Een verwerkersovereenkomst regelt vooral wie waarvoor aansprakelijk is, maar beschermt niemand tegen een cyberaanval. Weer een regel die op papier goed klinkt, maar in de werkelijkheid nergens op slaat.

Het kan een organisatie (financieel) beschermen door vooraf goed vast te leggen hoe en wat. Een cyberaanval kan grote financiele gevolgen hebben en als jij als leverancier daarvoor aansprakelijk gesteld kan worden, dan kan dit zelfs het einde van je organisatie betekenen.

Inderdaad, alles draait om verantwoordelijkheden afschuifen en jezelf indekken.

Het hangt van de inhoud van de verwerkersovereenkomst af. Het is op zich mogelijk om een goede verwerkersovereenkomst op te stellen waardoor de verwerker zich wel twee keer zou bedenken alvorens "slordig" met gegevens om te springen.

Maar inderdaad, ik heb wel eens een verwerkersovereenkomst gezien waarin schriftelijk was vastgelegd dat niet de verwerker (Google) verantwoordelijk was voor de veiligheid van de gegevens, maar de verwerkingsverantwoordelijke zelf (een kleine Nederlandse organisatie met misschien drie of vier man personeel die in de verste verte geen idee had wat Google als verwerker allemaal met die gegevens deed). Er stond in de verwerkersovereenkomst ook dat Google de gegevens mocht delen met "filialen en partners" overal ter wereld.

Een toffe verwerkersovereenkomst was dat!

Dit laat zien dat de verwerkersovereenkomst vooral een resultaat is van de machtsverhoudingen tussen partijen. Zolang de AP alleen "aanbevelingen" doet, maar niet HANDHAAFT, hebben kleine partijen geen poot om op te staan tegenover giganten zoals Google. Die kleine partijen zullen dus bij het kruisje tekenen. Inclusief alle kleine lettertjes die de juristen van Google, Meta, AWS e.d. dan in zo'n verwerkerscontract stoppen.

Wat de AP nu doet, is aan de drie biggetjes "aanbevelen" om zomaar, midden in het open veld, streng toezicht te gaan houden op de grote boze wolf. Gaat dat werken? In mijn ogen is die aanbeveling niet erg realistisch.

De volgende vraag is dan of die aanbeveling überhaupt bedoeld is om realistisch te zijn, of dat het alleen een manier van de AP is om haar eigen imago te verbeteren.

Op bedrijven van het formaat Google, Meta of AWS zal deze "aanbeveling" weinig indruk maken.

M.J.

Laten we eerst vaststellen dat de AVG geen almachtig iets voor een big brother instantie is. Dat dat bij de AP krampachtig geprobeerd wordt is niet best voor privacy en alle andere sociale zaken. hier geldt "schoenmaker blijf bij je leest".
De AP die den Haag en de EU gaat voorschijven hoe iets hoort is buiten alle proporties.
Een verwerkersovereenkomst en daar dan het dagelijks bestuur mee zien over te nemen, zoiets is onwettelijk.

Oh. Ik dacht juist dat de AVG een almachtig iets voor een big brother instantie was. Vreemd. Zal me wel vergist hebben.

De tweede aanbeveling van AP is: "houd grip op de hele leveranciersketen". AP wijst erop dat er subverwerkers ingeschakeld kunnen worden die op grotere afstand staan, en dat dat een goede informatievoorziening lastiger maakt.

Jaren geleden was er herrie over de kwaliteit van bouwprojecten. Er zijn parkeergarages ingestort, er braken balkons af van nieuwbouwwoningen, dat soort ellende. Wat toen een factor van belang bleek was dat aannemers werk uitbesteden aan onderaannemers en die voor een deel weer aan onder-onderaannemers. Een belangrijk punt: de hoofdaannemers verloren in die situaties zelfs het zicht op de kwaliteit terwijl al die partijen op en aan dezelfde locatie werkten. Het was niet uit het zicht en toch ging het mis. Met andere woorden: dit is geen kleinigheid die je even af moet vinken, dit goed doen vergt serieuze inspanning en actieve betrokkenheid. Maar werk uitbesteden gebeurt nou juist omdat men dat liever aan een specialist in dat soort werk overlaat en niet zelf de expertise wil moeten hebben. Dat botst.

Een ander belangrijk punt is dat in de IT de subverwerkers geen kleine bedrijfjes zijn maar juist heel groot kunnen zijn. AP geeft dat in de afbeelding op pagina 9 van zijn aanbeveling (volg de link op de pagina van AP waar de redactie naar verwijst) weer, maar gaat er niet inhoudelijk op in. We hebben het ruim twee jaar geleden gezien toen er een gigantisch datalek was bij een bedrijf dat voor de meeste mensen totaal onbekend was, dat software leverde (en meteen de verwerking deed, zoals dat tegenwoordig gaat) voor markt- en klanttevredenheidsonderzoek, dat door diverse bureaus werd gebruikt die elk weer diverse bedrijven als klant hadden, waaronder zeer grote bedrijven. En single point of failure dus. De pest met dergelijke concentraties van data is dat die door hun omvang zeer aantrekkelijk zijn voor aanvallers, die er dan ook heel veel moeite in willen steken om het te pakken te krijgen. Dat betekent weer dat die grote hoeveelheden data niet zomaar goed maar echt extreem goed beveiligd moeten worden, terwijl tegelijkertijd ettelijke klanten en mogelijk klanten van klanten die data benaderen en er dus toegang toe moeten hebben. Wanneer bereik je het punt dat je beveiliging sterker moet zijn dan je nog waar kan maken? En kan het zo zijn dat zo'n partij op de achtergrond zo groot is geworden dankzij een heel concurrerende prijsstelling, die een limiet oplevert aan hoeveel geld en inspanning in die beveiliging gestoken kan worden? Is die dan nog wel goed genoeg? Ik vraag me af of het economische schaalvoordeel dat maakt dat dergelijke concentraties bestaan qua beveiliging niet makkelijk een schaalnadeel oplevert. In mijn ogen moet ook dat onderdeel zijn van het oordeel over de leveranciersketen, en daar doet AP in mijn ogen te makkelijk over. En het zou me niets verbazen als (vrijwel) niemand dit werkelijk goed weet te beoordelen.

Inderdaad het is niet te doen voor een klein bedrijf meer om te ondernemen in Nederland. Je bent altijd verantwoordelijk en je zit gelijk klem. Maar ja de overheid. Gewoon regels maken dan is het weer afgedenkt. Bedankt Den Haag.

Biljoenen schade elk jaar aan digitale inbraak,hacks,ransomware,malware
we begrijpen het beste burgers,we kunnen niet meer terug
naar de analoge tijd met pen en papier en papieren archieven
en in afgesloten archief kasten die nog in gebouwen stonden
zonder internet,alles ligt voor het grijpen,en nu dus wereldwijd online als het digitaal
fout gaat.

De digitalisering 2025

@Anoniem op 13-11-2025 om 09:52 uur.

Volledig mee eens. Dit is een argument voor decentralisatie van data-verwerking. En om die decentralisatie ook dwingend voor te gaan schrijven in wetgeving die wordt gehandhaafd.

Bijvoorbeeld als het gaat om patiëntdata. We hebben enkele maanden geleden met het datalek van Bevolkingsonderzoek Nederland (BVO) en het laboratorium Clinical Diagnostics in Rijkswijk (onderdeel van het multinationale concern Eurofins) gezien hoe makkelijk het fout kan gaan. Dat ging over medische en andere persoonsgegevens van een kleine miljoen mensen, dus zeg ca. 13% van de hele Nederlandse bevolking, en misschien wel 30% van de gehele doelgroep waarop die medische gegevens in hoofdzaak betrekking hadden (zeg: volwassen vrouwen van boven de 35 jaar oud).

Zulke medische en daaraan gerelateerde persoonsgegevens moeten natuurlijk gewoon weer decentraal worden opgeslagen. Dat kost misschien een beetje (maar niet zoveel, als je het standaardiseert). Maar het voorkomt ook veel ellende èn financiële kosten.

Niet alles was "vroeger" slechter. Sommige dingen waren vroeger beter geregeld en werden beter uitgevoerd dan nu.

Gek genoeg is het inmiddels weer muisstil over dat lek bij BVO (en bij artsen die hun lichaamsmonsters naar hetzelfde laboratorium stuurden). Het lijkt of het Nederlandse (medische en bestuurlijke) establishment het gebeurde zo gauw mogelijk weer wil vergeten en geen les wil trekken uit dat "incident", dat natuurlijk geen incident is, maar het symptoom van een structurele, grootschalige ziekte - een ziekte die men NIET wil aanpakken. Ook de AP wil dat niet.

De AP strooit liever met abstracte waarschuwingen en abstracte aanbevelingen.

M.J.

Tja, we kunnen heel veel mopperen over "Big Brother", en dat de regeldruk te groot wordt om nog te kunnen ondernemen. Maar in essentie wijst de AP er gewoon op dat als je een leverancier inhuurt, jij daarvoor verantwoordelijk bent, en je dat niet kan afschuiven op de leverancier. Niets nieuws onder de zon, alleen beginnen we ons dit steed meer te realiseren. En nog niet iedereen heeft dat goed tussen de oren.

Feitelijk moet de echte security natuurlijk door de leverancier worden geregeld, en zou in normale gevallen de opdrachtgever hier niet veel extra guidance aan moeten geven.

Maar bijvoorbeeld de aanbeveling dat je goed moet afspreken welke data je deelt is nog steeds erg relevant. Op dit forum heeft iedereen een mening (vriendelijk gezegd) als een burgemeester zegt dat ze inderdaad geen BSN's hadden moeten verstrekken aan de afvalverwerker, of als een laboratorium BSN's blijkt te hebben. Helaas is dat soort bewustwording nog niet overal doorgedrongen.

Blijft natuurlijk staan: dit zijn juridische afspraken, the proof of the pudding is natuurlijk of de echte' maatregen ook daadwerkelijk worden genomen.

“Maar dat is nu juist het lastige: hoe kun je als kleine organisatie volledig aansprakelijk zijn voor iets waar je in de praktijk weinig tot geen directe controle over hebt? Je kunt een leverancier contractueel verplichten om passende maatregelen te nemen, maar je ziet niet wat er intern echt gebeurt. Je bent dus juridisch verantwoordelijk, terwijl je technisch en operationeel afhankelijk bent van een externe partij. Hoe valt dat te rijmen?”

Je kunt wel dingen meer concreet in afspraken vastleggen. Zodat wanneer er een lek of een hack gebeurt, er achteraf gecontroleerd kan worden of de verwerker zich aan die afspraak heeft gehouden.

Als een hele grote verwerker, bijvoorbeeld Google, zegt dat-ie dan geen zaken met de verwerkingsverantwoordelijke wil doen, dan zou de verwerkingsverantwoordelijke een melding bij de AP moeten kunnen doen. En dat de AP dan ingrijpt en die kleine verwerkingsverantwoordelijke niet in de stront laat zakken.

De AP zou ook een stel modelverwerkersovereenkomsten kunnen publiceren, plus een helpdesk kunnen oprichten waar concept-verwerkerscontracten op aanvraag van de verwerkingsverantwoordelijke worden bekeken.

Voorwaarde is dan dat de AP toezichthouders in dienst neemt die niet wegkijken, maar doorpakken. Dat vereist een mentaliteitsverandering bij de AP.

Tegelijk heeft de AP daarvoor natuurlijk wel budget nodig, om dat waar te kunnen maken. Dat hebben de regeringen Rutte en Schoof nooit beschikbaar willen stellen. Misschien straks de regering Jetten?

M.J.

Mensen, geen woorden maar daden. AP is een papieren tijger die aanbeveelt nog meer papier te maken en andere letters er op te zetten. Bedrijven moeten er naar handelen en als dat niet hoeft want niemand controleert.... dan blijft het een stuk papier.