Goede verwerkersovereenkomsten tussen organisaties helpen cyberaanvallen adequaat af te handelen, en soms zelfs te voorkomen. Ze versterken zo de digitale weerbaarheid van slachtoffers van datalekken. Toch schort het nog vaak aan goede afspraken, ziet de Autoriteit Persoonsgegevens (AP). Op basis van onderzoek geeft de AP organisaties daarom 3 aanbevelingen voor sterke verwerkersovereenkomsten.

Onderzoek

De AP deed een onderzoek naar de rol van de verwerkersovereenkomst bij de afhandeling van 5 grote cyberaanvallen op dienstverleners. Deze cyberaanvallen troffen samen ruim 1.250 organisaties in Nederland, en waarschijnlijk 10,5 miljoen mensen. 

De AP vermoedde dat het ontbreken van goede verwerkersovereenkomsten ervoor zorgde dat de betrokken organisaties weinig grip hadden op het voorkomen en afhandelen van de cyberaanval. Voor het onderzoek ging de AP in gesprek met de getroffen organisaties over hun ervaringen, en bestudeerde datalekmeldingen en verwerkersovereenkomsten.

Wat raadt de AP aan?

Op basis van dit onderzoek geeft de AP organisaties en dienstverleners 3 aanbevelingen om de schade van cyberaanvallen te beperken: 

1. Maak afspraken zo concreet mogelijk

Verwerkersovereenkomsten bieden houvast tijdens een cyberaanval, maar alleen als de afspraken duidelijk en concreet zijn. Afspraken moeten verder gaan dan het simpelweg herhalen van de vereisten uit de Algemene verordening gegevensbescherming (AVG). Ze moeten duidelijkheid bieden over de taakverdeling en wederzijdse verwachtingen bij een datalek. Zoals: 

• Hoe, hoelang, waarvoor, welke en van wie persoonsgegevens worden verwerkt.
• Wat de contactpunten zijn bij een datalek en afspraken over bereikbaarheid.
• Wanneer en met welke inhoud de dienstverlener de organisatie moet informeren over een datalek.

2. Houd grip op de hele leveranciersketen

Huurders en klanten moeten erop kunnen vertrouwen dat de corporatie goed omgaat met hun persoonsgegevens. 

Deze versturen we 3-4x per jaar.