ICT-dienstverleners zijn een aantrekkelijk doelwit voor cyberaanvallen. Zij werken namelijk vaak voor tientallen of zelfs honderden organisaties tegelijk. Een datalek bij één leverancier kan daardoor enorme gevolgen hebben voor duizenden organisaties en miljoenen betrokkenen. Uit een onderzoek van de Autoriteit Persoonsgegevens (AP) dat deze maand werd gepubliceerd, blijkt dat zwakke verwerkersovereenkomsten de schade kunnen vergroten. Voor IT-leveranciers is dit een duidelijke waarschuwing: de verwerkersovereenkomst is geen formaliteit, maar een cruciaal middel om cyberaanvallen tegen te gaan.

WAAROM IS DE VERWERKERSOVEREENKOMST ZO BELANGRIJK?

Een verwerkersovereenkomst legt vast hoe persoonsgegevens mogen worden verwerkt en hoe partijen handelen bij een datalek. Tijdens de door de AP onderzochte cyberaanvallen bleek dat organisaties vaak te laat of onvoldoende geïnformeerd werden over het datalek, waardoor slachtoffers niet tijdig gewaarschuwd konden worden tegen risico’s zoals identiteitsfraude.

Daarnaast maakt een verwerkersovereenkomst dat de gemaakte afspraken juridisch afdwingbaar zijn binnen de leveranciersketen. Zonder duidelijke afspraken blijft een organisatie met lege handen staan wanneer een leverancier tekortschiet. De AP heeft daarom drie kernaanbevelingen opgesteld om de schade van cyberaanvallen te beperken.

1. MAAK CONCRETE AFSPRAKEN

Een verwerkersovereenkomst moet duidelijkheid geven over wie de verwerkingsverantwoordelijke is en wie als verwerker optreedt. Daarbij moet duidelijk worden omschreven welke persoonsgegevens worden verwerkt, voor welke doeleinden dit gebeurt en gedurende welke termijn. Het enkel herhalen van de AVG‑vereisten is onvoldoende, omdat afspraken concreet en praktisch toepasbaar moeten zijn. Ook is het noodzakelijk dat er een actueel en bereikbaar contactpunt wordt opgenomen voor datalekken, zodat organisaties direct geïnformeerd kunnen worden.

De dienstverlener moet binnen een korte en haalbare termijn melding kunnen doen van een datalek en daarbij informatie geven over de aard van het incident, de gevolgen en de genomen maatregelen. Onderzoek toont aan dat transparantie en regelmatige updates het vertrouwen in de dienstverlener aanzienlijk versterken.

2. HOUD GRIP OP DE HELE LEVERANCIERSKETEN

Hoewel persoonsgegevens vaak via meerdere schakels worden verwerkt, blijft de oorspronkelijke organisatie verantwoordelijk voor hun bescherming. Het is daarom essentieel om inzicht te hebben in alle betrokken partijen, hun diensten en de beveiligingsmaatregelen die zij hanteren, inclusief de subverwerkers die worden ingeschakeld. Organisaties moeten weten welke subverwerkers toegang hebben tot gegevens en welke beveiliging zij toepassen. Terwijl dienstverleners een overzicht van verwerkingen en afspraken per klant moeten bijhouden om bij een cyberaanval snel te kunnen ondersteunen. Het uitvoeren van evaluaties na een incident helpt bovendien om processen te verbeteren en toekomstige aanvallen beter het hoofd te bieden.

3. STEL VERWERKERSOVEREENKOMSTEN TIJDIG OP EN HOUD HET ACTUEEL

Uit het onderzoek van de AP blijkt dat veel organisaties de verwerkersovereenkomst zien als bijzaak, waardoor cruciale afspraken over beveiliging en AVG‑naleving onderbelicht blijven. Het is belangrijk dat onderhandelingen tijdig plaatsvinden, bij voorkeur vóór het tekenen van de dienstverleningsovereenkomst. Zorg er daarnaast voor dat afspraken regelmatig worden herzien zodat ze meegroeien met veranderende diensten en dreigingen. Bewustzijn en kennis van de AVG bij medewerkers zijn daarbij essentieel.

CONCLUSIE

Voor IT‑leveranciers is de verwerkersovereenkomst een strategisch instrument. Het biedt houvast bij cyberaanvallen, versterkt vertrouwen in de keten en maakt naleving van de AVG afdwingbaar.

Heeft u ondersteuning nodig bij het opstellen of bijwerken van een verwerkersovereenkomst, of wilt u meer informatie om het AVG‑bewustzijn binnen uw organisatie te vergroten?

Neem vandaag nog vrijblijvend contact op en bespreek uw situatie.
Klik op onderstaande button en wij nemen contact met u op. Of bel ons direct op telefoonnummer 010-2290646.