AP deelt aanbevelingen voor een sterke verwerkersovereenkomst bij een cyberaanval

In dit artikel:

De Autoriteit Persoonsgegevens (AP) waarschuwt dat veel organisaties bij cyberaanvallen onvoldoende dekking hebben in hun verwerkersovereenkomsten en geeft daarom drie concrete aanbevelingen. Een verwerkersovereenkomst is volgens de AVG verplicht wanneer een organisatie een externe dienstverlener persoonsgegevens laat verwerken; het document regelt onder meer wie welke verantwoordelijkheden heeft en welke beveiligingsmaatregelen gelden bij incidenten.

De toezichthouder signaleert dat dienstverleners een aantrekkelijk doelwit zijn: zij verwerken vaak data voor meerdere opdrachtgevers, waardoor een enkele aanval grote gevolgen kan hebben. De AP onderzocht vijf grote incidenten bij dienstverleners die gezamenlijk ruim 1.250 organisaties en naar schatting 10,5 miljoen personen troffen. De conclusie is dat het ontbreken van duidelijke, goede overeenkomsten heeft bijgedragen aan beperkte mogelijkheid om aanvallen te voorkomen en af te handelen.

De AP raadt allereerst aan afspraken zo concreet mogelijk te maken: omschrijf welke persoonsgegevens precies worden verwerkt, benoem vaste contactpersonen en leg vast wanneer en met welke inhoud de dienstverlener moet melden bij een datalek. Ten tweede moeten organisaties grip houden op de hele leveranciersketen: ook bij uitbesteding blijft de opdrachtgever verantwoordelijk voor de persoonsgegevens van klanten. Ten slotte adviseert de AP prioriteit te geven aan het opstellen en actueel houden van verwerkersovereenkomsten: begin tijdig met onderhandelingen, herzie clausules en bijlagen regelmatig en zorg dat medewerkers voldoende AVG-kennis hebben.

Kortom: betere, concretere contracten en strakkere beheersing van ketens en kennis bij personeel kunnen de impact van toekomstige cyberaanvallen flink beperken.