Organisaties dienen te controleren of zij geen uit te faseren TLS-configuratie voor het versleutelen van netwerkverkeer gebruiken. Als ze dat verzuimen, lopen ze risico om de AVG te overtreden, aldus de Autoriteit Persoonsgegevens (AP).
Nationaal Cyber Security Centrum
Op 23 april publiceerde het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid vernieuwde TLS-richtlijnen. Hierin wordt onder andere geadviseerd om bepaalde TLS-configuraties uit te faseren. Volgens het NCSC is bekend dat ze fragiel zijn met het oog op de doorontwikkeling van aanvalstechnieken.
Risicoanalyse
Organisaties die nog gebruikmaken van deze uit te faseren TLS-configuraties, dienen een risicoanalyse uit te voeren. Eventueel zullen ze maatregelen moeten nemen om de risico’s te beheersen, aldus de AP. De voorwaarden en de termijn waarna de uit te faseren configuratie niet meer wordt gebruikt, dienen bovendien gedocumenteerd te worden. Het is raadzaam om over te stappen op TLS-configuraties die als ‘voldoende’ of ‘goed’ zijn beoordeeld. “Anders lopen organisaties het risico dat zij niet voldoen aan artikel 24 en 32 van de AVG,” aldus de privacy-autoriteit.
Klik hier voor de whitepaper van het NCSC.