ICT-dienstverleners zijn een aantrekkelijk doelwit voor cyberaanvallen. Zij werken namelijk vaak voor tientallen of zelfs honderden organisaties tegelijk. Een datalek bij één leverancier kan daardoor enorme gevolgen hebben voor duizenden organisaties en miljoenen betrokkenen. Uit een onderzoek van de Autoriteit Persoonsgegevens (AP) dat deze maand werd gepubliceerd, blijkt dat zwakke verwerkersovereenkomsten de schade kunnen vergroten. Voor IT-leveranciers is dit een duidelijke waarschuwing: de verwerkersovereenkomst is geen formaliteit, maar een cruciaal middel om cyberaanvallen tegen te gaan.
De AVG blijft vragen oproepen in de praktijk. Wanneer is iemand bijvoorbeeld verwerkingsverantwoordelijke? Is een contract of verwerkersovereenkomst daarvoor noodzakelijk? Het Europese Hof van Justitie heeft onlangs een verhelderend antwoord gegeven op deze vragen. Wat blijkt? Er is vrij weinig nodig om een partij als verwerkingsverantwoordelijke aan te merken.
Bij naleving van de AVG ligt een belangrijke nadruk op accountability. Dat geldt ook als u de verwerking van persoonsgegevens heeft uitbesteed. Auditen lijkt dan het enige, juiste antwoord, maar moet dat echt door een onafhankelijke partij?
Per 25 mei 2018 moet bij organisaties de ingrijpend gewijzigde privacywetgeving geïmplementeerd zijn. Dit is ook van belang voor contractmanagers, omdat veel contracten onder de werkingssfeer vallen van de nieuwe Algemene Verordening Gegevensbescherming (AVG/GDPR). Bij niet-naleving dreigen fikse boetes en op de koop toe reputatieschade. Werk aan de winkel voor de contractmanager.
