3. Verantwoordelijken aanwijzen

De volgende stap is vastleggen wie verantwoordelijk is voor het treffen, uitvoeren en onderhouden van de maatregelen.

Wat zegt de AFM hierover?

  • De invulling van de organisatiestructuur voor informatiebeveiliging mag je afstemmen op jouw situatie, zodat het past bij de omvang en complexiteit van je onderneming, de kenmer­ken van de informatie en data die je verwerkt en de beveiligingsrisico’s die daar bij horen.
  • Het management van de onderneming is te allen tijde verantwoordelijk voor de informatiebeveiliging. Het management heeft de expertise om deze verantwoordelijkheid te nemen en is bekend met de belangrijkste informatiebeveiligingsrisico’s, dreigingen en incidenten binnen de onderneming.
  • Voor in de uitvoering betrokken persoon (of personen) moet duidelijk zijn wat zijn taak is en wat zijn bevoegdheden zijn om daaraan te kunnen voldoen, en hij moet beschikken over voldoende deskundigheid en ervaring om de kwaliteit van risicobeoordelingen en de effectiviteit van de informatiebeveiligingsmaatregelen te kunnen borgen.

Aan de slag

Heb je bepaalde (kritische) diensten en activiteiten uitbesteed, dan is het goed om te beseffen dat dit risico’s met zich meebrengt. Jij blijft namelijk verantwoordelijk voor de kwaliteit van uitbestede diensten en activiteiten.

Wat zegt de AFM hierover?

  • Maak duidelijke afspraken over hoe jullie met incidenten omgaan, zodat direct actie kan worden ondernomen als er zich een incident voordoet.
  • Je bent wettelijk verplicht incidenten te melden bij de AFM.
  • Maak duidelijke afspraken over de verantwoordelijkheden en verplichtingen van beide partijen en leg deze schriftelijk vast.
  • Analyseer de risico’s vóór het aangaan van een uitbesteding, maar ook gedurende de uitbesteding en neem de benodigde maatregelen om de risico’s tot een aanvaardbaar niveau terug te brengen.

Aan de slag

  • In ons kennisportaal Privacy vind je informatie over het inschakelen van een verwerker. Je vindt daar ook een model verwerkersovereenkomst.
  • De AFM heeft in 2020/2021 een verkennend onderzoek gedaan naar de praktijk van uitbesteding bij middelgrote en grote intermediairs. Op basis daarvan zijn good practices geformuleerd om risico’s met betrekking tot uitbesteding te verkleinen.

>> Verder naar 4. Implementatie