Veel organisaties beschikken niet over een sterke verwerkersovereenkomst bij een cyberaanval, waarschuwt de Autoriteit Persoonsgegevens (AP). Het deelt daarom drie aanbevelingen die organisaties helpen bij het opstellen van een verwerkersovereenkomst.

Een verwerkersovereenkomst is een document dat afspraken omvat over het delen en gebruiken van persoonsgegevens. Organisaties die samenwerken met dienstverleners zijn vanuit de Algemene verordening gegevensbescherming (AVG) verplicht een dergelijke overeenkomst af te sluiten. Hierin leggen zij onder meer afspraken vast over cybersecurity en verantwoordelijkheden bij incidenten zoals datalekken.

De toezichthouder waarschuwt dat dienstverleners een aantrekkelijk doelwit zijn voor cyberaanvallen. Onder meer doordat dienstverleners vaak voor meerdere organisaties werken, waardoor veel data worden verwerkt. De schade na een aanval op een dienstverlener is volgens de AP vaak dan ook groot.

De AP onderzocht de rol van de verwerkersovereenkomst bij het afhandelen van vijf grote cyberaanvallen op dienstverleners. Deze aanvallen troffen samen ruim 1.250 organisaties en vermoedelijk 10,5 miljoen mensen. De AP vermoedt dat het ontbreken van goede verwerkersovereenkomsten ertoe heeft geleid dat de betrokken organisaties weinig grip hadden op het voorkomen en afhandelen van deze cyberaanvallen.

Op basis van dit onderzoek doet de toezichthouder een drietal aanbevelingen die organisaties en dienstverleners helpen de schade van cyberaanvallen in te perken:

Maak afspraken zo concreet mogelijk: afspraken moeten duidelijkheid geven over de taakverdeling en wederzijdse verwachtingen bij een datalek. Denk hierbij aan welke persoonsgegevens exact worden verwerkt, wat de contactpunten zijn bij een datalek, en wanneer en met welke inhoud de dienstverlener de organisatie moet informeren over een datalek.

Houd grip op de leveranciersketen: organisaties zijn zelf verantwoordelijk voor de persoonsgegevens van hun klanten, ook indien zij diensten uitbesteden aan dienstverleners. Organisaties moeten daarom zorgen dat zij grip houden op hun volledige leveranciersketen.

Geef prioriteit aan het opstellen en bijhouden van verwerkersovereenkomsten: onderhandel op tijd en zorgvuldig over afspraken. Herzie afspraken en bijlagen regelmatig, zodat deze blijven aansluiten op de praktijk. Zorg daarnaast voor voldoende bewustzijn en kennis over de AVG bij werknemers.