AP deelt aanbevelingen voor een sterke verwerkersovereenkomst bij een cyberaanval
Veel organisaties beschikken niet over een sterke verwerkersovereenkomst bij een cyberaanval, waarschuwt de Autoriteit Persoonsgegevens (AP). Het deelt daarom drie aanbevelingen die organisaties helpen bij het opstellen van een verwerkersovereenkomst.
Een verwerkersovereenkomst is een document dat afspraken omvat over het delen en gebruiken van persoonsgegevens. Organisaties die samenwerken met dienstverleners zijn vanuit de Algemene verordening gegevensbescherming (AVG) verplicht een dergelijke overeenkomst af te sluiten. Hierin leggen zij onder meer afspraken vast over cybersecurity en verantwoordelijkheden bij incidenten zoals datalekken.
De toezichthouder waarschuwt dat dienstverleners een aantrekkelijk doelwit zijn voor cyberaanvallen. Onder meer doordat dienstverleners vaak voor meerdere organisaties werken, waardoor veel data worden verwerkt. De schade na een aanval op een dienstverlener is volgens de AP vaak dan ook groot.
De AP onderzocht de rol van de verwerkersovereenkomst bij het afhandelen van vijf grote cyberaanvallen op dienstverleners. Deze aanvallen troffen samen ruim 1.250 organisaties en vermoedelijk 10,5 miljoen mensen. De AP vermoedt dat het ontbreken van goede verwerkersovereenkomsten ertoe heeft geleid dat de betrokken organisaties weinig grip hadden op het voorkomen en afhandelen van deze cyberaanvallen.
Op basis van dit onderzoek doet de toezichthouder een drietal aanbevelingen die organisaties en dienstverleners helpen de schade van cyberaanvallen in te perken:
Maak afspraken zo concreet mogelijk: afspraken moeten duidelijkheid geven over de taakverdeling en wederzijdse verwachtingen bij een datalek. Denk hierbij aan welke persoonsgegevens exact worden verwerkt, wat de contactpunten zijn bij een datalek, en wanneer en met welke inhoud de dienstverlener de organisatie moet informeren over een datalek.
Houd grip op de leveranciersketen: organisaties zijn zelf verantwoordelijk voor de persoonsgegevens van hun klanten, ook indien zij diensten uitbesteden aan dienstverleners. Organisaties moeten daarom zorgen dat zij grip houden op hun volledige leveranciersketen.
Geef prioriteit aan het opstellen en bijhouden van verwerkersovereenkomsten: onderhandel op tijd en zorgvuldig over afspraken. Herzie afspraken en bijlagen regelmatig, zodat deze blijven aansluiten op de praktijk. Zorg daarnaast voor voldoende bewustzijn en kennis over de AVG bij werknemers.
Het kan een organisatie (financieel) beschermen door vooraf goed vast te leggen hoe en wat. Een cyberaanval kan grote financiele gevolgen hebben en als jij als leverancier daarvoor aansprakelijk gesteld kan worden, dan kan dit zelfs het einde van je organisatie betekenen.
Het hangt van de inhoud van de verwerkersovereenkomst af. Het is op zich mogelijk om een goede verwerkersovereenkomst op te stellen waardoor de verwerker zich wel twee keer zou bedenken alvorens "slordig" met gegevens om te springen.
Maar inderdaad, ik heb wel eens een verwerkersovereenkomst gezien waarin schriftelijk was vastgelegd dat niet de verwerker (Google) verantwoordelijk was voor de veiligheid van de gegevens, maar de verwerkingsverantwoordelijke zelf (een kleine Nederlandse organisatie met misschien drie of vier man personeel die in de verste verte geen idee had wat Google als verwerker allemaal met die gegevens deed). Er stond in de verwerkersovereenkomst ook dat Google de gegevens mocht delen met "filialen en partners" overal ter wereld.
Een toffe verwerkersovereenkomst was dat!
Het hangt van de inhoud van de verwerkersovereenkomst af. Het is op zich mogelijk om een goede verwerkersovereenkomst op te stellen waardoor de verwerker zich wel twee keer zou bedenken alvorens "slordig" met gegevens om te springen.
Maar inderdaad, ik heb wel eens een verwerkersovereenkomst gezien waarin schriftelijk was vastgelegd dat niet de verwerker (Google) verantwoordelijk was voor de veiligheid van de gegevens, maar de verwerkingsverantwoordelijke zelf (een kleine Nederlandse organisatie met misschien drie of vier man personeel die in de verste verte geen idee had wat Google als verwerker allemaal met die gegevens deed). Er stond in de verwerkersovereenkomst ook dat Google de gegevens mocht delen met "filialen en partners" overal ter wereld.
Een toffe verwerkersovereenkomst was dat!
Dit laat zien dat de verwerkersovereenkomst vooral een resultaat is van de machtsverhoudingen tussen partijen. Zolang de AP alleen "aanbevelingen" doet, maar niet HANDHAAFT, hebben kleine partijen geen poot om op te staan tegenover giganten zoals Google. Die kleine partijen zullen dus bij het kruisje tekenen. Inclusief alle kleine lettertjes die de juristen van Google, Meta, AWS e.d. dan in zo'n verwerkerscontract stoppen.
Wat de AP nu doet, is aan de drie biggetjes "aanbevelen" om zomaar, midden in het open veld, streng toezicht te gaan houden op de grote boze wolf. Gaat dat werken? In mijn ogen is die aanbeveling niet erg realistisch.
De volgende vraag is dan of die aanbeveling überhaupt bedoeld is om realistisch te zijn, of dat het alleen een manier van de AP is om haar eigen imago te verbeteren.
Op bedrijven van het formaat Google, Meta of AWS zal deze "aanbeveling" weinig indruk maken.
M.J.
Dit laat zien dat de verwerkersovereenkomst vooral een resultaat is van de machtsverhoudingen tussen partijen. Zolang de AP alleen "aanbevelingen" doet, maar niet HANDHAAFT, hebben kleine partijen geen poot om op te staan tegenover giganten zoals Google. Die kleine partijen zullen dus bij het kruisje tekenen. Inclusief alle kleine lettertjes die de juristen van Google, Meta, AWS e.d. dan in zo'n verwerkerscontract stoppen. ....
M.J.
De AP die den Haag en de EU gaat voorschijven hoe iets hoort is buiten alle proporties.
Een verwerkersovereenkomst en daar dan het dagelijks bestuur mee zien over te nemen, zoiets is onwettelijk.
Laten we eerst vaststellen dat de AVG geen almachtig iets voor een big brother instantie is. Dat dat bij de AP krampachtig geprobeerd wordt is niet best voor privacy en alle andere sociale zaken. hier geldt "schoenmaker blijf bij je leest".
De AP die den Haag en de EU gaat voorschijven hoe iets hoort is buiten alle proporties.
Een verwerkersovereenkomst en daar dan het dagelijks bestuur mee zien over te nemen, zoiets is onwettelijk.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?