De Autoriteit Persoonsgegevens gaat op korte termijn preventieve controles uitvoeren bij ICT-bedrijven die actief zijn in Nederland. De selectie van bedrijven is niet willekeurig: hoeveelheid data en de gevoeligheid ervan bepalen wie aan de beurt is. Namen of sectoren wil de toezichthouder vooralsnog niet noemen.
Dat heeft een woordvoerder van de toezichthouder bevestigd tegenover Tweakers. Concrete namen of sectoren noemt de AP niet, maar de controles staan op de planning voor de korte termijn. Wat in deze context dus precies wordt verstaan onder ‘ICT-bedrijf’ is op dit moment nogal vaag. Gaat het om webwinkels en banken, of bijvoorbeeld overheden of de automatiseringssector?
In ieder geval breidt de toezichthouder hiermee een aanpak uit die al langer loopt. De AP voert steekproefsgewijs al controles uit in de zorg en bij gemeenten. Daarvoor verstuurt de instantie vragenlijsten over informatiebeveiliging in brede zin, wat dus ook gaat over analoge beveiliging. Die controles in de zorg omvatten ook de mogelijkheid van fysieke bezoeken aan instellingen.
ICT-bedrijven bevatten veel gevoelige data
De preventieve controles bij ICT-bedrijven bouwen hierop voort, maar zijn uitsluitend gericht op digitale beveiliging. Dat past bij de aard van de te controleren organisaties meldt de Autoriteit Persoonsgegevens. ICT-bedrijven kunnen net als zorginstellingen of gemeenten grote hoeveelheden persoonsgegevens verwerken, waaronder soms zeer gevoelige informatie.
Dat die risico’s reëel zijn, blijkt uit verschillende recente incidenten. Zo werd de Justitiële ICT Organisatie twee keer gehackt en werd Gemeente Epe ook getroffen door een hack. Ook is de AP begonnen met een onderzoek naar de grote Odido-hack.
Selectie op basis van hoeveelheid en gevoeligheid
De selectie van welke bedrijven er wel en niet worden gecontroleerd is niet toevallig zegt een woordvoerder. “Het is niet ‘blind een balletje pakken’ zoals bij lotingen voor voetbalwedstrijden”. De selectiecriteria draaien om de hoeveelheid persoonsgegevens die een bedrijf verwerkt, maar ook de aard en gevoeligheid van die data.
Dit initiatief past binnen het AP-jaarplan voor 2026-2028, waarin digitale weerbaarheid als prioriteit is benoemd naast toezicht op AI en massasurveillance. Daarin benadrukt de organisatie specifiek aandacht voor cyberveiligheid en de afhankelijkheden van tech-leveranciers. Of de preventieve controles bij ICT-bedrijven ook leiden tot handhavingsmaatregelen, is echter afhankelijk van wat de AP aantreft.