Autoriteit Persoonsgegevens gaat databeveiliging ICT-leveranciers controleren

AP ziet de preventieve controles als een doelgericht en effectief middel om op te treden als toezichthouder. De organisatie laat in een persbericht weten dat het organisaties wil helpen bij het beschermen van de persoonsgegevens. Directe aanleiding voor de aanpak zijn het groeiende risico op cyberaanvallen en grote datalekken. AP noemt zelf de hack van Clinical Diagnostics. Data van honderdduizenden deelnemers aan bevolkingsonderzoek naar baarmoederhalskanker werden daarbij buitgemaakt, waaronder namen, adressen, geboortedata, BSN en testuitslagen. Erik de Geus, senior director Next Generation Security bij Palo Alto Networks, beschreef vorig jaar dat dat waarschijnlijk een ransomware-aanval van de hackersgroep NOVA was, een criminele groep die organisaties platlegt, data steelt en daarbij losgeld eist, mogelijk enkele miljoenen euro’s.

Ransomware-aanval op ChipSoft

Recenter kwam de ransomware-aanval van ChipSoft in het nieuws. De softwareleverancier, naar schatting leverancier van ongeveer 70 procent van alle ziekenhuizen, werd gehackt. De aanval raakte het HIX365-platform, een online omgeving waarmee patiënten toegang krijgen tot hun dossier en waarbij dataverkeer tussen patiënt en ziekenhuis via servers van ChipSoft loopt. Een groot aantal ziekenhuizen schakelden de online omgeving uit om hun patiëntgegevens te beschermen. Uit forensisch onderzoek bleek dat dat niet is gelukt, de criminele hackers hebben toch patiëntgegevens in handen gekregen.

Vooruitlopend op NIS2

AP controleert al hoe de bescherming en beveiliging van gevoelige gegevens bij zorgorganisaties is geregeld. Daarbij wordt ook de cyberveiligheid tegen het licht gehouden. De controles van de AP vallen samen met de invoering van de Europese NIS2-richtlijn, die organisaties in kritieke sectoren, waaronder de zorg, verplicht tot aantoonbaar betere cyberbeveiliging. Op 15 april heeft de Tweede Kamer de voorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid Kritieke entiteiten aangenomen. Met die wetten wordt de NIS2-richtlijn, waar ook ICT-bedrijven die werken voor essentiële sectoren onder vallen, in Nederland geïmplementeerd.