De controles richten zich met name op ICT-leveranciers die grote hoeveelheden persoonsgegevens verwerken namens andere organisaties. Juist bij deze partijen kunnen beveiligingsincidenten verstrekkende gevolgen hebben, omdat één datalek direct meerdere klantorganisaties en grote groepen betrokkenen kan raken. Volgens de AP is het daarom een effectieve inzet van toezichtcapaciteit om juist hier vooraf te toetsen hoe de beveiliging is ingericht.
De toezichthouder benadrukt dat het niet alleen gaat om handhaving achteraf, maar juist om het voorkomen van problemen. Organisaties die worden gecontroleerd, kunnen waar nodig rekenen op aanwijzingen en advies om hun beveiligingsniveau te verbeteren. Daarmee verschuift het accent deels van reactief naar preventief toezicht.
Toenemende dreiging
De nieuwe aanpak hangt samen met de toenemende dreiging van cyberaanvallen en grootschalige datalekken. De AP signaleert dat deze risico’s steeds vaker directe impact hebben op mensen in Nederland. Door meerdere ICT-organisaties te onderzoeken, wil de toezichthouder een breder beeld krijgen van de stand van zaken in de sector.
Eerder startte de AP al met vergelijkbare controles bij zorgorganisaties, waarbij specifiek wordt gekeken naar de bescherming van gevoelige persoonsgegevens. Aanleiding daarvoor was onder meer een datalek bij Clinical Diagnostics. Net als bij de ICT-sector is het doel om organisaties tijdig bij te sturen en zo de bescherming van persoonsgegevens structureel te versterken.
Geef een reactie