Ict-bedrijven kunnen rekenen op preventieve controles rond beveiliging

De Autoriteit Persoonsgegevens gaat 'op korte termijn' preventieve controles uitvoeren op de beveiliging van data bij ict-bedrijven. Dit bevestigt een woordvoerder van de Nederlandse toezichthouder. Concrete namen of sectoren noemt hij niet voor dit nieuwe initiatief.

De AP controleert volgens de woordvoerder al wel aan steekproefsgewijs in de zorg en bij gemeenten. Daarbij stuurt de toezichthouder een vragenlijst 'over informatiebeveiliging in de brede zin', die ook gaat over analoge beveiliging. Bij deze steekproeven kan de AP ook fysieke bezoeken uitvoeren om instanties en organisaties te controleren.

De preventieve controle bij een aantal ict-bedrijven die in Nederland actief zijn, bouwt hierop voort. Het gaat dan om digitale beveiliging, gezien de aard van de te controleren organisaties. De woordvoerder legt uit dat ict-bedrijven net zoals de zorg en lokale overheden veel data van veel mensen kunnen hebben. Het kan bovendien ook gaan om zeer gevoelige gegevens.

Hoeveelheid plus aard en gevoeligheid

De AP laat niet los welke ict-bedrijven zij gaat controleren of in welke sectoren en geeft ook niet aan of het gaat om bedrijven met klanten in bepaalde sectoren. De woordvoerder verzekert Tweakers dat de selectie niet willekeurig gebeurt. Het is niet 'blind een balletje pakken' zoals bij lotingen voor voetbalwedstrijden. De selectiecriteria voor de preventieve controle op databeveiliging zijn gebaseerd op de hoeveelheid gegevens die ict-bedrijven hebben plus de aard en gevoeligheid daarvan, zegt de woordvoerder.

cybersecurity, security, beveiliging, lock, slot (beeld: Getty Images, JuSun)

Door Jasper Bakker

Nieuwsredacteur

Feedback • 16-04-2026 12:09 51

16-04-2026 • 12:09

51

Lees meer

'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack'
'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack' Nieuws van 15 april 2026
Minister ziet geen heil in Nederlands verbod op losgeldbetaling bij ransomware
Minister ziet geen heil in Nederlands verbod op losgeldbetaling bij ransomware Nieuws van 9 april 2026
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval Nieuws van 9 april 2026
AP ontving zoveel geld dat zij ruim 60.000 euro moet terugbetalen - update
AP ontving zoveel geld dat zij ruim 60.000 euro moet terugbetalen - update Nieuws van 3 april 2026
AP en RDI doen officieel onderzoek naar Odido-datalek
AP en RDI doen officieel onderzoek naar Odido-datalek Nieuws van 26 maart 2026
Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura
Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura Nieuws van 18 maart 2026
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026
Ook datalek bij Autoriteit Persoonsgegevens, gegevens van werknemers ingezien
Ook datalek bij Autoriteit Persoonsgegevens, gegevens van werknemers ingezien Nieuws van 6 februari 2026
AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat
AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat Nieuws van 27 januari 2026
Meer producten en artikelen
Marktontwikkelingen E-commerce Websites en community's Politiek en recht Privacy Autoriteit Persoonsgegevens Cybercrime Cybersecurity Datalek Security

Reacties (51)

-Moderatie-faq
51
51
23
2
0
26
Wijzig sortering

Sorteer op:

Weergave:
locke960 16 april 2026 14:34
Bron: https://autoriteitpersoonsgegevens.nl/actueel/ap-gaat-ict-leveranciers-preventief-controleren Gaat in op meerdere vragen die in de comments opgeworpen worden.

Concreet betekent dit dat de AP op korte termijn bij (met name) een aantal ICT-leveranciers in Nederland gaat controleren hoe hun beveiliging tegen cyberaanvallen ervoor staat. ICT-leveranciers verwerken vaak grote hoeveelheden persoonsgegevens namens veel klantorganisaties

Die link had wel in het artikel mogen staan.
Reageer
sebastienbo @locke96016 april 2026 15:35
Feitelijk is het de NIS2 wetgeving : wij gebruiken de cyfun framework, een heel gemakkelijke excel waarmee je zelf alles van cyber security kan controleren zonder door de wetgeving te moeten gaan

[Reactie gewijzigd door sebastienbo op 16 april 2026 15:46]

Reageer
djoelzz 16 april 2026 12:15
Wat is in deze context de definitie van een ICT bedrijf? Overheden, banken, webwinkels, telecomboer…. Allemaal IT bedrijven maar niet in de klassieke vorm.
Reageer
R_Zwart @djoelzz16 april 2026 12:19
Logischerwijs bedrijven die persoonsgegevens verwerken. ICT bedrijven die bijvoorbeeld fabrieksautomatisering doen zullen niet de interesse van de AP hebben.
Reageer
Mathijs B @R_Zwart16 april 2026 12:38
Uit ervaring weet ik dat ook daar heel veel gevoelige informatie in doorgaat. Informatie op een label naar welke klant een ingepakt product toe moet, moet tijdens het proces ergens opgeslagen worden, zodat het op een later moment uitgeprint kan worden.

Heb je een een machine die op die manier 1000 orders afhandelt per dag en dus opslaat, gaat het snel om heel veel informatie.
Reageer
Archcry @Mathijs B16 april 2026 12:57
Maar gaat dit dan om personen of klanten? Een klant kan namelijk ook een bedrijf zijn en die vallen typisch niet onder de AVG omdat de AVG alleen van toepassing is op de relatie consument en bedrijf.

Over het algemeen produceren fabrieken toch niet direct voor een consument? Of zie ik iets over het hoofd?
Reageer
Orangelights23 @Archcry16 april 2026 13:00
De AVG gaat over persoonsgegevens. Een bedrijfsnaam an sich is geen persoonsgegevens, maar zodra je te maken hebt met één mailadres van dat bedrijf, moet je voldoen aan de AVG.
Reageer
The Zep Man
@Orangelights2316 april 2026 13:38
De AVG gaat over persoonsgegevens. Een bedrijfsnaam an sich is geen persoonsgegevens,
Het veld "bedrijfsnaam" moet behandeld worden als een persoonsgegeven als je bijvoorbeeld ook levert aan ZZP'ers. Dat komt omdat de namen van dat soort bedrijven vaak wel persoonsgegevens betreffen omdat ZZP'ers veelal de eigen naam gebruiken. Degene die wat besteld namens zo'n bedrijf is waarschijnlijk de betreffende ZZP'er, dus dat is herleidbaar naar een persoon.

[Reactie gewijzigd door The Zep Man op 16 april 2026 13:45]

Reageer
Orangelights23 @The Zep Man16 april 2026 13:50
Dat is een goede, ik zou mijn reactie moeten aanpassen en beschrijven dat een bedrijfsnaam in vele gevallen geen persoonsgegeven is, maar uitzonderingen daargelaten.
Reageer
The Zep Man
@Orangelights2316 april 2026 15:54
Je hebt wel gelijk, hoor. Ik gaf slechts een toelichting. :)

Op zich (in een vacuum) is het geen persoonsgegeven. Mijn toelichting was enkel dat buiten een vacuum om men goed moet nadenken over wat werkelijk opgeslagen wordt en in welke context, voordat een informatieclassificatie eraan wordt gegeven.
Reageer
Floort
@Orangelights2316 april 2026 13:35
De meeste bedrijven hebben een eigenaar, medewerkers, klanten, personen die bij opdrachtgevers/leveranciers werken of andere manieren waarop er er contact is met echte mensen (loonadministratie, e-mails, etc.). Het is waarschijnlijk niet waar de AP nu prioriteit aan geeft, maar een bedrijf zonder verwerking van gegevens over natuurlijke personen ben ik nog niet tegengekomen.
Reageer
Orangelights23 @R_Zwart16 april 2026 12:36
Kun jij 1 bedrijf in Nederland, Europa of de wereld noemen die geen persoonsgegevens verwerkt dan? Je lijkt een onderscheid te maken in PII van collega's en klanten, maar dat onderscheid is er niet volgens de wet.
Reageer
david-v
@Orangelights2316 april 2026 14:53
Het gaat niet zo zeer om puur het verwerken van persoonsgegevens, want elk bedrijf heeft een personeelsbestand, maar ik interpreteer als een bedrijf die persoonsgegevens van klanten heeft. Denk aan Bol, Coolblue, Booking.com of Transavia/KLM. De eerste 3 zou ik nog scharen onder ICT bedrijven, een vliegmaatschappij niet.
Reageer
Orangelights23 @david-v16 april 2026 14:55
Het probleem in de reacties is dat iedereen zijn eigen aanname neerzet. En hoewel deze aannames veelal te volgen zijn, wordt er vooral gespeculeerd op basis van een vage definitie waar je eigenlijk niets mee kunt doen.
Reageer
937mako @R_Zwart16 april 2026 14:16
Maar een bedrijf dat persoonsgegevens verwerkt hoeft niet per definitie een ICT bedrijf te zijn. Met die definitie van een ICT bedrijf is een autoschadeherstel bedrijf dat ook. Die verwerken namelijk ook klantgegevens.
Reageer
Caelestis @djoelzz16 april 2026 12:21
De selectiecriteria voor de preventieve controle op databeveiliging zijn gebaseerd op de hoeveelheid gegevens die ict-bedrijven hebben plus de aard en gevoeligheid daarvan, zegt de woordvoerder.
De definitie wordt niet bepaald aan de hand van het type bedrijf maar aan de hand van het type data.
Reageer
Cyberpuppy @Caelestis16 april 2026 12:45
Maar de AP weet niet hoeveel en welke data wij verwerken. Dus hoe gaan ze die selectie maken?
Reageer
Floort
@Cyberpuppy16 april 2026 13:43
Waarop de AP gaat controleren is denk ik interessanter dan wie ze gaan controleren. Bovendien kan het antwoord op die vraag misschien helpen beantwoorden hoe de selectie mogelijk gemaakt wordt. Ik kan me bijvoorbeeld voorstellen dat er datalekmeldingen zijn doorgenomen en is geteld welke leveranciers het vaakst terugkomen als (onderdeel van) de oorzaak. In dat geval zou ik me zorgen maken dat de meer transparantie organisaties het zwaarst worden onderzocht. Maar de AP legt dat niet uit dus ik kan alleen maar speculeren.
Reageer
Caelestis @Cyberpuppy16 april 2026 14:27
Heel simpel, het is je eigen verantwoordelijkheid om aan te geven welke data jij verwerkt en opslaat.
Ja, je kan er alles aan doen om ze te vermijden maar als de data op straat komt kan je dat even haarfijn uitleggen waarom je het niet gemeld hebt.
De bedrijven die het wel melden en meedoen met het proces kunnen er veel makkelijker vanaf komen.

Uiteindelijk gaat het erom dat de consumenten data niet in handen van criminelen beland. Het AP is niet een of ander machtsmiddel om regels op te leggen naar eigen wil.
Ik zou het zelf zo ver willen doortrekken dat als een bedrijf data lekt en moedwillig om de AP heen heeft proberen te werken, dat de stekker uit het bedrijf in zijn geheel gaat ongeacht hoe groot het is.
Boetes registreren als verwachte verliezen moeten ook einde oefening zijn.
Reageer
Cyberpuppy @Caelestis16 april 2026 15:02
In het artikel staat toch echt dat de AP een selectie toepast o.a. op basis van hoeveelheid en gevoeligheid van data. Daar is niks mis mee, maar ik vroeg me af hoe ze dit gaan doen aangezien ze niet over die gegevens beschikken.
Reageer
Caelestis @Cyberpuppy16 april 2026 15:12
Laat ik het anders stellen.
Als je meedoet met de AP ben je verzekerd.
Als je niet meedoet met de AP ben je niet verzekerd.
Reageer
PhRiXoS @djoelzz16 april 2026 14:24
het gaat om ICT-leveranciers

https://www.autoriteitpersoonsgegevens.nl/actueel/ap-gaat-ict-leveranciers-preventief-controleren
Reageer
937mako 16 april 2026 12:18
Wat is hierbij de definitie van een ICT bedrijf? Is dat een bedrijf waarvan de core business ICT is? En wat is dan ICT? Is reparatie van telefoons al ICT? Of is software ontwikkelen ICT?

[Reactie gewijzigd door 937mako op 16 april 2026 12:19]

Reageer
Cyberpuppy @937mako16 april 2026 12:46
Daar zou je de klassenindeling volgens SBI voor kunnen gebruiken.
Reageer
937mako @Cyberpuppy16 april 2026 14:13
Nou dat vraag ik me dus af. Daar staat namelijk niet in wat de criteria voor een ICT bedrijf zijn. Daar staan dingen is als:
95210 - Reparatie en onderhoud van consumentenelektronica (met uitzondering van computers)

Beschrijving

Deze subklasse omvat reparatie en onderhoud van consumentenelektronica:
- reparatie van consumentenelektronica:
• televisies, radio's
• audio- en videospelers
• videocamera's en fotoapparatuur voor huishoudelijk gebruik
• apparatuur voor videogames

Trefwoorden
audioapparatuur, bruingoed, consumentenelektronica, dvdspeler, fotoapparatuur voor huishoudelijk gebruik, geluidsapparatuur, radio's, reparatie en onderhoud, spelcomputers, tablets, televisiereparatie, televisies, videoapparatuur, videocamera's
Maar niet wanneer een bedrijf een ICT bedrijf is

[Reactie gewijzigd door 937mako op 16 april 2026 14:13]

Reageer
Cyberpuppy @937mako16 april 2026 15:04
Wat dacht je van :

SBI-code: 6202 - Advisering en ondersteuning op het gebied van informatietechnologie
Reageer
Florimon 16 april 2026 12:48
Ik zou zeggen AP, begin lekker met alle bedrijven die Salesforce gebruiken :)
Reageer
oef! @Florimon16 april 2026 14:00
Ik zou eerder kijken naar bedrijven waar veel bijzondere persoonsgegevens verwerkt worden zoals clubs die in de zorg en het sociale domein actief zijn.
Reageer
Tukk @oef!16 april 2026 14:23
Ik heb een persoonlijke ervaring bij zo'n medisch incassobureau. Die lui kunnen wel een review gebruiken. Ik bleef uitleggen, en zij bleven niet luisteren. Een melding bij het AP was het uiteindelijke gevolg.

Mijn privegegevens minder beveiligen als business plan, dacht het niet.
Reageer
AOC 16 april 2026 13:51
Lijkt me wel leuk als een Rob Geus persoon een ICT-bedrijf binnenloopt en de eerste beste computer opent met het wachtwoord 1234. Man man man
Reageer
D3F @AOC16 april 2026 13:56
Haha ik zie Rob Geus al zitten: "Die configuratiebestanden… daar kan ik echt niet mee leven! Man, man, man man."
Reageer
PdeBie @D3F16 april 2026 14:57
Wanneer heb je die keys voor het laatst (dat vet :p ) ververst?
Reageer
DR.V 16 april 2026 12:33
De bevraagde organisaties gaan er er spel van maken om zo positief mogelijk uit de bus te komen en bovendien ontbreekt het de AP om op grote schaal en passende diepgang onderzoek te doen. Security blijft voor veel organisaties een cost center.
Reageer
_JGC_ @DR.V16 april 2026 13:21
Dit. Schrijf op wat wenselijk is. Pas bij een datalek waar je niet meer om het melden heen kunt komt dan de waarheid naarbuiten.

Paar jaar terug had een klant van me een DigID koppeling. Vanuit de overheid moet je dan jaarlijks een audit laten uitvoeren en een pentest laten doen op de omgeving. Toen mij gevraagd werd om dat voor de eerste keer te doen was de opdracht vanuit de klant: "Pak de audit van vorig jaar en kijk of er nieuwe eisen zijn, pas zonodig aan of voer wijzigingen in de omgeving door"

Bij het doornemen van het oude rapport viel mij de bek open. Zoveel dingen die gevraagd werden maar gewoon niet geïmplementeerd waren, maar volgens het rapport prima in orde waren.
Uiteindelijk veel dingen in de omgeving gewijzigd en hier en daar werd nog wat door de vingers gezien omdat er mazen in de audit regels zitten ("als de applicatie kapot gaat door dit te implementeren hoeft het niet", de applicatie ging dus kapot), maar ben blij dat ze die koppeling inmiddels niet meer hebben.
Reageer
jannick63 16 april 2026 13:21
Waarom alleen bij ICT bedrijven zou je zeggen? Want alle bedrijven hebben te maken met ICT, zelfs steeds meer..
Reageer
PdeBie @jannick6316 april 2026 14:56
Inderdaad. Mijn sportclub heeft ook een ledenbestand met een applicatie die mijn toegang bijhoudt als ik mijn pasje door de lezer haal. Dan zie ik op het scherm mijn naam, foto en nog wat zaken.
Reageer
pho-real 16 april 2026 13:21
Enkel ICT bedrijven selecteren is voor deze tijd kortzichtig. Elke branche zou in de scope moeten vallen.
Reageer
Lampuhkap 16 april 2026 13:23
Was de AP pas ook niet gehackt?

Krijgen we dan niet een beetje een 'Wij van WC Eend' gevalletje?
Reageer
Monday 16 april 2026 13:29
Dat is ook een mooie toegangsdeur voor hackers om fysiek binnen te komen, je meld je laat even snel een zelf gemaakte pas zien en je bent binnen
Reageer

Om te kunnen reageren moet je ingelogd zijn