Vertrouwelijke dossiers, college­besluiten en persoonsgegevens circuleren dagelijks via een SharePoint-omgeving. Op 18 juli 2025 bevestigde Microsoft echter een ernstig lek in alle on-premise versies van SharePoint Servers. Kwaadwilligen kunnen zonder authenticatie systeemrechten verkrijgen, met ransomware-, spionage- en datalekken tot gevolg. Lokale besturen riskeren niet alleen bestuurlijke ontwrichting, maar ook sancties onder de GDPR en de NIS2-implementatiewet. Actie is dus geboden, want wie nu niet handelt, boet straks dubbel: in sancties én in vertrouwen.

Wat is er precies aan de hand?

Uit Microsoft-onderzoek blijkt de kwetsbaarheid als men toelaat om op afstand code uit te voeren op on-premise SharePoint-servers 2016, 2019 en Subscription Edition. SharePoint Online (Microsoft 365) lijkt vooralsnog buiten schot te blijven, maar gekoppelde componenten zoals Teams en OneDrive lopen door laterale verplaatsing wel degelijk gevaar. De patch is sinds 20 juli beschikbaar, maar de ervaring leert dat exploits gemiddeld binnen 48 uur na publicatie van een update in omloop zijn. Voor besturen die nog niet geüpdatet hebben, is het dus kwestie van uren, niet dagen.

Juridische onderstroom: van GDPR tot NIS2

Artikel 32 van de Algemene Verordening Gegevensbescherming (de zgn. GDPR) verplicht verwerkingsverantwoordelijken tot “een passend beveiligingsniveau”, rekening houdend met stand van de techniek en de risico’s. Een publiek lek mét beschikbare patch kwalificeert steevast als een “bekend risico”. Nalatigheid om te patchen kan bijgevolg worden beschouwd als een inbreuk op de beveiligingsverplichting.

Daarnaast introduceert ook de NIS2-implementatiewet een -enigszins vergelijkbare- verplichting voor ‘essentiële en belangrijke entiteiten’ om passende en evenredige technische, operationele en organisatorische maatregelen om de risico's voor de beveiliging van de netwerk- en informatiesystemen die zij voor hun activiteiten of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.

Lokale besturen die kwalificeren als een essentiële of belangrijke entiteiten moeten dus niet alleen incidenten melden, maar ook aantonen dat zij proactief kwetsbaarheden beheersen. Laat dit SharePoint-incident een generale repetitie zijn.

Vlaamse Toezichtscommissie: strenger dan ooit

De Vlaamse Toezichtscommissie (VTC) wees in Advies 2021/012 en Advies 2022/02 al op de gevaren van on-premise én publieke cloudoplossingen zonder robuuste maatregelen. In richtlijn VTC/A/2022/02 werd expliciet gesteld dat clouddiensten “in principe onaanvaardbaar” zijn voor structurele verwerking van persoonsgegevens, tenzij aantoonbaar equivalent aan een eigen beveiligde infrastructuur. Het huidige lek bevestigt de waarschuwing: zelfs een lokaal beheerde server is niet per definitie veilig. Transparante risico-afweging en documentatie blijven sleutelwoorden.

Wat zijn de concrete risico’s voor lokale besturen

• Ongeautoriseerde toegang tot personeels- en OCMW-dossiers, wat een inbreukmelding bij de Gegevensbeschermingsautoriteit (art. 33 AVG) verplicht maakt.
• Stillegging van raads- en collegeprocessen door gijzelsoftware, met mogelijke overschrijding van decretale beslissingstermijnen.
• Integriteitsverlies van ruimtelijke-ordeningsplannen of aanbestedingsdocumenten, met potentiële schadeclaims als gevolg.
• Aanzienlijke herstelkosten, bovenop potentiële sancties onder de GDPR en de NIS2-implementatiewet.

Van patch naar plan: vijf actiepunten

1. Installeer onmiddellijk de Microsoft-patch en verifieer via een vulnerability-scan of het lek effectief is gedicht.
2. Documenteer de genomen stappen in uw intern verwerkingsregister (art. 30 AVG) en in het veiligheidsplan dat NIS2 vereist.
3. Laat een penetratietest uitvoeren op de volledige SharePoint-keten (inclusief Teams, OneDrive en custom add-ins) en houd logbestanden minstens zes maanden bij.
4. Actualiseer de Data Protection Impact Assessment voor alle processen die steunen op SharePoint-sites; betrek de functionaris voor gegevensbescherming.
5. Evalueer strategisch of migratie naar een streng geconfigureerde cloud-tenant (Microsoft 365 E5 of gelijkwaardig) meer continuïteit en compliance biedt dan verdere investering in on-premise hardware.

Conclusie: preparedness is governance

Praemonitus, praemunitus – wie gewaarschuwd is, is gewapend.

Het SharePoint-lek toont nogmaals dat digitale weerbaarheid geen IT-luxelijn is, maar een kernopdracht van goed bestuur. Lokale besturen die vandaag investeren in patch-management, risicobeoordeling en heldere procedures, vermijden morgen bestuurlijke stagnatie en juridische averij.

Bij GD&A Advocaten begrijpen we als geen ander het belang van deze materie. Ons team staat dan ook steeds klaar om uw bestuur met kennis van zaken bij te staan