Beveiligingslekken binnen een week verhelpen

Onder de Meldplicht datalekken hebben organisaties de verplichting om te zorgen dat hun beveiliging op orde is. In de praktijk betekent dit bijvoorbeeld dat zij ook moeten bijhouden of het netwerkverkeer wel veilig is. De Autoriteit Persoonsgegevens heeft al aangekondigd dat organisaties die dit nalaten, mogelijk de Wet bescherming persoonsgegevens overtreden.

8 maart 2016 | Door redactie

Om aan de Wet bescherming persoonsgegevens te voldoen, is ook technische kennis nodig. Een belangrijk onderdeel van de totale beveiliging is het waarborgen van de veiligheid van het netwerkverkeer van en naar de organisatie. Zo zijn er bijvoorbeeld protocollen die zorgen voor de versleuteling van het verkeer tussen websites. In één zo’n protocol – SSLv2 – is op 1 maart een lek gevonden. In de wet hebben organisaties de verplichting om zo’n lek zo snel mogelijk te dichten. Dat komt meestal neer op in ieder geval een een update. Laten ze dat na, dan beschouwt de Autoriteit Persoonsgegevens (AP) dat mogelijk als een overtreding van de wet. Dit laat de AP op haar website weten.

AP verwacht snelle reactie

Het is duidelijk dat de AP er - ondanks een eerder verzoek van Nederland ICT - bovenop zit, want het lek is net iets meer dan een week bekend. Van organisaties wordt dus verwacht dat zij voortaan onmiddellijk reageren en kwetsbaarheden binnen enkele dagen verhelpen. Dat is belangrijker naarmate er gevoeliger informatie via het netwerk verstuurd wordt. RTL Nieuws onderzocht met het oog op het lek in SSLv2 de websites van Nederlandse gemeenten, die vaak veel persoonlijke zaken met burgers uitwisselen. 33 bleken het lek niet verholpen te hebben en 16 gemeenten pasten zelfs geen versleuteling toe.