The British Data Protection Authority ICO considers operating systems that are no longer supported inadequate security

 in Privacy

If systems such as Windows 7 and Windows Server 2008 R2 SP1 are no longer supported by Microsoft, this may result in inadequate security, which could then be seen as an infringement of article 32 GDPR. Huge GDPR fines may be imposed because of this infringement.

In two data breach cases, Cathay Pacific Airways (10-02-2020) and DSG Retail (9-1-2020), the British Data Protection Authority ICO found that unsupported operating systems offered inadequate security as meant in article 32 GDPR. Based on pre-GDPR legislation in the UK, both companies were fined to the maximum amount of 500,000 GBP. Not only security measures were inadequate, the patch management was inadequate as well; moreover, forensic evidence was not available, backups had not been encrypted, network segregation turned out to be insufficient, software outdated and mismanaged, etc.

Under the GDPR, the fines are actually expected to be much higher in such cases. Using systems and software that are no longer updated is a serious security issue for a large number of companies.

Microsoft, for example, released its final public security updates for Windows 7 and Windows Server 2008 R2 SP1 on 14 January 2020, thereby ending support for the operating system after more than 10 years.

Almost 40 per cent of the market still uses Windows 7. Until January 2023, organizations can purchase Windows 7 Extended Security Updates (ESU). The German government alone has paid approximately 887,000 USD to keep its pcs updated. Some time ago, Microsoft issued public patches for Window XP to prevent randsomware attacks. Microsoft will probably provide this kind of support for Windows 7 as well.

The decision of the British Data Protection Authority ICO is a serious warning to keep systems updated to such an extent that they meet the state of the art.

 

 

Recente berichten
  • 14 september 2022

    Krappe arbeidsmarkt? Wees scherp op uw concurrentiebeding!

    Mirjam Scheper
    In de huidige krappe arbeidsmarkt wordt een concurrentiebeding steeds breder ingezet, veelal in de vorm van een standaardclausule. In de praktijk zie ik dat gebruik van een concurrentiebeding – mede hierdoor – vaak zijn doel voorbij schiet. Dat kan leiden tot onnodige discussies, procedures en kosten.
    Lees verder
  • 14 september 2022

    Actualiteiten arbeidsrecht voor HR-professionals en bedrijfsjuristen donderdag 3 november 2022

    Marion Hagenaars
    Mirjam Scheper
    Krapte op de arbeidsmarkt, Wet transparante en voorspelbare arbeidsvoorwaarden, hybride werken. De arbeidsmarkt is volop in beweging. Wat zijn de gevolgen? Hoe beweegt de arbeidsmarkt zich en hoe beweegt u daarin mee als HR-professional of bedrijfsjurist? Blijf aangehaakt bij het dynamische rechtsgebied dat het arbeidsrecht nu eenmaal is!
    Lees verder
  • 4 juli 2022

    Wet transparante en voorspelbare arbeidsvoorwaarden

    Mirjam Scheper
    De Eerste Kamer heeft op 21 juni 2022 het wetsvoorstel Wet transparante en voorspelbare arbeidsvoorwaarden aanvaard. Het wetsvoorstel implementeert de gelijknamige EU-richtlijn en treedt 1 augustus 2022 in werking. De richtlijn heeft als doel de inhoud van het werk vooraf transparanter en beter voorspelbaar te maken. De belangrijkste wijzigingen – die ik hieronder op hoofdlijnen
    Lees verder

Plaats een reactie

Top