Cyberaanvallen te lijf met een goede verwerkersovereenkomst
Goede verwerkersovereenkomsten tussen organisaties helpen cyberaanvallen adequaat af te handelen, en soms zelfs te voorkomen. Ze versterken zo de digitale weerbaarheid van slachtoffers van datalekken. Toch schort het nog vaak aan goede afspraken, ziet de Autoriteit Persoonsgegevens (AP). Op basis van onderzoek geeft de AP organisaties daarom 3 aanbevelingen voor sterke verwerkersovereenkomsten.
Onderzoek
De AP deed een onderzoek naar de rol van de verwerkersovereenkomst bij de afhandeling van 5 grote cyberaanvallen op dienstverleners. Deze cyberaanvallen troffen samen ruim 1.250 organisaties in Nederland, en waarschijnlijk 10,5 miljoen mensen.
De AP vermoedde dat het ontbreken van goede verwerkersovereenkomsten ervoor zorgde dat de betrokken organisaties weinig grip hadden op het voorkomen en afhandelen van de cyberaanval. Voor het onderzoek ging de AP in gesprek met de getroffen organisaties over hun ervaringen, en bestudeerde datalekmeldingen en verwerkersovereenkomsten.
Wat raadt de AP aan?
Op basis van dit onderzoek geeft de AP organisaties en dienstverleners 3 aanbevelingen om de schade van cyberaanvallen te beperken:
1. Maak afspraken zo concreet mogelijk
Verwerkersovereenkomsten bieden houvast tijdens een cyberaanval, maar alleen als de afspraken duidelijk en concreet zijn. Afspraken moeten verder gaan dan het simpelweg herhalen van de vereisten uit de Algemene verordening gegevensbescherming (AVG). Ze moeten duidelijkheid bieden over de taakverdeling en wederzijdse verwachtingen bij een datalek. Zoals:
- Hoe, hoelang, waarvoor, welke en van wie persoonsgegevens worden verwerkt.
- Wat de contactpunten zijn bij een datalek en afspraken over bereikbaarheid.
- Wanneer en met welke inhoud de dienstverlener de organisatie moet informeren over een datalek.
2. Houd grip op de hele leveranciersketen
Huurders en klanten moeten erop kunnen vertrouwen dat de corporatie goed omgaat met hun persoonsgegevens.
Verder lezen bij de bronNieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Nieuwe Amerikaanse wet moet ASML-verkoop aan China stoppen | Verder lezen | |
Cybersecurity awareness via gepersonaliseerde game bij Gemeente Meierijstad (Phantom’sLab) | Verder lezen | |
Hoogleraar pleit wegens datalekken voor professionele digitale architecten | Verder lezen | |
Realiteit van ransomware: kruip in het hoofd van een hacker | Verder lezen | |
Docenten kijken na met AI: slimme tijdsbesparing of risicovol? | Verder lezen | |
AI in het bedrijfsleven: innovatie stimuleren zonder het cyberrisico te vergroten | Verder lezen | |
AP wijst scholen op privacyrisico’s bij gebruik van digitale leermiddelen | Verder lezen | |
Adviescollege ICT publiceert concrete veiligheidslessen | Verder lezen | |
Steeds vaker wordt geëxperimenteerd met AI-cameras: is het gebruik daarvan veilig? | Verder lezen | |
Digitale weerbaarheid is geen certificaat | Verder lezen |