Drie aanbevelingen van AP voor het opstellen van sterke verwerkersovereenkomsten

In dit artikel:

De Autoriteit Persoonsgegevens (AP) stelt na onderzoek dat veel organisaties geen heldere, concrete verwerkersovereenkomsten hebben met hun dienstverleners. De toezichthouder analyseerde vijf cyberaanvallen op leveranciers die samen ruim 1.250 Nederlandse organisaties en naar schatting 10,5 miljoen mensen troffen. Daarbij bleek dat vage of ontbrekende afspraken de coördinatie en afhandeling van de incidenten bemoeilijkten, waardoor getroffen partijen weinig regie hadden bij herstel en schadebeperking.

De AP waarschuwt dat dienstverleners vanwege hun rol voor veel klanten een aantrekkelijk doelwit vormen: een enkel datalek kan zo honderden organisaties en grote aantallen persoonsgegevens raken. Daarom moeten organisaties ervan uitgaan dat zij of hun partners ooit een groot datalek krijgen en zich goed voorbereiden. De toezichthouder doet drie aanbevelingen om de gevolgen van zulke aanvallen te beperken en benadrukt dat alleen doordachte, actuele verwerkersovereenkomsten praktisch houvast bieden bij een cyberincident.

Extra context: onder de AVG horen schriftelijke verwerkersafspraken te staan met concrete beveiligingsmaatregelen, meldprocedures en samenwerking bij incidenten; organisaties doen er goed aan die afspraken te herzien, leveranciersbeleid te toetsen en incidentrespons te oefenen.