Ransomware

Het gevaar van ransomware voor bedrijven.

Ransomware is een vorm van malware die bestanden of systemen versleutelt en losgeld eist voor de ontsleuteling. Ransomware werkt meestal door een kwaadaardig bestand te downloaden of te openen, dat zich dan verspreidt naar andere bestanden of systemen en ze vergrendelt met een sterke encryptie.

Social enginering

Maar zoals de hack bij ODIDO blijkt dat het niet gaat om een achterdeur maar een vorm van social enginering naar de medewerkers in combinatie van te veel rechten in de applicatie die werd gebruikt voor het beheer van klanten. Via zogenaamde slimme bevraging aan de medewerkers van ODIDO wist met toegang te krijgen tot veel kantgegevens.

Losgeld

De aanvaller eist dan een betaling, meestal in cryptocurrency, om de sleutel te geven die nodig is om de bestanden of systemen te ontsleutelen. Soms dreigt de aanvaller ook om de gestolen gegevens te publiceren of te verkopen als er niet wordt betaald.

Ransomware kan:

bedrijven ernstig schaden door hun activiteiten te verstoren, hun reputatie te schaden, hun klanten te verliezen en hun gegevens te compromitteren.
zich verspreiden via phishing-e-mails, besmette bijlagen, kwetsbare netwerken, ongepatchte software of externe apparaten.
verschillende soorten gegevens versleutelen, zoals financiële documenten, klantgegevens, personeelsdossiers, intellectueel eigendom of operationele gegevens.
ook extra schade aanrichten door gegevens te stelen, te wissen of te lekken, of door extra malware te installeren.
leiden tot hoge kosten voor het herstellen van de systemen, het betalen van het losgeld, het verliezen van inkomsten, het compenseren van klanten of het betalen van boetes.
ook juridische gevolgen hebben voor bedrijven die niet voldoen aan de wetgeving inzake gegevensbescherming of die nalatig zijn in hun beveiliging.
worden voorkomen of beperkt door goede beveiligingspraktijken te volgen, zoals het maken van back-ups, het updaten van software, het trainen van personeel, het gebruiken van antivirussoftware en het inschakelen van experts.

Zoals ook nu weer bij ODIDO blijkt, is er vaak meer aan de hand. Een quick scan om inzicht te krijgen wat wel en niet is geregeld is wenselijk. Als ervaren auditors doen we dit graag.

Contact

Wil je meer weten of in contact komen met ons zodat we samen kunnen kijken wat te doen, schroom niet en neem contact met ons op.

Wpg afgerond – hoe nu verder?

1 maart 2026 | Juliette Tetenburg

Vandaag is het zover: dé deadline!
En nee, je hebt niet per ongeluk je aangifte inkomstenbelasting gemist. En de DigiD of ENSIA rapportage hoef je pas op 1 mei in te leveren. Maar Boa’s kennen hun eigen vierjaarlijkse mijlpaal: laten zien aan de Autoriteit Persoonsgegevens in welke mate ze voldoen aan de Wet Politiegegevens. Vandaag, 1 maart 2026, was het zover — voor de tweede keer sinds de inwerkingtreding van de Bpg Boa op 9 maart 2019.

En eerlijk is eerlijk: het was weer zo’n traject dat nét iets meer tijd kostte dan vooraf optimistisch ingeschat. Hierbij werd door Boa’s — tussen het werk op straat, op het water, tussen de struiken, in het OV, op scholen en in het bos door— tijd vrij gemaakt om documenten aan te leveren en vragen te beantwoorden. Alles bij elkaar een flinke klus, maar wel eentje die uiteindelijk -merendeels- rondkwam.

De afgelopen maanden hebben wij bij tientallen organisaties de Wpg‑audit uitgevoerd. Organisaties die nog niet aan alle normen voldoen, krijgen een jaar de tijd om verbeteringen door te voeren. Er is dus nog werk aan de winkel. Daarom heb ik een top 5 aandachtspunten verzameld die als rode draad terugkwam in veel audits. Mét tips en quick wins.

1. Niet van toepassing? Noteer het.

In de handreiking staan een aantal normen die zelden van toepassing zijn bij Boa‑organisaties. Denk aan geautomatiseerde individuele besluitvorming (norm 15), geautomatiseerd vergelijken (norm 18) of het verstrekken van politiegegevens aan derde landen (norm 22).

Is het niet van toepassing? Leg het vast. Laat het management dit vaststellen en je voorkomt onnodige rode vlakken in het rapport.

Bij één organisatie kwamen we zelfs een Verklaring van Toepasselijkheid (VvT) tegen. ISO‑inspiratie op z’n mooist.

Quick win: De voorheen rode vakjes, kleuren nu groen (en grijs op bestaan en werking).

2. Tegen lezen: doen jullie al, maar laat het zien.

Een proces‑verbaal wordt vaak tegen gelezen door collega’s of coördinatoren. Alleen… het staat niet altijd vastgelegd. En tja: als het niet aantoonbaar is, heeft een auditor er net zoveel aan als een lege dossiermap (voor de beeldvorming: daar worden we niet per se vrolijk van).

Kleine tip: als je het tegen lezen dan toch vastlegt, vink dan meteen zaken aan als doelbinding, noodzakelijkheid, rechtmatigheid, juistheid, volledigheid en de redenen van wetenschap. Daarmee maak je vier normen in één keer aantoonbaar.
Het voelt bijna als valsspelen. Bijna.

3. Versiebeheer: kleine moeite, groot effect

Auditors kijken naar opzet, bestaan en werking. Voor dit aandachtspunt zoomen we in op de opzet. Dat betekent dat processen moeten zijn beschreven én dat we objectief moeten kunnen vaststellen wanneer, of en door wie ze zijn vastgesteld.

Helaas ontbreken deze basiselementen vaak, maar zien we bijvoorbeeld wel een bijbehorende bestandsnaam zoals: “Proces_verwerking_definitief_echtlaatste_2020_v3_FINAL_bewerkt”

Charmant, maar niet audit‑proof.
Gevolg: rode vakjes.

Quick win: formaliseer wat je al hebt en je poetst weer een paar rode vakken weg. Je administratie hoeft geen proza te zijn — als het maar een geformaliseerde status kent.

4. Verwerkingsregister: combineer norm 1 en 26 (en 2 en 22)

Het verwerkingsregister speelt, net als in de AVG, een belangrijke rol binnen de Wpg. De Wpg stelt daarbij specifieke eisen aan het register, dus neem die onderdelen eens grondig door en zorg ervoor dat ze volledig verwerkt zijn in het register.

Voeg vervolgens versiebeheer toe waaruit blijkt dat het register jaarlijks is geactualiseerd, et voilà: Je pakt normen 1, 2, 22 en 26 tegelijkertijd mee.
Een soort 4‑op‑’n‑rij, maar dan voor compliance.

5. Externe leveranciers: check die TPM’s

Veel organisaties verwerken politiegegevens in SaaS‑applicaties: primaire systemen, zaaksystemen, SharePoint, persoonlijke omgevingen — en e‑mail (die klassieker).

Bij gebruik van SaaS-applicaties is de leverancier verantwoordelijk voor het aantonen van de maatregelen, waaronder de vijf technische en organisatorische maatregelen uit de NOREA‑Wpg‑handreiking. Dit gebeurt via een:

ISAE3000 type II
SOC 2 type 2

Veel organisaties noemen dit ook wel een TPM (Third Party Mededeling).

Tip: informeer leveranciers tijdig dat je deze rapportages nodig hebt voor de heraudit. Scheelt iedereen stress én losse eindjes.

Tot slot

De Wpg‑audit is intensief, maar ook een kans om grip te krijgen op het verwerken van politiegegevens. En het goede nieuws: veel mogelijke verbeterpunten zijn laaghangend fruit. Met deze vijf punten zet je hopelijk grote stappen richting een soepele heraudit.

Contact

Wil je meer weten of in contact komen met ons zodat we samen kunnen kijken wat te doen, schroom niet en neem contact met ons op.