In Frankrijk geldt SHA-256 nu als inadequate beveiliging. Kan de AP Nederlandse bedrijven hiervoor ook beboeten?
Recent heeft de Franse AVG-toezichthouder (CNIL) een boete van 3,5 miljoen euro opgelegd. Deel daarvan was een inadequate beveiliging door gebruik van SHA-256. Heeft dit precedentwerking, oftewel mogen we nu stellen dat deze hashingtechniek daadwerkelijk niet meer passend is voor beveiligen van persoonsgegevens?
Op 30 december 2025 heeft de CNIL een boete van 3,5 miljoen euro opgelegd aan een niet nader genoemd Frans bedrijf voor het doorgeven van de gegevens van leden van hun loyaliteitsprogramma aan een sociaal netwerk voor gerichte reclamedoeleinden, zonder geldige toestemming. Inderdaad was inadequate beveiliging een deel van de grondslag.
Het bedrijf gebruikte SHA-256 voor het hashen van wachtwoorden (met salt, dat wel). Dat vond de CNIL bezwaarlijk, omdat de collega’s van het ANSSI (Nationaal Agentschap voor Informatiesysteembeveiliging) hadden gezegd dat:
Aanbevolen cryptografische hashfuncties, zoals de SHA2-familie, zijn zeer snel in uitvoering, wat in de context van wachtwoordopslag een voordeel is voor aanvallers, omdat ze hierdoor veel wachtwoorden kunnen testen (d.w.z. hashes kunnen berekenen).
Men wijst op algoritmes zoals Argon2, die mede ontworpen zijn om resistent tegen dergelijke brute force aanvallen te zijn, zelfs met moderde apparatuur. Het bedrijf had in de tussentijd ook al gewisseld naar Argon2.
De uitspraak over de ongeschiktheid van SHA-256 wordt hier vrij algemeen gedaan, en men wijst op eerdere aanbevelingen sinds 2020. Bij het berekenen van de boete wordt dan ook herhaaldelijk geërgerd gewezen op eerdere publicaties:
Verder lezen bij de bron- Bits of Freedom: “Datalekken zijn geen incident meer, maar structureel probleem” - 29 april 2026
- Security by design voorkomt hogere rekeningen - 29 april 2026
- Grip op je privacy: welke diensten hebben toegang tot je Google-account? - 28 april 2026
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Bits of Freedom: “Datalekken zijn geen incident meer, maar structureel probleem” | Verder lezen | |
Security by design voorkomt hogere rekeningen | Verder lezen | |
Grip op je privacy: welke diensten hebben toegang tot je Google-account? | Verder lezen | |
Meer geld voor verbeteren digitale veiligheid van het mkb | Verder lezen | |
Schiermonnikoog erkent fouten na datalek door ransomware-aanval | Verder lezen | |
Ciso’s slaan alarm: 3 adviezen om ai vóór te blijven | Verder lezen | |
Waarom Meta je privacy op de tocht zet | Verder lezen | |
Epe raakt 600.000 bestanden kwijt door phishing-aanval | Verder lezen | |
Mondeling overleg over EU-voorstellen digitalisering en AI | Verder lezen | |
Wat het nieuwste dreigingsrapport van het NCSC betekent voor gewone Nederlandse gebruikers | Verder lezen |