakt zorg, publieke verantwoording, toezicht en vertrouwen in de hele digitale keten. Juist daarom zullen de komende controles van de AP veel organisaties dwingen om hun beveiliging bij ICT leveranciers kritischer te bekijken. Wie vandaag alleen vertrouwt op mooie beloften van een leverancier, loopt morgen mogelijk achter de feiten aan wanneer de volgende melding binnenkomt.