In ICT-contracten is cybersecurity geen bijzaak. Leveranciers en afnemers dienen heldere afspraken te maken over hoe gegevens en systemen beschermd worden. Onvoldoende contractuele afspraken kunnen leiden tot datalekken, financiële schade en reputatieverlies. In deze blog leggen we uit welke standaarden en auditrechten essentieel zijn voor ICT-contracten en hoe u dit praktisch kunt toepassen.
Minimumstandaarden voor cybersecurity
Overeenkomsten moeten duidelijke normen bevatten over beveiliging, zodat beide partijen zekerheid hebben dat gevoelige data adequaat beschermd worden? Belangrijke punten om op te nemen in het contract zijn:
Security frameworks: zoals ISO 27001 of NEN 7510, of een soortgelijk niveau.
Beveiliging van data: zoals door encryptie, toegangsbeheer, patchmanagement en logging.
Incidentmanagement: veiligheidsincidenten (zoals hacks, datalekken, verstoringen) detecteren, onderzoeken en oplossen om schade te beperken en herhaling te voorkomen.
Regelmatige updates en monitoring: software up-to-date houden, kwetsbaarheden verhelpen, continue monitoring.
Continuïteit en back-ups: business continuity plan & disaster recovery oplossingen.
Een voorbeeld van een clausule om in een contract op te nemen:
"Leverancier zal gedurende de looptijd van het contract aantoonbaar voldoen aan het niveau van informatiebeveiliging overeenkomstig ISO 27001 en alle technische en organisatorische maatregelen treffen die noodzakelijk zijn om (persoons)gegevens te beschermen.”
Auditrechten in ICT-Contracten
Auditrechten geven afnemers van een ICT-dienst de mogelijkheid om te controleren of leveranciers de afgesproken beveiligingsmaatregelen daadwerkelijk naleven. Daarmee vormen audits een belangrijk controlemiddel voor contractspartijen, zeker bij kritieke ICT-diensten.
Audits geven inzicht in de naleving van afgesproken beveiligingsprocedures en beperken risico’s op datalekken, non-compliance of contractbreuk. Voor afnemers zijn ze een manier om zekerheid te krijgen dat de leverancier niet alleen “op papier” aan beveiliging doet, maar dit ook aantoonbaar in de praktijk brengt.
Vormen van audits:
Audits kunnen intern of extern plaatsvinden. Een leverancier kan bijvoorbeeld zelf periodieke interne audits uitvoeren, maar ook een onafhankelijke auditeur opdracht geven de interne maatregelen voor het beheer van de IT-omgeving en de data te beoordelen. Als de externe auditeur toetst aan de hand van een specifiek raamwerk, zoals SOC 2, worden de auditresultaten vastgelegd in een SOC2-assuranceverklaring. Een dergelijke verklaring of een certificering kan in bepaalde gevallen dienen als bewijs van naleving. Als zo’n auditrapportage aan de klant kan worden overgelegd, is een fysieke audit door de klant vaak niet meer nodig.
Contractuele invulling van audits:
Een goed contract beschrijft duidelijk hoe en wanneer audits mogen plaatsvinden:
Frequentie: bijvoorbeeld jaarlijks en/of bij een incident of vermoeden van non-compliance. Dient dit een aantal weken van te voren te worden aangekondigd of mag er bij een incident ook ‘spontaan’ een auditeur langskomen?
Toegang: welke documentatie, locaties, systemen of medewerkers beschikbaar moeten worden gesteld.
Vertrouwelijkheid: hoe wordt omgegaan met bepaalde bedrijfsgevoelige informatie die tijdens de audit wordt ingezien en mogelijk gekopieerd?
Rapportage: leverancier ontvangt de auditbevindingen en krijgt gelegenheid tot herstel binnen redelijke termijn.
Escalatie en remedies: beschrijf welke stappen volgen bij niet-naleving, zoals herstelverplichting of opzegrecht.
Aandachtspunten voor leveranciers:
Hoewel audits belangrijk zijn, kunnen ze ook operationeel en financieel belastend zijn. Leveranciers doen er goed aan om in contracten afspraken te maken over:
Proportionaliteit: beperk audits tot wat redelijkerwijs noodzakelijk is om naleving vast te stellen.
Kostenverdeling: spreek af wie de kosten draagt; bijvoorbeeld dat de afnemer betaalt voor audits op verzoek, tenzij een ernstige overtreding door toedoen van leverancier wordt geconstateerd.
Planning en coördinatie: audits dienen tijdig te worden aangekondigd, zodat de leverancier personeel en systemen kan voorbereiden.
Gebruik van bestaande rapportages: leveranciers kunnen bestaande externe auditrapporten (zoals een ISO-certificaat) aanbieden in plaats van een aparte klant-audit, om duplicatie te voorkomen.
Door duidelijke afspraken over frequentie, kosten en vertrouwelijkheid te maken, ontstaat een werkbare balans tussen controle door de afnemer en werkbaarheid voor de leverancier.
Conclusie
Securityverplichtingen in ICT-contracten zijn essentieel voor zowel leveranciers als afnemers. Door minimumstandaarden vast te leggen en auditrechten contractueel te regelen, ontstaat duidelijkheid over verantwoordelijkheden en worden risico’s en geschillen aanzienlijk beperkt.
Bij Legalz helpen wij uw ICT-contracten te toetsen op securityverplichtingen en auditclausules, zodat u zowel juridisch als operationeel veilig bent.
Neem vrijblijvend contact met ons op via telefoonnummer 010-2290646 of via onderstaande button.