Goede verwerkersovereenkomsten tussen organisaties helpen cyberaanvallen adequaat af te handelen, en soms zelfs te voorkomen . Ze versterken zo de digitale weerbaarheid van slachtoffers van datalekken. Toch schort het nog vaak aan goede afspraken, ziet de Autoriteit Persoonsgegevens (AP). Op basis van onderzoek geeft de AP organisaties daarom drie aanbevelingen voor sterke verwerkersovereenkomsten.

Organisaties die samenwerken met dienstverleners moeten een verwerkersovereenkomst sluiten over het delen en gebruiken van persoonsgegevens. Daarin leggen zij afspraken vast, bijvoorbeeld over beveiliging en de rollen en verantwoordelijkheden bij incidenten zoals datalekken.

Dienstverleners zijn aantrekkelijk doelwit

Dienstverleners zijn een aantrekkelijk doelwit voor cyberaanvallen. Een dienstverlener werkt vaak voor meerdere organisaties. Denk bijvoorbeeld aan een IT-bedrijf dat aan honderden partijen software levert. Een datalek bij een dienstverlener treft daardoor meerdere organisaties, en daarmee grote hoeveelheden persoonsgegevens. De schade van deze aanvallen is dus erg groot. Organisaties moeten ervan uitgaan dat zij of hun dienstverleners ooit getroffen gaan worden door een groot datalek. Een goede voorbereiding is daarom cruciaal.

Onderzoek 

De AP deed een onderzoek naar de rol van de verwerkersovereenkomst bij de afhandeling van vijf grote cyberaanvallen op dienstverleners. Deze cyberaanvallen troffen samen ruim 1250 organisaties in Nederland, en waarschijnlijk 10,5 miljoen mensen. De AP vermoedde dat het ontbreken van goede verwerkersovereenkomsten ervoor zorgde dat de betrokken organisaties weinig grip hadden op het voorkomen en afhandelen van de cyberaanval. Voor het onderzoek ging de AP in gesprek met de getroffen organisaties over hun ervaringen, en bestudeerde datalekmeldingen en verwerkersovereenkomsten.

Drie aanbevelingen

Op basis van dit onderzoek doet de AP aanbevelingen voor organisaties en dienstverleners om de schade van cyberaanvallen te beperken: 

1. Maak afspraken zo concreet mogelijk

Verwerkersovereenkomsten bieden houvast tijdens een cyberaanval, maar alleen als de afspraken duidelijk en concreet zijn. Afspraken moeten verder gaan dan het simpelweg herhalen van de vereisten uit de Algemene verordening gegevensbescherming (AVG). Ze moeten duidelijkheid bieden over de taakverdeling en wederzijdse verwachtingen bij een datalek. Zoals: 

• Hoe, hoelang, waarvoor, welke en van wie persoonsgegevens worden verwerkt;

• Wat de contactpunten zijn bij een datalek en afspraken over bereikbaarheid;

• Wanneer en met welke inhoud de dienstverlener de organisatie moet informeren over een datalek.

2. Houd grip op de hele leveranciersketen

Uw klanten moeten erop kunnen vertrouwen dat u goed omgaat met hun persoonsgegevens. Ook wanneer hier een hele leveranciersketen achter schuilt. Als organisatie bent en blijft u verantwoordelijk voor de persoonsgegevens van uw klanten, ook als u diensten uitbesteedt aan een of meerdere dienstverlener(s). 

3. Geef meer prioriteit aan het opstellen en bijhouden van verwerkersovereenkomsten

Alleen wanneer er genoeg aandacht is voor de verwerkersovereenkomst, biedt deze ondersteuning bij een cyberaanval. Onderhandel dus op tijd en zorgvuldig over afspraken. En herzie afspraken en bijlagen regelmatig, zodat deze blijven aansluiten op wat er in de praktijk gebeurt. Bewustzijn en kennis over de AVG bij werknemers speelt hierbij een essentiële rol.

Organisaties vinden op de website van de AP meer informatie over verwerkersovereenkomsten.