Na het gat in de beveiliging van Citrix hebben tot nu toe 29 organisaties aan de Autoriteit Persoonsgegevens gemeld dat ze een mogelijk datalek hebben.
Dat wil niet zeggen dat er daadwerkelijk gegevens zijn gestolen, volgens de privacywaakhond hebben de melders uit voorzorg een melding gedaan. “Zij zijn nog aan het onderzoeken of er daadwerkelijk persoonsgegevens zijn gelekt als gevolg van de problemen bij Citrix.” Namen noemt de autoriteit niet. De toezichthouder zegt met een aantal melders contact te hebben.
Organisaties zijn verplicht om ernstige datalekken binnen 72 uur na ontdekking te melden bij de Autoriteit Persoonsgegevens.
Honderden Nederlandse bedrijven, overheden, ziekenhuizen, onderwijsinstellingen en andere organisaties gebruiken Citrix. Hun werknemers kunnen via de systemen van afstand werken.
In december ontdekte Citrix dat er een groot gat in de beveiliging zat. Begin januari hadden hackers een manier gevonden om het gat te misbruiken en toegang te krijgen tot systemen van gebruikers. Onder meer het Medisch Centrum Leeuwarden en de gemeente Zutphen werden aangevallen. Tientallen gebruikers hebben hun systemen tijdelijk uitgeschakeld.
Wie de aanvallen uitvoeren, is niet bekend. Het kunnen criminelen of spionnen zijn, maar “elke zolderkamerhacker kan zich nu met een druk op de knop toegang verschaffen tot een kwetsbare Citrix-server”, zei Frank Groenewegen van cyberbeveiliger Fox-IT eerder tegen persbureau ANP. “Als gedupeerde moet je maar hopen dat het bij jou een kind is dat het doet uit kattenkwaad.”