Datalekken en subleveranciers

Door Edward Roozenburg, Senior Risk Management Consultant

Het was weer goed raak afgelopen week met waarschijnlijk het grootste datalek ooit in de Nederlandse pensioensector. Niet alleen in de pensioensector was het raak. Ook bij NS en VodafoneZiggo waren er datalekken.

Dat was niet omdat deze organisaties intern een rommeltje maken van hun informatiebeveiliging. De oorzaak was dat informatiebeveiligingsrisico’s verderop in hun keten van leveranciers onvoldoende werden beheerst. In termen van risicomanagement: het risico op datalekken via leveranciers en subleveranciers heeft zich gemanifesteerd.

Meer concreet is het pensioenfonds PME getroffen door een datalek bij een softwareleverancier van een marktonderzoeksbureau dat door PME in de hand was genomen. Een probleem in de informatiebeveiliging van een relatie van een relatie. Een relatie in de tweede graad dus. Ditzelfde is gebeurd bij het Pensioenfonds Zorg & Welzijn.

Beide pensioenfondsen trokken in hun reactie het boetekleed aan. Ze gaven aan het heel vervelend te vinden dat dit was gebeurd. De fondsen zeggen er alles aan te doen om te achterhalen wat er is gebeurd om ervoor te zorgen dat het in de toekomst niet meer zal gebeuren. Een nobele reactie als je bedenkt dat de fout in eerste instantie ligt bij de leverancier van de leverancier. Beide pensioenfondsen nemen echter goed hun verantwoordelijkheid. En zo hoort het.