Skip to main content

In Frankrijk geldt SHA-256 nu als inadequate beveiliging. Kan de AP Nederlandse bedrijven hiervoor ook beboeten?

Recent heeft de Franse AVG-toezichthouder (CNIL) een boete van 3,5 miljoen euro opgelegd. Deel daarvan was een inadequate beveiliging door gebruik van SHA-256. Heeft dit precedentwerking, oftewel mogen we nu stellen dat deze hashingtechniek daadwerkelijk niet meer passend is voor beveiligen van persoonsgegevens?

Op 30 december 2025 heeft de CNIL een boete van 3,5 miljoen euro opgelegd aan een niet nader genoemd Frans bedrijf voor het doorgeven van de gegevens van leden van hun loyaliteitsprogramma aan een sociaal netwerk voor gerichte reclamedoeleinden, zonder geldige toestemming. Inderdaad was inadequate beveiliging een deel van de grondslag.

Het bedrijf gebruikte SHA-256 voor het hashen van wachtwoorden (met salt, dat wel). Dat vond de CNIL bezwaarlijk, omdat de collega’s van het ANSSI (Nationaal Agentschap voor Informatiesysteembeveiliging) hadden gezegd dat:

Aanbevolen cryptografische hashfuncties, zoals de SHA2-familie, zijn zeer snel in uitvoering, wat in de context van wachtwoordopslag een voordeel is voor aanvallers, omdat ze hierdoor veel wachtwoorden kunnen testen (d.w.z. hashes kunnen berekenen).

Men wijst op algoritmes zoals Argon2, die mede ontworpen zijn om resistent tegen dergelijke brute force aanvallen te zijn, zelfs met moderde apparatuur. Het bedrijf had in de tussentijd ook al gewisseld naar Argon2.

De uitspraak over de ongeschiktheid van SHA-256 wordt hier vrij algemeen gedaan, en men wijst op eerdere aanbevelingen sinds 2020. Bij het berekenen van de boete wordt dan ook herhaaldelijk geërgerd gewezen op eerdere publicaties:

Verder lezen bij de bron
IB&P

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn
Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.
Ransomware bij een leverancier – waarom wachten geen strategie is
Een ransomware-incident bij een leverancier kan de gemeentelijke dienstverlening direct raken, juist omdat overzicht, contractmanagement en voorbereiding vaak onvoldoende zijn ingericht. Door inzicht te hebben in leveranciers, duidelijke afspraken te maken en ook organisatorisch na te denken over handelingsperspectief, voorkom je dat de gemeente bij een incident in een afwachtende slachtofferrol belandt.
Onzichtbare AI in systemen: privacyrisico’s voor gemeenten
In deze blog leggen we uit hoe AI ongemerkt gemeentelijke software binnendringt, waarom dit een privacyrisico vormt en hoe je hier als gemeente grip op houdt.

Meer recente berichten

Drie grootste steden delen pasfoto’s niet meer met het UWV
Verder lezen
Stad Herentals laat zich vrijwillig hacken voor televisieprogramma: “Zie het als een brandoefening”
Verder lezen
AP onderzoekt of UWV paspoortkopieën mocht opvragen
Verder lezen
AFM benadrukt belang van goede informatiebeveiliging bij accountantsorganisaties
Verder lezen
Vijf focusgebieden stonden in 2025 centraal voor de Autoriteit Persoonsgegevens
Verder lezen
Epe raakt 600.000 bestanden kwijt door phishing-aanval
Verder lezen
Gemeentewebsites delen data met Google zonder toestemming
Verder lezen
Zo zetten criminelen AI in voor digitale aanvallen
Verder lezen
AP en RDI starten onderzoek naar Odido
Verder lezen
Buitenlandse Zaken en politie moeten zich opnieuw buigen over inzageverzoek journalist Midden-Oosten
Verder lezen