Cyberaanvallen richten zich steeds vaker op IT-dienstverleners die persoonsgegevens verwerken voor meerdere organisaties. Een datalek bij zo’n verwerker kan verstrekkende gevolgen. De Autoriteit Persoonsgegevens onderzocht recent de rol van verwerkersovereenkomsten bij grote cyberincidenten en deed concrete aanbevelingen om schade te beperken. Natascha van Duuren, Advocaat & Partner IT, Privacy & Cybersecurity bij De Clercq Advocaten schreef er deze blog over.
De verwerkersovereenkomst: meer dan een formaliteit
De AVG verplicht organisaties en hun dienstverleners om afspraken over persoonsgegevensverwerking vast te leggen in een verwerkersovereenkomst. Het onderzoek van de AP toont aan dat deze overeenkomsten in de praktijk vaak te vaag of onvoldoende concreet zijn.
Het gevolg? Bij een datalek is onduidelijk wie waarvoor verantwoordelijk is. Dienstverleners informeren getroffen organisaties niet tijdig of slechts gedeeltelijk, waardoor slachtoffers onvoldoende worden beschermd tegen de gevolgen.
Drie aanbevelingen voor IT-resellers
De AP formuleert drie heldere aanbevelingen voor een effectieve verwerkersovereenkomst:
1. Maak afspraken meetbaar en concreet
Volstaan met het herhalen van AVG-verplichtingen is niet genoeg. Leg specifiek vast:
- Welke persoonsgegevens worden verwerkt, voor welk doel en hoe lang
- Wie het aanspreekpunt is bij een datalek (bijvoorbeeld een gezamenlijke mailbox)
- Binnen welke termijn en met welke minimale informatie een datalek gemeld moet worden
2. Breng de hele leveranciersketen in kaart
Ook bij uitbesteding blijft de organisatie verantwoordelijk voor de persoonsgegevens van klanten. Zorg daarom voor volledig inzicht in de keten: welke subverwerkers zijn betrokken, waar bevinden zij zich, welke beveiligingsmaatregelen hanteren zij en welke afspraken zijn gemaakt? Dit overzicht is cruciaal om bij een incident snel te kunnen handelen.
3. Behandel verwerkersovereenkomsten als levende documenten
Een verwerkersovereenkomst is geen eenmalige exercitie. Organisaties moeten afspraken regelmatig herzien en medewerkers voldoende kennis geven over privacy en beveiliging. Branchemodellen kunnen als uitgangspunt dienen, maar moeten altijd worden aangepast aan de specifieke situatie.
Praktische tips voor IT-resellers
- Onderhoud een actuele lijst met bereikbare contactpersonen voor datalekken
- Spreek een korte, realistische termijn af voor datalekmelding
- Communiceer transparant met klanten en geef op vaste momenten updates, ook zonder nieuwe ontwikkelingen
- Evalueer na elk incident de respons en optimaliseer processen waar nodig
Tot slot
Een goed opgestelde verwerkersovereenkomst is essentieel om schade bij cyberaanvallen te beperken én om te voldoen aan AVG-vereisten. Voor IT-resellers die persoonsgegevens verwerken voor meerdere opdrachtgevers is dit des te belangrijker.
Wil je weten of je verwerkersovereenkomsten voldoen aan de laatste eisen? Neem gerust contact op met Natascha van Duuren, Advocaat & Partner IT, Privacy & Cybersecurity bij De Clercq Advocaten.