Onderzoek
De AP deed een onderzoek naar de rol van de verwerkersovereenkomst bij de afhandeling van 5 grote cyberaanvallen op dienstverleners. Deze cyberaanvallen troffen samen ruim 1.250 organisaties in Nederland, en waarschijnlijk 10,5 miljoen mensen.
De AP vermoedde dat het ontbreken van goede verwerkersovereenkomsten ervoor zorgde dat de betrokken organisaties weinig grip hadden op het voorkomen en afhandelen van de cyberaanval. Voor het onderzoek ging de AP in gesprek met de getroffen organisaties over hun ervaringen, en bestudeerde datalekmeldingen en verwerkersovereenkomsten.
Kijk ook eens bij
Wat raadt de AP aan?
Op basis van dit onderzoek geeft de AP organisaties en dienstverleners 3 aanbevelingen om de schade van cyberaanvallen te beperken:
1. Maak afspraken zo concreet mogelijk
Verwerkersovereenkomsten bieden houvast tijdens een cyberaanval, maar alleen als de afspraken duidelijk en concreet zijn. Afspraken moeten verder gaan dan het simpelweg herhalen van de vereisten uit de Algemene verordening gegevensbescherming (AVG). Ze moeten duidelijkheid bieden over de taakverdeling en wederzijdse verwachtingen bij een datalek. Zoals:
- Hoe, hoelang, waarvoor, welke en van wie persoonsgegevens worden verwerkt.
- Wat de contactpunten zijn bij een datalek en afspraken over bereikbaarheid.
- Wanneer en met welke inhoud de dienstverlener de organisatie moet informeren over een datalek.
Kijk ook eens bij
2. Houd grip op de hele leveranciersketen
Huurders en klanten moeten erop kunnen vertrouwen dat de corporatie goed omgaat met hun persoonsgegevens. Ook wanneer hierachter een hele leveranciersketen schuilt. Als corporatie ben en blijf je verantwoordelijk voor de persoonsgegevens van je huurders en klanten, ook als je diensten uitbesteedt aan een of meerdere dienstverlener(s).
3. Geef meer prioriteit aan het opstellen en bijhouden van verwerkersovereenkomsten
Alleen wanneer er genoeg aandacht is voor de verwerkersovereenkomst, biedt deze ondersteuning bij een cyberaanval. Onderhandel dus op tijd en zorgvuldig over afspraken. En herzie afspraken en bijlagen regelmatig, zodat deze blijven aansluiten op wat er in de praktijk gebeurt. Bewustzijn en kennis over de AVG bij werknemers speelt hierbij een essentiële rol.
Wanneer is een verwerkersovereenkomst noodzakelijk?
Organisaties die samenwerken met dienstverleners moeten een verwerkersovereenkomst sluiten over het delen en gebruiken van persoonsgegevens. Daarin leggen zij afspraken vast, bijvoorbeeld over beveiliging en de rollen en verantwoordelijkheden bij incidenten zoals datalekken. De kans is groot dat je corporatie of je dienstverlener wordt getroffen door een groot datalek. Een goede voorbereiding is daarom cruciaal en een verwerkersovereenkomst helpt daarbij.
→ Meer informatie over verwerkersovereenkomst vind je op de website van AP.
