Ga naar hoofdinhoud
Adfiz logo

Autoriteit Persoonsgegevens geeft aanbevelingen voor een sterke verwerkersovereenkomst

Adfiz-Nieuws_Default.png

De AP heeft onderzoek gedaan naar de rol van verwerkersovereenkomsten bij cyberaanvallen op dienstverleners. Dit onderzoek leidt tot het vermoeden dat organisaties die hiermee te maken kregen, weinig grip hadden op het voorkomen en afhandelen van een cyberaanval.

De AP stelt dat je er als dienstverlener vanuit moet gaan dat jezelf of een van de verwerkers waarmee je samenwerkt ooit getroffen gaat worden door een groot datalek. Het is cruciaal om je hierop goed voor te bereiden. Een goede verwerkersovereenkomst blijkt een absolute noodzaak voor een goede afhandeling van een cyberaanval. Zo'n overeenkomst geeft alleen houvast als de afspraken duidelijk en concreet zijn. De aanbevelingen die de AP doet:

Maak afspraken in de overeenkomst zo concreet mogelijk

In een verwerkersovereenkomst moeten de taakverdeling en wederzijdse verwachtingen bij een datalek duidelijk zijn. Dit houdt onder andere in dat vastgelegd wordt:

  • hoe, hoelang, waarvoor en van wie persoonsgegevens worden verwerkt;

  • wat bereikbare contactpunten zijn bij een datalek;

  • wat de termijnen zijn en de minimale inhoud van te verstrekken informatie bij dataleknotificaties.

Houd grip op de hele leveranciersketen

Het is van belang de hele leveranciersketen in beeld te hebben en daar grip op te houden. Aangeraden wordt om zicht te krijgen op afspraken over en processen voor beveiligingsmaatregelen en subverwerkers. Je moet kunnen nagaan dat dit voor de hele keten binnen de dienstverlening op orde is. Ook is het van belang zicht te hebben op alle subverwerkers die persoonsgegevens van je klanten in handen krijgen en de manier waarop zij de gegevens beveiligd hebben.

Geef meer prioriteit aan het opstellen en bijhouden van verwerkersovereenkomsten

Afspraken in verwerkersovereenkomsten bieden alleen houvast als ze aansluiten op de huidige praktijk. Daarom is het van belang om deze periodiek te evalueren en te herzien. Voorkomen moet worden dat afspraken ontbreken, te vaag blijken, niet meer werken in de praktijk of niet meer passend zijn bij de dienstverlening via een verwerker. De AP raadt aan tijdig met het onderhandelen van een nieuwe verwerkersovereenkomst te beginnen. Ook raadt zij sterk aan om de overeenkomst periodiek te herzien om onder andere te beoordelen of de afgesproken beveiligingsmaatregelen nog voldoen en passend zijn bij huidige bedreigingen en de stand van de techniek.

  • Bettie Hoogsteen
    Bettie 2023

    Bettie Hoogsteen

    Senior adviseur public affairs en beleid

16 mrt 2026

Snel naar