Verwerkersovereenkomsten
Eén van je leveranciers is gehackt, wat nu?
.png?width=1038&resizemode=force)
Als onderwijsinstelling maak je gebruik van software of diensten van leveranciers die vaak ook toegang hebben tot persoonlijke gegevens van medewerkers, leerlingen of ouders. Stel je voor dat er bij een van de leveranciers een hack heeft plaatsgevonden waarbij jullie gegevens zijn gelekt. Wat kun je in zo'n geval doen?
Helaas was dit onlangs de situatie van een marktonderzoeker in Nederland. Het onderzoeksbureau werkt samen met een softwareleverancier om digitale vragenlijsten uit te zetten. Deze softwareleverancier is een tijdje geleden getroffen door een ransomware-aanval waarbij veel data is gestolen, inclusief gegevens van de klanten van het onderzoeksbureau.
Het bureau moest het datalek melden bij de Autoriteit Persoonsgegevens en haar klanten informeren over de gevolgen. Daarvoor was echter wel informatie nodig vanuit de leverancier, maar deze werd niet gegeven. Gelukkig had het marktonderzoeksbureau wettelijk recht op alle informatie over de aanval en het datalek, en op basis van de contractuele afspraken in de verwerkersovereenkomst. De leverancier is hierdoor dus verplicht om deze informatie aan te leveren!
Leveranciers en de AVG
Het is belangrijk om de juiste maatregelen te nemen voor gegevensbescherming. Maar: niet alle leveranciers hanteren dezelfde voorwaarden. Lees hoe wij de verwerkersovereenkomsten controleren en de verschillen op een heldere manier inzichtelijk maken.
Lees meer
Vraag alle benodigde informatie op
Het komt vaker voor dat grotere dienstverleners te maken krijgen met ransomware-aanvallen. Deze dienstverleners zijn immers belangrijke doelwitten voor hackers. Maar wanneer je als onderwijsinstelling daar de dupe van bent, hoe pak je dat dan aan? Het uitgangspunt is dat je verantwoordelijk bent om een hack te melden bij de Autoriteit Persoonsgegevens. Ook moet je de betrokkenen (zoals medewerkers, leerlingen of ouders) uitleggen wat er is gebeurd. Maar hiervoor heb je wel informatie nodig van de leverancier.
Allereerst ga je na of jullie zijn geraakt door het datalek. Bekijk in je verwerkingsregister wie de verwerkers zijn en welke subverwerkers daarbij worden benoemd. Dit zijn verwerkers die zijn ingeschakeld door jullie verwerker (de leverancier). Als alternatief kun je de leverancier ook vragen of zij geraakt wordt door de problemen bij hun leverancier.
Je hoeft niet te wachten op onderzoeken van andere partijen; je kunt en moet zelf vragen stellen aan de verwerker. En deze leverancier moet antwoorden! In de verwerkersovereenkomst heb je je verwerkers namelijk verplicht om die informatie te leveren, zoals de AVG het voorschrijft. Stel vragen zoals: Wat is er gebeurd? Wat is er gelekt? Wat hebben deskundigen al gevonden?
- Als de leverancier beschikt over ISO-certificaten en SOC 2 Type 2 rapportages, vraag dan ook naar de verslagen van die auditors. Soms moet je daar een geheimhoudingsverklaring voor tekenen.
- Als je leverancier werkt met een subverwerker, worden de uitbesteedde werkzaamheden niet afgedekt door eigen certificaten. Vraag deze informatie daarom ook op bij de leverancier.
Met deze informatie kun je achterhalen wat er precies fout is gegaan en op basis daarvan de noodzakelijke maatregelen nemen. Bovendien bieden de auditverslagen de mogelijkheid om zwakke plekken in de beveiliging van je leverancier vast te stellen. Op die manier kun je gerichte vragen stellen en verder onderzoeken hoe deze kwetsbaarheden structureel aangepakt kunnen worden.
Belang van een verwerkersovereenkomst
Een verwerkersovereenkomst is verplicht, maar je hebt er ook écht wat aan. Daar wordt niet altijd bij stilgestaan. Zo’n overeenkomst maakt het voor jullie als school mogelijk om stevig op te treden wanneer de leverancier iets overkomt.
.jpg?width=80&resizemode=force)