The British Data Protection Authority ICO considers operating systems that are no longer supported inadequate security

 in Privacy

If systems such as Windows 7 and Windows Server 2008 R2 SP1 are no longer supported by Microsoft, this may result in inadequate security, which could then be seen as an infringement of article 32 GDPR. Huge GDPR fines may be imposed because of this infringement.

In two data breach cases, Cathay Pacific Airways (10-02-2020) and DSG Retail (9-1-2020), the British Data Protection Authority ICO found that unsupported operating systems offered inadequate security as meant in article 32 GDPR. Based on pre-GDPR legislation in the UK, both companies were fined to the maximum amount of 500,000 GBP. Not only security measures were inadequate, the patch management was inadequate as well; moreover, forensic evidence was not available, backups had not been encrypted, network segregation turned out to be insufficient, software outdated and mismanaged, etc.

Under the GDPR, the fines are actually expected to be much higher in such cases. Using systems and software that are no longer updated is a serious security issue for a large number of companies.

Microsoft, for example, released its final public security updates for Windows 7 and Windows Server 2008 R2 SP1 on 14 January 2020, thereby ending support for the operating system after more than 10 years.

Almost 40 per cent of the market still uses Windows 7. Until January 2023, organizations can purchase Windows 7 Extended Security Updates (ESU). The German government alone has paid approximately 887,000 USD to keep its pcs updated. Some time ago, Microsoft issued public patches for Window XP to prevent randsomware attacks. Microsoft will probably provide this kind of support for Windows 7 as well.

The decision of the British Data Protection Authority ICO is a serious warning to keep systems updated to such an extent that they meet the state of the art.

 

 

Recente berichten
  • 16 mei 2022

    AP voert cumulatieve boetebevoegdheid maximaal door

    Sil Kingma
    Het is voor het eerst de geschiedenis dat de Autoriteit Persoonsgegevens in een besluit een zestal overtredingen van de AVG constateert. Alle overtredingen hebben betrekking op het gebruik en de beveiliging door de Belastingdienst van haar applicatie Fraude Signalering Voorziening (FSV). FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen
    Lees verder
  • 15 maart 2022

    (IT) detacheerders wees scherp op het relatie- en concurrentiebeding!

    Marion Hagenaars
    Werknemers die uit dienst treden om aansluitend (dezelfde) werkzaamheden te gaan verrichten voor de opdrachtgever waar ze eerder gedetacheerd waren. Een ongewenst scenario dat vaak voorkomt. Door het belemmeringsverbod kan de werkgever geen beroep doen op een concurrentie- en relatiebeding. Als deze bedingen ook nog eens niet juist zijn opgesteld – omdat ze geen rekening
    Lees verder
  • 1 februari 2022

    Ongewenst gedrag op de werkvloer – regels en consequent beleid

    Marion Hagenaars
    Door The Voice moest ik weer even terugdenken aan de voorbeelden in mijn eigen praktijk. De afgelopen jaren heb ik van alles voorbij zien komen: van seksueel getinte en discriminerende “grappen” in App-groepen tot porno kijkende collega’s een bureau verder en aanvankelijk gewenste relaties op het werk die volledig escaleren. De impact is vaak groot
    Lees verder

Plaats een reactie

Top