Vergroot contrast

Verscherpte aandacht AP voor verouderd beveiligingsprotocol SSLv2

De Autoriteit Persoonsgegevens maakt vandaag bekend verscherpte aandacht te hebben voor het protocol SSLv2 dat als doel heeft beveiligde verbindingen met onder meer websites te maken. Aanleiding hiervoor is een lek in het protocol SSLv2 (“DROWN” - Decrypting RSA with Obsolete and Weakened eNcryption) dat op 1 maart 2016 bekend is geworden. Door deze kwetsbaarheid kunnen kwaadwillenden toegang krijgen tot vertrouwelijke inhoud van het netwerkverkeer.

Maatregelen

Organisaties kunnen de inhoud van het netwerkverkeer versleutelen met de protocollen SSL of TLS (de opvolger van SSL). De Autoriteit Persoonsgegevens wijst erop dat door het recent ontdekte lek het van groot belang is dat organisaties hun configuratie aanpassen. De ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) van het NCSC geven organisaties advies hoe zij met TLS passende maatregelen kunnen nemen. De Autoriteit Persoonsgegevens benadrukt bovendien dat indien gebruik wordt gemaakt van de programmeerbibliotheek OpenSSL, deze bijgewerkt dient te zijn naar de laatste versie.

Als organisaties de configuratie niet aanpassen en gebruik maken van configuraties die bekende kwetsbaarheden bevatten, overtreden zij mogelijk artikel 13 van de Wet bescherming persoonsgegevens (Wbp). De eisen die de Wbp stelt aan de beveiliging zijn hoger naarmate de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen.

Beleidsregels meldplicht datalekken

Datalekken moeten zonder onnodige vertraging en (zo mogelijk) niet later dan 72 uur na de ontdekking gemeld worden. Dit staat in de Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens. Als organisaties niet kunnen uit sluiten dat de persoonsgegevens onrechtmatig zijn verwerkt, dan kan de Autoriteit Persoonsgegevens verlangen dat de organisatie de betrokkenen informeert over het datalek.

Gerelateerd nieuws