Ict-bedrijven kunnen rekenen op preventieve controles rond beveiliging

De Autoriteit Persoonsgegevens gaat 'op korte termijn' preventieve controles uitvoeren op de beveiliging van data bij ict-bedrijven. Dit bevestigt een woordvoerder van de Nederlandse toezichthouder. Concrete namen of sectoren noemt hij niet voor dit nieuwe initiatief.

De AP controleert volgens de woordvoerder al wel steekproefsgewijs in de zorg en bij gemeenten. Daarbij stuurt de toezichthouder een vragenlijst 'over informatiebeveiliging in de brede zin', die ook gaat over analoge beveiliging. Bij deze steekproeven kan de AP ook fysieke bezoeken uitvoeren om instanties en organisaties te controleren.

De preventieve controle bij een aantal ict-bedrijven die in Nederland actief zijn, bouwt hierop voort. Het gaat dan om digitale beveiliging, gezien de aard van de te controleren organisaties. De woordvoerder legt uit dat ict-bedrijven net zoals de zorg en lokale overheden veel data van veel mensen kunnen hebben. Het kan bovendien ook gaan om zeer gevoelige gegevens.

Hoeveelheid plus aard en gevoeligheid

De AP laat niet los welke ict-bedrijven zij gaat controleren of in welke sectoren en geeft ook niet aan of het gaat om bedrijven met klanten in bepaalde sectoren. De woordvoerder verzekert Tweakers dat de selectie niet willekeurig gebeurt. Het is niet 'blind een balletje pakken' zoals bij lotingen voor voetbalwedstrijden. De selectiecriteria voor de preventieve controle op databeveiliging zijn gebaseerd op de hoeveelheid gegevens die ict-bedrijven hebben plus de aard en gevoeligheid daarvan, zegt de woordvoerder.

cybersecurity, security, beveiliging, lock, slot (beeld: Getty Images, JuSun)

Door Jasper Bakker

Nieuwsredacteur

Feedback • 16-04-2026 12:09 69

16-04-2026 • 12:09

69

Lees meer

Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl
Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl Nieuws van 21 april 2026
'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack'
'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack' Nieuws van 15 april 2026
Minister ziet geen heil in Nederlands verbod op losgeldbetaling bij ransomware
Minister ziet geen heil in Nederlands verbod op losgeldbetaling bij ransomware Nieuws van 9 april 2026
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval Nieuws van 9 april 2026
AP ontving zoveel geld dat zij ruim 60.000 euro moet terugbetalen - update
AP ontving zoveel geld dat zij ruim 60.000 euro moet terugbetalen - update Nieuws van 3 april 2026
AP en RDI doen officieel onderzoek naar Odido-datalek
AP en RDI doen officieel onderzoek naar Odido-datalek Nieuws van 26 maart 2026
Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura
Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura Nieuws van 18 maart 2026
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026
Ook datalek bij Autoriteit Persoonsgegevens, gegevens van werknemers ingezien
Ook datalek bij Autoriteit Persoonsgegevens, gegevens van werknemers ingezien Nieuws van 6 februari 2026
AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat
AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat Nieuws van 27 januari 2026
Meer producten en artikelen
Marktontwikkelingen E-commerce Websites en community's Politiek en recht Privacy Autoriteit Persoonsgegevens Cybercrime Cybersecurity Datalek Security

Reacties (69)

-Moderatie-faq
69
69
27
5
0
39
Wijzig sortering

Sorteer op:

Weergave:
locke960 16 april 2026 14:34
Bron: https://autoriteitpersoonsgegevens.nl/actueel/ap-gaat-ict-leveranciers-preventief-controleren Gaat in op meerdere vragen die in de comments opgeworpen worden.

Concreet betekent dit dat de AP op korte termijn bij (met name) een aantal ICT-leveranciers in Nederland gaat controleren hoe hun beveiliging tegen cyberaanvallen ervoor staat. ICT-leveranciers verwerken vaak grote hoeveelheden persoonsgegevens namens veel klantorganisaties

Die link had wel in het artikel mogen staan.
Reageer
sebastienbo @locke96016 april 2026 15:35
Feitelijk is het de NIS2 wetgeving : wij gebruiken de cyfun framework, een heel gemakkelijke excel waarmee je zelf alles van cyber security kan controleren zonder door de wetgeving te moeten gaan

[Reactie gewijzigd door sebastienbo op 16 april 2026 15:46]

Reageer
Yldraeth @sebastienbo16 april 2026 21:26
Hier moet ik toch een kritische noot bij geven.

AP heeft geen bevoegdheden om te handhaven op de NIS 2 eisen. Dat zullen ze echt moeten doen op basis van artikel 32 avg.

Als de AP gaat stellen dat artikel 32 ingevuld moet worden met de eisen uit NIS2 (wat ze niet doen) dan verwacht ik erg veel rechtszaken.

Zeker omdat de CBW nog steeds niet aangenomen is en handhaving van NIS2 eisen daarmee nog niet van start is.

Verder vallen ict service providers onder de NIS 2 uitvoerings verordening 2024/2690. Het Cyfun kader geeft onvoldoende handvatten om aan alle verplichtingen uit deze uitvoerings verordening in te vullen.

(Voor de scherpe lezer ja de uitvoerings verordening heeft directe werking, dus er moet aan voldaan worden. Er is alleen nog geen handhaving op die haar belegd worden bij het RDI)

De Belgische toezichthouder heeft aangegeven vanwege capaciteitsproblemen het Cyfun kader en/of een ISO 27001 certificering te hanteren, maar het RDI heeft een dergelijke uitspraak niet gedaan.

Ik zou IT-service providers en cloud/saas-providers met klem aanraden eens goed naar 2024/2690 te kijken want je valt van je stoel als je het leest (kijk alleen maar eens naar de 36 verplichtingen die je hebt in geval van een significant incident of een wijziging van je risico's).

Source: ik hou me hier praktisch fulltime mee bezig voor een top 10 Nederlandse Corporate a.k.a. just trust me bro.
Reageer
sebastienbo @Yldraeth17 april 2026 09:28
Ik vertrouw je collega ;-), ik ben ook full time NIS2 lead implementer.

Het klopt allemaal wat je zegt, elk land heeft zijn eigen NIS2 implementatie een klein beetje anders van elkaar. Het is de nationale authoriteit van elke land die bepaald hoe exact de cybersecurity directive uitgevoerd en gecontroleerd zal worden.

Wat betreft je uitspraak dat NIS2 (en Cyfun) de AVG artikels niet EXACT bevat is ook juist, maar NIS2 lost dat op door controles in te bouwen dat je een risks listing moet maken van alle lokale en federale wetgevingen. Dus indirect als je CyFun doet dan kom je bij de compliancy/governance controls waar je AVG moet oplijsten en controleren. ALs je Cyfun gebruikt zal je dus indirect toch ook die AVG wetgeving aftoetsten als deelmakende van de Cyfun Controls.

Cyfun maakt het redelijk gemakelijk om niets over het hoofd te zien en is technischer gericht dan ISO27001 controls die ietswat te highlevel blijven hangen op processen. En dat is superhandig want NIS2 is veel technischer diepgaand dan ISO27001. Denk maar aan de requirements gestipuleerd in de Implementation act van NIS2.

Strict genomen is NIS2 enkel een verplichting voor bepaalde sectoren, maar eigenlijk kan iedereen het gebruiken als een manier om zich te wapenen tegen Cybersecurity risks.

[Reactie gewijzigd door sebastienbo op 17 april 2026 09:29]

Reageer
bzuidgeest
16 april 2026 13:34
Een vragenlijst? Daar kan je niet op vertrouwen. Ze zullen echte experts langs moeten sturen anders is het bijna nutteloos denk ik.
Reageer
macaidwin @bzuidgeest16 april 2026 14:53
Inderdaad, zoals zo vaak, omschrijf je daarin enigszins vaag hoe je de boel hebt beveiligd, met weinig relatie met hoe het daadwerkelijk is ingericht.
Reageer
Floort
@bzuidgeest16 april 2026 15:04
"1) Indien verwerkingsverantwoordelijke: Kan [organisatie] conform artikel 5(1)(f) en 5(2) van de AVG aantonen dat de persoonsgevens veilig worden verwerkt? Zo ja, overleg daar bewijs van. Zo nee, leg uit op welke termijn dat wel kan.

2) Indien verwerker: Kan [organisatie] de verwerkingsverantwoordelijken conform artikel 28(3)(h) van de AVG helpen aantonen dat aan alle relevante verplichtingen onder de AVG wordt voldaan? Zo ja, overleg daar bewijs van. Zo nee, leg uit op welke termijn dat wel kan.

3) Overleg een volledige kopie van het register onder artikel 33(5) van de AVG van de afgelopen 5 jaar en alle interne tickets, e-mails en andere berichten die te maken hebben met (mogelijke) inbreuken op de beveiliging van persoonsgegevens."

Niet waterdicht (verre van), maar het zou organisaties wel even aan het werk zetten en de bewijslast neerleggen waar die thuishoort.
Reageer
bzuidgeest
@Floort16 april 2026 15:30
Die bewijslast heb je al als je ook maar enigzins met iso certificeringen in aanraking komt. Maar de iso's zijn al een wassen neus in veel opzichten. Zo een vragen ding kan je wel alles bijstoppen. Gewoon een verhaaltje maken.

Alleen echte controle op wat wel en niet is geimplementeerd en of het ook werkt in de praktijk geeft een echt beeld.

En in antwoord op vraag drie dump je zo een enorme berg data op de avg dat ze er nooit doorheen komen of kaas van kunnen maken.
Reageer
Floort
@bzuidgeest16 april 2026 15:48
Het is lastiger om specifiek te worden als de AP niet specifiek is over de onderzoeks-doelen en scope. En het doel kan ook niet zijn dat alle bevraagde organisaties straks 100% veilig zijn (want dat kan niet). Wat wel mogelijk is is om vragen te stellen die de bewijslast leggen waar die hoort, waarbij non-antwoorden genoeg kunnen zijn om een overtreding vast te stellen en die soms ook te vergelijken zijn met andere bronnen (bijvoorbeeld datalek-meldingen van klanten). Er moet (zoals bij elk onderzoek) wel vooraf duidelijk worden nagedacht over hoe je de bevindingen gaat beoordelen.
Reageer
bzuidgeest
@Floort16 april 2026 15:51
non antwoorden zijn nooit genoeg voor een overtreding vast te stellen. Een overtreding moet je bewijzen. Een non-antwoord ook. Ik wens het AP sterkte daar mee.

Niets is 100% veilig en echter controles juich ik wel toe, maar dan wel echte controles en niet deze non-controle op papier. De echte overtreders begraven het AP in documentatie met zoveel antwoorden op vragen die ze niet stelden dat ze nooit kunnen bewijzen dat het antwoord er niet tussen zit.
Reageer
Floort
@bzuidgeest16 april 2026 15:59
Ik was wat kort door de bocht, maar één van de verbeteringen van de AVG die te vaak wordt vergeten (ook door de AP) is dat de AVG op sommige plaatsen de bewijslast omdraait. Artikel 5 is daar de kern van. Het is mogelijk om daar gebruik van te maken om het toezicht een stuk minder vrijblijvend te maken. Afhankelijk van het doel van dit onderzoek is het best mogelijk dat dat gebruikt kan worden om het best lastig te maken om met oppervlakkig gezwets weg te komen.
Reageer
bzuidgeest
@Floort16 april 2026 16:02
Het AP heeft daar het geld en de mankracht niet voor.
Reageer
naaitsab @bzuidgeest16 april 2026 17:46
Dan moet de AP daar wel voor gemachtigd zijn. Er mag niet zomaar een instantie bij een bedrijf naar binnen stappen en (gevoelige) informatie opvragen. Zeker niet onder dwang. Dus ik snap de vragenlijst aanpak ergens ook wel, wellicht is het alleen maar om awareness te creëren. Genoeg bedrijven die nog met oogkleppen rondlopen rondom AVG/NIS2 etc en eigenlijk geen idee hebben waar ze allemaal aan moeten voldoen (of er lak aan hebben).
Reageer
djoelzz 16 april 2026 12:15
Wat is in deze context de definitie van een ICT bedrijf? Overheden, banken, webwinkels, telecomboer…. Allemaal IT bedrijven maar niet in de klassieke vorm.
Reageer
R_Zwart @djoelzz16 april 2026 12:19
Logischerwijs bedrijven die persoonsgegevens verwerken. ICT bedrijven die bijvoorbeeld fabrieksautomatisering doen zullen niet de interesse van de AP hebben.
Reageer
Orangelights23 @R_Zwart16 april 2026 12:36
Kun jij 1 bedrijf in Nederland, Europa of de wereld noemen die geen persoonsgegevens verwerkt dan? Je lijkt een onderscheid te maken in PII van collega's en klanten, maar dat onderscheid is er niet volgens de wet.
Reageer
david-v
@Orangelights2316 april 2026 14:53
Het gaat niet zo zeer om puur het verwerken van persoonsgegevens, want elk bedrijf heeft een personeelsbestand, maar ik interpreteer als een bedrijf die persoonsgegevens van klanten heeft. Denk aan Bol, Coolblue, Booking.com of Transavia/KLM. De eerste 3 zou ik nog scharen onder ICT bedrijven, een vliegmaatschappij niet.
Reageer
Orangelights23 @david-v16 april 2026 14:55
Het probleem in de reacties is dat iedereen zijn eigen aanname neerzet. En hoewel deze aannames veelal te volgen zijn, wordt er vooral gespeculeerd op basis van een vage definitie waar je eigenlijk niets mee kunt doen.
Reageer
Niemand_Anders @david-v17 april 2026 11:42
Een vliegtuigmaatschappij niet. Raar, want KLM weet veel meer van je dan CoolBlue met ook nog eens sterk persoonlijke gegevens los van de standaard NAWTE zoals bijvoorbeeld je geboortedatum en identificatie gegevens. Ik denk dat er anno vandaag weinig bedrijven zijn welke meer informatie verwerken dan vliegtuigmaatschappijen.

Ik vermoed dat het AP ook vooral de development bedrijven gaat controleren. Op papier zal het bij de meeste goed geregeld zijn, maar in de praktijk niet zozeer. Ik deed onlangs een cleanup voor onze annual ISO certificering en kwam toch een hoop documenten (excel) tegen met daarin klant informatie. Regelmatig moeten wij voor opdrachtgevers bepaalde gegevens uit de database vissen. Die informatie gaat in de regel in een CSV/Excel bestand en gaat dan per mail or cloud storage box naar de opdrachtgever.

Wanneer is de laatste keer geweest dat jij een sent items folder van je mail client hebt opgeschoond en elke mail met een attachment met gevoelige informatie verwijderd? Gelukkig werk ik net over de grens in Duitsland, maar als het AP zomaar onaangekondigd zou binnen stappen, brand alarm activeert (snelste manier om iedereen uit het pand te krijgen) en dan de workstations gaat controleren is er een grote kans dat wij onze certificeringen weer moeten inleveren.

Het is voor de grap een herexamen inplannen omdat je denk dat je een goede chauffeur bent, maar dan vervolgens toch zakt omdat je niet op de hoogte was van een nieuwe regel en je daarna de roze papiertje (herlaas tegenwoordig kaartje) moet inleveren. Never tempt fate...
Reageer
david-v
@Niemand_Anders17 april 2026 12:05
Het gaat er even om dat in het artikel ICT bedrijven onder de loep worden genomen. KLM is geen ICT bedrijf.
Reageer
Niemand_Anders @david-v17 april 2026 14:06
KLM ontwikkelt anders voldoende software zelf. KLM is een paraplu met honderden werkmaatschappijen in zich en diverse daarvan zijn bezig met ontwikkeling van software en weer andere onderdelen doen integratie en beheer.

KLM ontwikkelt hun eigen website, software en doet ook het beheer. Hoe zijn zij dan anders dan een Coolblue of een Wehkamp?
Reageer
Mathijs B @R_Zwart16 april 2026 12:38
Uit ervaring weet ik dat ook daar heel veel gevoelige informatie in doorgaat. Informatie op een label naar welke klant een ingepakt product toe moet, moet tijdens het proces ergens opgeslagen worden, zodat het op een later moment uitgeprint kan worden.

Heb je een een machine die op die manier 1000 orders afhandelt per dag en dus opslaat, gaat het snel om heel veel informatie.
Reageer
Archcry @Mathijs B16 april 2026 12:57
Maar gaat dit dan om personen of klanten? Een klant kan namelijk ook een bedrijf zijn en die vallen typisch niet onder de AVG omdat de AVG alleen van toepassing is op de relatie consument en bedrijf.

Over het algemeen produceren fabrieken toch niet direct voor een consument? Of zie ik iets over het hoofd?
Reageer
Orangelights23 @Archcry16 april 2026 13:00
De AVG gaat over persoonsgegevens. Een bedrijfsnaam an sich is geen persoonsgegevens, maar zodra je te maken hebt met één mailadres van dat bedrijf, moet je voldoen aan de AVG.
Reageer
The Zep Man
@Orangelights2316 april 2026 13:38
De AVG gaat over persoonsgegevens. Een bedrijfsnaam an sich is geen persoonsgegevens,
Het veld "bedrijfsnaam" moet behandeld worden als een persoonsgegeven als je bijvoorbeeld ook levert aan ZZP'ers. Dat komt omdat de namen van dat soort bedrijven vaak wel persoonsgegevens betreffen omdat ZZP'ers veelal de eigen naam gebruiken. Degene die wat besteld namens zo'n bedrijf is waarschijnlijk de betreffende ZZP'er, dus dat is herleidbaar naar een persoon.

[Reactie gewijzigd door The Zep Man op 16 april 2026 13:45]

Reageer
Orangelights23 @The Zep Man16 april 2026 13:50
Dat is een goede, ik zou mijn reactie moeten aanpassen en beschrijven dat een bedrijfsnaam in vele gevallen geen persoonsgegeven is, maar uitzonderingen daargelaten.
Reageer
The Zep Man
@Orangelights2316 april 2026 15:54
Je hebt wel gelijk, hoor. Ik gaf slechts een toelichting. :)

Op zich (in een vacuum) is het geen persoonsgegeven. Mijn toelichting was enkel dat buiten een vacuum om men goed moet nadenken over wat werkelijk opgeslagen wordt en in welke context, voordat een informatieclassificatie eraan wordt gegeven.
Reageer
Floort
@Orangelights2316 april 2026 13:35
De meeste bedrijven hebben een eigenaar, medewerkers, klanten, personen die bij opdrachtgevers/leveranciers werken of andere manieren waarop er er contact is met echte mensen (loonadministratie, e-mails, etc.). Het is waarschijnlijk niet waar de AP nu prioriteit aan geeft, maar een bedrijf zonder verwerking van gegevens over natuurlijke personen ben ik nog niet tegengekomen.
Reageer
937mako @R_Zwart16 april 2026 14:16
Maar een bedrijf dat persoonsgegevens verwerkt hoeft niet per definitie een ICT bedrijf te zijn. Met die definitie van een ICT bedrijf is een autoschadeherstel bedrijf dat ook. Die verwerken namelijk ook klantgegevens.
Reageer
Caelestis @djoelzz16 april 2026 12:21
De selectiecriteria voor de preventieve controle op databeveiliging zijn gebaseerd op de hoeveelheid gegevens die ict-bedrijven hebben plus de aard en gevoeligheid daarvan, zegt de woordvoerder.
De definitie wordt niet bepaald aan de hand van het type bedrijf maar aan de hand van het type data.
Reageer
Cyberpuppy @Caelestis16 april 2026 12:45
Maar de AP weet niet hoeveel en welke data wij verwerken. Dus hoe gaan ze die selectie maken?
Reageer
Floort
@Cyberpuppy16 april 2026 13:43
Waarop de AP gaat controleren is denk ik interessanter dan wie ze gaan controleren. Bovendien kan het antwoord op die vraag misschien helpen beantwoorden hoe de selectie mogelijk gemaakt wordt. Ik kan me bijvoorbeeld voorstellen dat er datalekmeldingen zijn doorgenomen en is geteld welke leveranciers het vaakst terugkomen als (onderdeel van) de oorzaak. In dat geval zou ik me zorgen maken dat de meer transparantie organisaties het zwaarst worden onderzocht. Maar de AP legt dat niet uit dus ik kan alleen maar speculeren.
Reageer
Caelestis @Cyberpuppy16 april 2026 14:27
Heel simpel, het is je eigen verantwoordelijkheid om aan te geven welke data jij verwerkt en opslaat.
Ja, je kan er alles aan doen om ze te vermijden maar als de data op straat komt kan je dat even haarfijn uitleggen waarom je het niet gemeld hebt.
De bedrijven die het wel melden en meedoen met het proces kunnen er veel makkelijker vanaf komen.

Uiteindelijk gaat het erom dat de consumenten data niet in handen van criminelen beland. Het AP is niet een of ander machtsmiddel om regels op te leggen naar eigen wil.
Ik zou het zelf zo ver willen doortrekken dat als een bedrijf data lekt en moedwillig om de AP heen heeft proberen te werken, dat de stekker uit het bedrijf in zijn geheel gaat ongeacht hoe groot het is.
Boetes registreren als verwachte verliezen moeten ook einde oefening zijn.
Reageer
Cyberpuppy @Caelestis16 april 2026 15:02
In het artikel staat toch echt dat de AP een selectie toepast o.a. op basis van hoeveelheid en gevoeligheid van data. Daar is niks mis mee, maar ik vroeg me af hoe ze dit gaan doen aangezien ze niet over die gegevens beschikken.
Reageer
Caelestis @Cyberpuppy16 april 2026 15:12
Laat ik het anders stellen.
Als je meedoet met de AP ben je verzekerd.
Als je niet meedoet met de AP ben je niet verzekerd.
Reageer
PhRiXoS @djoelzz16 april 2026 14:24
het gaat om ICT-leveranciers

https://www.autoriteitpersoonsgegevens.nl/actueel/ap-gaat-ict-leveranciers-preventief-controleren
Reageer
937mako 16 april 2026 12:18
Wat is hierbij de definitie van een ICT bedrijf? Is dat een bedrijf waarvan de core business ICT is? En wat is dan ICT? Is reparatie van telefoons al ICT? Of is software ontwikkelen ICT?

[Reactie gewijzigd door 937mako op 16 april 2026 12:19]

Reageer
Cyberpuppy @937mako16 april 2026 12:46
Daar zou je de klassenindeling volgens SBI voor kunnen gebruiken.
Reageer
937mako @Cyberpuppy16 april 2026 14:13
Nou dat vraag ik me dus af. Daar staat namelijk niet in wat de criteria voor een ICT bedrijf zijn. Daar staan dingen is als:
95210 - Reparatie en onderhoud van consumentenelektronica (met uitzondering van computers)

Beschrijving

Deze subklasse omvat reparatie en onderhoud van consumentenelektronica:
- reparatie van consumentenelektronica:
• televisies, radio's
• audio- en videospelers
• videocamera's en fotoapparatuur voor huishoudelijk gebruik
• apparatuur voor videogames

Trefwoorden
audioapparatuur, bruingoed, consumentenelektronica, dvdspeler, fotoapparatuur voor huishoudelijk gebruik, geluidsapparatuur, radio's, reparatie en onderhoud, spelcomputers, tablets, televisiereparatie, televisies, videoapparatuur, videocamera's
Maar niet wanneer een bedrijf een ICT bedrijf is

[Reactie gewijzigd door 937mako op 16 april 2026 14:13]

Reageer
Cyberpuppy @937mako16 april 2026 15:04
Wat dacht je van :

SBI-code: 6202 - Advisering en ondersteuning op het gebied van informatietechnologie
Reageer
937mako @Cyberpuppy17 april 2026 11:57
Ja die zou overduidelijk als ICT-bedrijf bestempeld kunnen worden. Maar ik bedoel meer te zeggen dat er ook codes kunnen zijn waar het wat genuanceerder is.
Reageer
Krommetenen @937mako16 april 2026 17:55
Je komt met eigen profileren al een heel eind denk ik.
Reageer
Florimon 16 april 2026 12:48
Ik zou zeggen AP, begin lekker met alle bedrijven die Salesforce gebruiken :)
Reageer
oef! @Florimon16 april 2026 14:00
Ik zou eerder kijken naar bedrijven waar veel bijzondere persoonsgegevens verwerkt worden zoals clubs die in de zorg en het sociale domein actief zijn.
Reageer
Tukk @oef!16 april 2026 14:23
Ik heb een persoonlijke ervaring bij zo'n medisch incassobureau. Die lui kunnen wel een review gebruiken. Ik bleef uitleggen, en zij bleven niet luisteren. Een melding bij het AP was het uiteindelijke gevolg.

Mijn privegegevens minder beveiligen als business plan, dacht het niet.
Reageer
AOC 16 april 2026 13:51
Lijkt me wel leuk als een Rob Geus persoon een ICT-bedrijf binnenloopt en de eerste beste computer opent met het wachtwoord 1234. Man man man
Reageer
D3F @AOC16 april 2026 13:56
Haha ik zie Rob Geus al zitten: "Die configuratiebestanden… daar kan ik echt niet mee leven! Man, man, man man."
Reageer
PdeBie @D3F16 april 2026 14:57
Wanneer heb je die keys voor het laatst (dat vet :p ) ververst?
Reageer
DR.V 16 april 2026 12:33
De bevraagde organisaties gaan er er spel van maken om zo positief mogelijk uit de bus te komen en bovendien ontbreekt het de AP om op grote schaal en passende diepgang onderzoek te doen. Security blijft voor veel organisaties een cost center.
Reageer
_JGC_ @DR.V16 april 2026 13:21
Dit. Schrijf op wat wenselijk is. Pas bij een datalek waar je niet meer om het melden heen kunt komt dan de waarheid naarbuiten.

Paar jaar terug had een klant van me een DigID koppeling. Vanuit de overheid moet je dan jaarlijks een audit laten uitvoeren en een pentest laten doen op de omgeving. Toen mij gevraagd werd om dat voor de eerste keer te doen was de opdracht vanuit de klant: "Pak de audit van vorig jaar en kijk of er nieuwe eisen zijn, pas zonodig aan of voer wijzigingen in de omgeving door"

Bij het doornemen van het oude rapport viel mij de bek open. Zoveel dingen die gevraagd werden maar gewoon niet geïmplementeerd waren, maar volgens het rapport prima in orde waren.
Uiteindelijk veel dingen in de omgeving gewijzigd en hier en daar werd nog wat door de vingers gezien omdat er mazen in de audit regels zitten ("als de applicatie kapot gaat door dit te implementeren hoeft het niet", de applicatie ging dus kapot), maar ben blij dat ze die koppeling inmiddels niet meer hebben.
Reageer
jannick63 16 april 2026 13:21
Waarom alleen bij ICT bedrijven zou je zeggen? Want alle bedrijven hebben te maken met ICT, zelfs steeds meer..
Reageer
PdeBie @jannick6316 april 2026 14:56
Inderdaad. Mijn sportclub heeft ook een ledenbestand met een applicatie die mijn toegang bijhoudt als ik mijn pasje door de lezer haal. Dan zie ik op het scherm mijn naam, foto en nog wat zaken.
Reageer
pho-real 16 april 2026 13:21
Enkel ICT bedrijven selecteren is voor deze tijd kortzichtig. Elke branche zou in de scope moeten vallen.
Reageer
Lampuhkap 16 april 2026 13:23
Was de AP pas ook niet gehackt?

Krijgen we dan niet een beetje een 'Wij van WC Eend' gevalletje?
Reageer
Krommetenen @Lampuhkap16 april 2026 17:53
Ervaringsdeskundigen, zo kun je het ook zien
Reageer
Lampuhkap @Krommetenen16 april 2026 19:08
:+
Reageer
MarcoZTM @Lampuhkap18 april 2026 19:53
Ga maar rustig slapen hoor, Lampuhkap. Misschien ook het licht uit doen.

Volgende speelde er bij de AP:
Aanvallers wisten in te breken op de Ivanti EPMM-server (Endpoint Manager Mobile) van de AP, zo werd begin februari 2026 bekend.Via deze kwetsbaarheid hebben onbevoegden waarschijnlijk toegang gekregen tot persoonsgegevens van medewerkers.

Laatste is nog niet zeker.
Reageer
Lampuhkap @MarcoZTM18 april 2026 20:06
Laatse is nog niet zeker, dat bedoel ik dus.
Reageer

Om te kunnen reageren moet je ingelogd zijn