Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Recent heeft de Franse AVG-toezichthouder (CNIL) een boete van 3,5 miljoen euro opgelegd. Deel daarvan was een inadequate beveiliging door gebruik van SHA-256. Heeft dit precedentwerking, oftewel mogen we nu stellen dat deze hashingtechniek daadwerkelijk niet meer passend is voor beveiligen van persoonsgegevens?

Antwoord: Op 30 december 2025 heeft de CNIL een boete van 3,5 miljoen euro opgelegd aan een niet nader genoemd Frans bedrijf voor het doorgeven van de gegevens van leden van hun loyaliteitsprogramma aan een sociaal netwerk voor gerichte reclamedoeleinden, zonder geldige toestemming. Inderdaad was inadequate beveiliging een deel van de grondslag.

Het bedrijf gebruikte SHA-256 voor het hashen van wachtwoorden (met salt, dat wel). Dat vond de CNIL bezwaarlijk, omdat de collega's van het ANSSI (Nationaal Agentschap voor Informatiesysteembeveiliging) hadden gezegd dat:

Aanbevolen cryptografische hashfuncties, zoals de SHA2-familie, zijn zeer snel in uitvoering, wat in de context van wachtwoordopslag een voordeel is voor aanvallers, omdat ze hierdoor veel wachtwoorden kunnen testen (d.w.z. hashes kunnen berekenen).

Men wijst op algoritmes zoals Argon2, die mede ontworpen zijn om resistent tegen dergelijke brute force aanvallen te zijn, zelfs met moderde apparatuur. Het bedrijf had in de tussentijd ook al gewisseld naar Argon2.

De uitspraak over de ongeschiktheid van SHA-256 wordt hier vrij algemeen gedaan, en men wijst op eerdere aanbevelingen sinds 2020. Bij het berekenen van de boete wordt dan ook herhaaldelijk geërgerd gewezen op eerdere publicaties:

Bovendien moet met betrekking tot de schending van artikel 32 van de AVG worden opgemerkt dat de Commissie regelmatig communiceert over het belang van authenticatiemaatregelen voor de beveiliging, dat haar aanbevelingen met betrekking tot het wachtwoordbeleid al bekend waren ten tijde van de audits, en dat zij sinds december 2022 organisaties via haar website een tool ter beschikking heeft gesteld waarmee zij eenvoudig de sterkte van een wachtwoord kunnen controleren. De Commissie herinnert er ook aan dat zij regelmatig financiële sancties heeft opgelegd voor schendingen van artikel 32 van de AVG wegens onvoldoende maatregelen om de beveiliging van de verwerkte gegevens te waarborgen, met name in haar besluiten nr. SAN-2019-007 van 18 juli 2019, nr. SAN-2022-018 van 8 september 2022, nr. SAN-2023-023 van 29 december 2023 en nr. SAN-2024-002 van 31 januari 2024.

Dit klinkt voor mij alsof de CNIL hier een hard punt van gaat blijven maken. En terecht, gezien het securityprobleem dat hier onder zit.

Een beslissing van de CNIL is bindend in Frankrijk (tenzij de rechter ze terugfluit, maar dat zie ik hier niet gebeuren). Voor andere toezichthouders geldt dat niet, maar onder het zogeheten coherentiemechanisme van artikel 63 AVG moeten toezichthouders wel met elkaar samenwerken en hun inzichten op elkaar afstemmen. Het zou raar zijn als in Duitsland SHA-256 gewoon aanbevolen wordt terwijl je in Frankrijk daar een dikke boete voor krijgt, bijvoorbeeld.

In de praktijk zie je daarom ook regelmatig dat toezichthouders wijzen op publicaties van collega's, waarbij de CNIL voorop loopt als het gaat om inzichten rondom cybersecurity. Ook in Nederland zou ik dus maar vast gaan nadenken waarom voor jou SHA-256 wél een veilige opslag van wachtwoord-hashes zou zijn. (Of migreren naar Argon2 of vergelijkbaar, dat is minder werk.)

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.