Datalekken: de CNIL slaat alarm, en wij zijn het daarmee eens.
Twee weken geleden belde een directeur me in paniek op. Een van zijn dienstverleners was net slachtoffer geworden van een cyberaanval. Zijn klantgegevens, waarvan hij dacht dat ze goed beschermd waren bij een "gecertificeerde" SaaS-provider, lagen open en bloot. Zijn eerste vraag was: "Nou, dat is hun probleem, toch?" Nou, nee. Het is ook zijn probleem. En dat is precies een van de belangrijkste conclusies uit het jaarverslag dat is gepubliceerd door de CNIL 18 mei: datalekken Als de keten explodeert, speelt de onderaannemingsketen vrijwel altijd een rol.
6.167 meldingen van datalek geregistreerd in 2025. Een record. 9,5 TP4T meer dan in 2024, en het eerste kwartaal van 2026 volgt dezelfde trend al met 2.730 incidenten. Achter deze cijfers gaan miljoenen Fransen schuil die getroffen zijn, bedrijven die ontregeld zijn en een duidelijke boodschap van Marie-Laure Denis, voorzitter van de CNIL : daar cyberbeveiliging Die van de staat, evenals die van bedrijven, is "allesbehalve bevredigend".
Samenvattend
- Absolute record van datalekken In Frankrijk in 2025: 6.167 meldingen, +9,5 TP4T in één jaar, en het eerste kwartaal van 2026 bevestigt deze trend.
- DE datalekken Ze worden steeds omvangrijker, met de overheid in de voorhoede, en betrekken heel vaak een dienstverlener.
- Het evaluatie- en contractuele kader van de GDPR-onderaannemer zijn een primaire verplichting geworden: een DPA Naleving van regelgeving, audits en monitoring vormen de basis.
- Multifactorauthenticatie (MFA) is nu de maatstaf die de CNIL wacht standaard. In 2026 zal 50 % van zijn besturingselementen zich richten op de cyberbeveiliging.
- Een procedure van overtredingsmelding getest, de update van registratie van verwerkingsactiviteiten en de realisatie van AIPD Dat maakt op de grote dag echt het verschil.
- Naleving wordt niet bewezen door intenties, maar door documenten: zo werkt het nu eenmaal.verantwoordelijkheid.
Wat het jaarverslag van de CNIL (werkelijk) zegt
"Steeds omvangrijkere" schendingen
Het rapport telt niet alleen, het schetst ook een beeld. Ongeveer veertig incidenten in 2025 troffen elk meer dan een miljoen mensen – tien meer dan in 2024. De overheid voert de lijst aan met 19 miljoen gemelde incidenten, gevolgd door de gezondheidszorg, sociale diensten en vervolgens de financiële en verzekeringssector. En dat is nog niet alles: dit cijfer omvat niet eens de cyberaanvallen op de software van Weda en Harvest, die alleen al meer dan 11.600 meldingen bij klanten genereerden. Eén incident aan de bron, duizenden bedrijven aan de bron. Dat zegt genoeg.
Drie lessen die geleerd moeten worden
Daar CNIL Er komen drie belangrijke observaties naar voren die elke leider prominent in het bestuur zou moeten vermelden. Ten eerste: niemand blijft gespaard. Sportfederaties, hotelketens, onderlinge verzekeringsmaatschappijen, lokale overheden, het mkb en grote bedrijven – de dreiging heeft geen typisch profiel meer. Ten tweede: de datalekken Het gaat om steeds grotere hoeveelheden. Ten derde, en dit sluit aan op onze eerdere artikelen: deze incidenten betreffen vaak dienstverleners. GDPR-onderaannemer is de meest blootgestelde schakel geworden.
De methode van de aanvallers wordt steeds vaker toegepast.
Hacking is verantwoordelijk voor de helft van alle gemelde incidenten. Achter dit woord schuilt een hele reeks problemen: ransomware, phishing, credential stuffingDiefstal van legitieme gebruikersaccounts. Daarnaast zijn 13 van de incidenten te wijten aan een onjuiste ontvanger in de cc van een e-mail, 7 aan hardwareverlies en 7 aan het per ongeluk plaatsen van berichten. Kortom, menselijke fouten blijven een belangrijke factor. En dan is er nog generatieve AI, die, in de woorden van de president van de CNILDe ANTS-zaak, waarin een 15-jarige minderjarige – "geen wonderkind", zoals de aanklager benadrukte – betrokken raakt bij de hack van het agentschap voor beveiligde documenten, is een huiveringwekkend voorbeeld hiervan.
Waarom uw onderaannemers (nog steeds) de kern van het probleem vormen
Als een dienstverlener ten onder gaat, gaan hun klanten met hem mee ten onder.
Laten we terugkeren naar het verhaal van de Weda- en Harvest-software. Dit waren twee cyberaanvallen, maar de autoriteiten ontvingen 11.600 meldingen. Want achter de software-uitgever staan telkens honderden medische praktijken en honderden vermogensbeheerders die ook getroffen worden. gegevensbeheerder en moeten het lek melden aan hun eigen klanten. Dit is precies het scenario van de onderaannemer Mobius/Deezer dat CNIL Het bedrijf kreeg een boete van één miljoen euro die eind 2025 van kracht moet zijn – maar in dit geval lopen de kosten vele malen hoger op. Eén aanslag, duizend professionele slachtoffers, miljoenen mensen getroffen.
De eerste beoordeling: uw beste (en enige) bescherming.
De AVG laat geen ruimte voor twijfel: een gegevensbeheerder "maakt alleen gebruik van onderaannemers die voldoende garanties bieden." Deze verplichting, vastgelegd in artikel 28, lid 1, is geen wensdroom. Het is waar de inspecteurs op zullen letten. Stuurt u bijvoorbeeld een evaluatievragenlijst naar elke dienstverlener? Vraagt u naar hun veiligheidsbeleid, hun registratie van verwerkingsactiviteiten, de naam van hun DPOHun certificeringen? Heeft u die al gevonden? gegevensoverdracht Buiten de EU? Als het antwoord op een van deze vragen "eh" is, dan heb je je eerste operationele prioriteit.
Het contract alleen is niet voldoende, evenmin als de audit, maar samen wel.
A GDPR-onderaannemingsovereenkomst goed geschreven — dat wil zeggen een DPA Het herhalen van de acht verplichte bepalingen van artikel 28 §3 is het uitgangspunt, niet het einddoel. Beheer op lange termijn is eveneens essentieel: jaarlijkse audits, evaluaties van volgende onderaannemers, monitoring van technische en organisatorische maatregelen effectief toegepast. Om deze aanpak te structureren, de Viqtor-module voor onderaannemers Centraliseert beoordelingen, contracten, audits en transactiegeschiedenis in één enkele database. Dit is het soort bewijs dat een controller nodig heeft. CNIL Leuk om te zien.
Zijn uw contracten met onderaannemers en de bijbehorende evaluaties nog actueel? Vraag een Viqtor-expert om de feiten.
Wat de overheid doet – en wat u op uw beurt zou moeten doen
200 miljoen euro en een nieuwe digitale autoriteit
Eind april presenteerde premier Sébastien Lecornu zijn plan: 200 miljoen euro om de cyberbeveiliging van de staat, de samenvoeging van het interministerieel directoraat voor digitale zaken en dat voor publieke transformatie om een digitale autoriteit te creëren die verbonden is aan het kabinet van de premier. Hierna, deANSSI heeft nieuwe richtlijnen voor ministeries gepubliceerd: elk ministerie moet een adviseur aanstellen. cyberbeveiligingDit is niet onbelangrijk. Wanneer de staat op dit niveau reorganiseert, betekent dit dat men de situatie als zeer zorgwekkend beschouwt. Binnen de keten besteden overheidsdiensten echter veel taken uit, en elke dienstverlener vormt een potentieel risico.
Multifactorauthenticatie: de maatregel die veel tragedies had kunnen voorkomen.
Daar CNIL Het brengt een simpele boodschap over: de meeste recente grote aanslagen hadden voorkomen kunnen worden met een meerfactorauthenticatie correct ingezet. De MFAHet is deze dubbele factor die een groot deel van de technieken ondoeltreffend maakt. credential stuffing En phishingDe autoriteit publiceerde haar aanbeveling al in maart 2025, waardoor organisaties de tijd kregen zich aan te passen, en kondigt nu gerichte controles aan. In 2026 zal 50% van de handhavingsmaatregelen zich richten op de cyberbeveiliging, vergeleken met een kwart tot een derde in 2025. Voor bases met meer dan een miljoen mensen zullen controles prioriteit krijgen.
Enkele concrete projecten die deze week van start gaan.
Zonder de teams te overbelasten, zijn er een paar acties die snel kunnen worden ondernomen en die echt een verschil kunnen maken in geval van een incident. Dit is wat ik mijn leidinggevende klanten aanraad als ze me vragen waar ze moeten beginnen.
- Activeer de MFA op alle accounts met bevoorrechte toegang en op toegang tot tools die persoonlijke gegevens.
- Werk uw lijst met onderaannemers bij en controleer of elk van hen een DPA ondertekend, en identificeer degenen die het uitvoeren gegevensoverdracht buiten de EU.
- Test uw procedure overtredingsmelding Wie stelt wie op de hoogte? Kun je de reeks gebeurtenissen terugvoeren naar...? CNIL binnen de wettelijke termijn 72 uur ?
- Het documenteren van een AIPD (impactanalyse) voor uw risicovolle behandelingen — dat is het andere punt dat de CNIL systematische controles.
- Kijk nog eens snel naar je registratie van verwerkingsactiviteiten Het is zelden zo actueel als men zou denken.
En wat gebeurt er na het lek? Incidentmanagement, waar alles van afhangt.
De eerste 72 uur bepalen de rest.
Wanneer een dienstverlener u waarschuwt, heeft u 72 uur om de CNIL als de datalek vormt een risico voor mensen. Geen drie weken. Niet genoeg tijd om een stuurgroep bijeen te roepen. De procedure moet gereed zijn, geschreven, getest en klaar om op zondagavond geactiveerd te worden. Onze pagina gewijd aan de verklaring betreffende datalekken De stappen worden in detail beschreven om te voorkomen dat je het in omgekeerde volgorde doet.
De betrokkenen informeren, het moment van de waarheid
Als het datalek een groot risico vormt voor de rechten en vrijheden van individuen, vereist de AVG ook dat elke betrokkene direct wordt geïnformeerd. Vaak krijgt crisiscommunicatie op dit punt voorrang boven juridische stappen. Bij slecht beheer stort het vertrouwen in – Marie-Laure Denis spreekt zelfs van "de erosie van de vertrouwensband tussen de staat en haar burgers" in verband met overheidslekken. Voor een particulier bedrijf betekent dit dat de klant vertrekt en de advocaat arriveert.
De sanctie en wat die zegt over de volwassenheid van de organisatie.
Daar CNIL Het bestraft niet de vlucht zelf, maar de tekortkomingen die de vlucht mogelijk maakten of verergerden. Afwezigheid vanmeerfactorauthenticatieonvolledig register, generieke onderaannemingscontracten, late melding, verantwoordelijkheid niet-bestaand. Dit is waar de verdediging – of de veroordeling – wordt opgebouwd. Om deze hele structuur betrouwbaar te maken, onze Een complete handleiding voor GDPR-nalevingsaudits Hierin wordt de methodologie beschreven die onze consultants hanteren.
Veelgestelde vragen
Mijn serviceprovider heeft te maken gehad met een datalek. Ben ik daarvoor verantwoordelijk?
Voor zover gegevensbeheerderJa, u blijft wettelijk verantwoordelijk voor de gegevensverwerking, zelfs als het lek afkomstig is van uw onderaannemer. U moet het risico analyseren en de betrokken partijen op de hoogte stellen. CNIL indien nodig in de 72 uuren, waar nodig, de betrokkenen informeren. Uw onderaannemingsovereenkomst AVG Je moet plannen hoe de dienstverlener je waarschuwt en hoe er met hem wordt samengewerkt.
Is multifactorauthenticatie verplicht?
Het staat niet expliciet in de AVG, maar de CNIL beschouwt het als een verwachte technische maatregel voor elke toegang tot persoonlijke gegevens gevoelige of grootschalige projecten. De aanbeveling van maart 2025 is expliciet, en de audits van 2026 zullen zich voornamelijk richten op organisaties die de aanbeveling nog niet hebben geïmplementeerd. Kortom: het is niet langer optioneel.
Wat is de uiterste datum voor het melden van een datalek aan de CNIL?
72 uur vanaf het moment dat het incident wordt gemeld, tenzij de overtreding waarschijnlijk geen risico vormt voor de rechten en vrijheden van personen. Na dit punt moet een late melding worden gerechtvaardigd. De melding wordt gedaan via de online dienst van de CNIL en moet de aard van de inbreuk beschrijven, de categorieën gegevens die erbij betrokken zijn en de genomen maatregelen.
Wat zijn de eerste stappen die een mkb-onderneming moet zetten?
Breng de behandelingen in kaart en houd een overzicht bij. registratie van verwerkingsactiviteiten Blijf op de hoogte, identificeer en contracteer elke onderaannemer op de juiste manier via een DPAinzetten MFASchrijf een procedure voor overtredingsmeldingen een referent of een aanwijzen DPODeze vijf bouwlocaties bestrijken de essentiële controlepunten. CNIL.
Wat is het doel van een gegevensbeschermingseffectbeoordeling (DPIA) en wanneer moet deze worden uitgevoerd?
DeAIPD (impactanalyseEen risicoanalyse is verplicht voor verwerkingsactiviteiten die een hoog risico vormen voor rechten en vrijheden: grootschalige surveillance, gevoelige gegevens, geautomatiseerde profilering, enz. De analyse documenteert de risico's, de maatregelen om deze te beperken en toont uw risicobeheersingsaanpak aan.verantwoordelijkheidDit is een van de eerste documenten die de CNIL verzoek in geval van inspectie.
Wil je deze lessen omzetten in een concreet actieplan?
Voor meer informatie kunt u al onze bronnen vinden op de gegevensbeheer en GDPR-naleving op de Viqtor-platform.