Nu IT-leveranciers steeds vaker doelwit zijn van cyberaanvallen, neemt het risico voor u als afnemer ook toe. Als er bijvoorbeeld via malware of phishing persoonsgegevens buit worden gemaakt, dan hebt u als verwerkingsverantwoordelijke een probleem. Gelukkig zijn er maatregelen die u vooraf kunt treffen om de impact van een datalek bij de IT-leverancier te verkleinen.
Toenemende risico’s voor verwerkingsverantwoordelijken
In 2021 werden opvallend veel IT-leveranciers slachtoffer van een cyberaanval. Doordat ze veel persoonsgegevens verwerken, zijn ze een aantrekkelijk doelwit voor cybercriminelen.
Dit heeft ook gevolgen voor u als klant van een IT-leverancier in het geval u kunt worden aangemerkt als verwerkingsverantwoordelijke. Uw werknemers, klanten en cliënten vertrouwen hun persoonsgegevens aan u toe. Het feit dat u de verwerking van hun persoonsgegevens uitbesteedt aan een leverancier, verandert niets aan uw verantwoordelijkheid.
Bij een datalek bent u als verwerkingsverantwoordelijke volgens de AVG verplicht daadkrachtig op te treden. Het is zaak het incident zo snel mogelijk te beëindigen en de schade te beperken. Daarnaast kan het nodig zijn om het lek te melden bij de Autoriteit Persoonsgegevens en/of bij de betrokken personen.
Uiteraard heeft de verwerker ook verantwoordelijkheden bij een datalek. Zo moet deze het lek na ontdekking tijdig melden bij de verwerkingsverantwoordelijke en er grondig onderzoek naar doen.
Zorgen dat u de meldplicht datalekken goed naleeft? Dan adviseert de Autoriteit Persoonsgegevens (AP) u:
6 maatregelen om vooraf te treffen
Naar aanleiding van de recente toename in cyberaanvallen op IT-leveranciers, heeft de AP 6 aanbevelingen gedaan voor maatregelen die u als verwerkingsverantwoordelijke kunt treffen. Daar zijn:
1. Focus op beveiliging
Het is misschien een open deur, maar u bent en blijft verantwoordelijk voor de beveiliging van persoonsgegevens. Ook als u de verwerking hiervan volledig uitbesteedt.
Daarom is het belangrijk dat u alleen in zee gaat met een leverancier die aantoonbaar zorgt voor de juiste beveiligingsmaatregelen. Op technisch en organisatorisch vlak, zoals voorgeschreven door de AVG. Heeft een leverancier de benodigde certificeringen en/of zijn garanties af te dwingen in het contract?
2. Deel niet meer dan nodig
Let erop dat u niet meer persoonsgegevens deelt dan strikt noodzakelijk en controleer of de leverancier zich houdt aan de regels. Check bijvoorbeeld of gegevens na het verlopen van de bewaartermijn inderdaad gewist worden.
3. Maak duidelijke afspraken
Maak in de verwerkersovereenkomst goede afspraken over de hulp die de IT-leverancier geeft bij de naleving van de meldplicht datalekken. Hoe snel moet de leverancier het lek melden en welke acties verwacht u bij een datalek?
4. Controleer op naleving
Net als bij ieder ander contract geldt ook voor de verwerkersovereenkomst: controleer of deze ook echt wordt nageleefd. Zorg dat u dit periodiek inplant, zodat u niet voor nare verrassingen komt te staan bij een datalek.
5. Maak een actieplan
Als een datalek zich voordoet, bent u als verwerkingsverantwoordelijke verplicht snel te handelen. De leverancier (verwerker) moet u zo snel mogelijk inlichten, u maakt meestal melding bij de Autoriteit Persoonsgegevens (binnen 72 uur) en afhankelijk van de impact moeten ook de betrokkenen direct geïnformeerd worden. Zorg daarom dat u een gedegen actieplan op de plank heeft liggen.
6. Houd het verwerkingsregister bij
In veel gevallen bent u verplicht een verwerkingsregister bij te houden. Dit register bevat een overzicht van de verwerkingen van persoonsgegevens die binnen een organisatie plaatsvinden.
Het is essentieel dat u zorgt voor een goed verwerkingsregister, dat ook wordt bijgehouden. Zowel bij uzelf als bij de IT-leverancier. Dit register helpt bij het maken van een inschatting hoeveel en welk type persoonsgegevens zijn betrokken bij een datalek. Zo kan een organisatie eenvoudiger bepalen wat de gevolgen van het lek zijn voor de betrokkenen en welke acties vervolgens genomen moeten worden.
Op de hoogte blijven van deze en andere ontwikkelingen in ICT-recht?
Abonneert u zich dan nu op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw inbox.