Hoe staat het eigenlijk met de ICT Security bij mijn leveranciers?

Michael Bijtenhoorn, Directeur-eigenaar van The Trusted Third Party (TT3P)

Hoe weet u hoe het is gesteld met de ICT Security bij de leverancier aan wie u uw data toevertrouwt? Hoe wordt u hierover geïnformeerd? En hoe weet u of u die informatie kunt vertrouwen?

Verwerkersovereenkomst

De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat er tussen een opdrachtgever (de verantwoordelijke) en een leverancier die persoonsgegevens verwerkt (de verwerker) een verwerkersovereenkomst wordt afgesloten. Bijvoorbeeld bij het laten uitvoeren van een marketingcampagne, bij het laten beheren van een webwinkel maar ook bij de uitbesteding van ICT-voorzieningen.
“De papierwinkel moet op orde zijn” is sinds de invoering van de AVG dan ook een veel gehoorde quote. De overeenkomsten zijn nu dan ook meestal wel aanwezig. Maar is er ook echt aandacht geschonken aan de inhoud ervan??

Waar dient zo’n verwerkersovereenkomst ook alweer voor?

Een verwerkersovereenkomst moet beschrijven welke gegevens worden verwerkt en met welk doel. Maar ook op welke manier de beveiliging van de gegevens is gewaarborgd. Hierin ligt naar mijn idee de grootste uitdaging. Doet zich een probleem voor, dan kunt u uw leverancier wel aansprakelijk stellen, maar dat kunt u natuurlijk beter voor zijn. Krantenkoppen en boetes komen namelijk wel altijd eerst op uw conto.

(Niet) aantoonbare beveiliging

Als een leverancier niet kan aantonen dat de beveiliging van gegevens is gewaarborgd, wil je dan überhaupt wel met deze leverancier samenwerken? Vaak is het antwoord toch nog ja. In goed vertrouwen…
Maar hierdoor gaat het nu wel te vaak mis. Hacks, phishing, valse e-mails, datalekken. De media staan er bol van. Gevolgen? Naast de kans op een boete in ieder geval een flinke deuk in de reputatie van de opdrachtgever en mogelijk de leverancier. Maar ook schade aan het vertrouwen van andere zakelijke relaties, iets wat minder goed meetbaar is.

In de verwerkersovereenkomst nemen opdrachtgevers daarom de mogelijkheid op om leveranciers te mogen auditen. Steeds vaker zien we dat er vragenlijsten over ICT Security naar leveranciers worden gestuurd om toch een goed gevoel te krijgen over de samenwerking. Vragenlijsten die inhoudelijk vaak ingewikkeld en te diepgravend zijn, waardoor de leverancier niet weet wat hij ermee aan moet. Of een opdrachtgever laat een audit bij de leverancier uitvoeren wanneer het mogelijk al te laat is. Als het vertrouwen al een deuk(je) heeft opgelopen, omdat zich al een incident heeft voorgedaan.

Initiatief bij de leveranciers

Naar mijn idee moet het initiatief voor aantoonbare beveiliging niet komen vanuit de opdrachtgevers maar vanuit, of desnoods worden neergelegd bij, de leveranciers omdat:

  1. leveranciers zich verantwoordelijk moeten voelen voor de eigen informatiebeveiliging;
  2. leveranciers geen reputatieschade willen oplopen als het mis gaat;
  3. leveranciers geen klanten willen kwijtraken doordat ze niet kunnen aantonen dat er veilig zaken gedaan kan worden met hen;
  4. leveranciers het al druk genoeg hebben om ook nog eens een grote hoeveelheid vragenlijsten in opdracht van hun klanten te moeten invullen of om een diversiteit aan audits te moeten doorlopen.

Aanpak advies voor leveranciers

Ik wil niet wil zeggen dat alle leveranciers direct ISO-gecertificeerd moeten worden. Wel moeten ze kunnen aantonen dat er sprake is van een afdoende security-regime. Het informatiebeveiligingsbeleid moet bij de organisatie passen, met een juiste balans tussen investeringen en risico’s:

  1. Neem afdoende beheersmaatregelen die zorgen dat het risico op incidenten acceptabel wordt;
  2. Baseer de beheersmaatregelen op een beschreven informatiebeveiligingsbeleid, waarmee zowel aan de interne organisatie als aan opdrachtgevers getoond kan worden hoe er over ICT Security wordt nagedacht;
  3. Controleer continue of de aanwezige beheersmaatregelen effectief genoeg zijn, of ze aangescherpt moeten worden of dat er nog maatregelen bij moeten komen;
  4. Leg het proces van interne controles en de resultaten ervan vast, zodat je als leverancier kan laten zien dat je ‘in control’ bent en derhalve grip hebt op de informatiebeveiliging;
  5. Laat op eigen initiatief hooguit één of twee externe audits per jaar uitvoeren. Door een derde partij, die onafhankelijk verslag legt over hoe het ervoor staat en met een onafhankelijke verklaring (een Third Party Memorandum) het bewijs levert aan opdrachtgevers en andere belanghebbenden, zoals de Autoriteit Persoonsgegevens, dat de ICT Security als compliant is beoordeeld.

Veilig en vertrouwd samenwerken

Door een leverancier naar het informatiebeveiligingsbeleid en een Third Party Memorandum te vragen en deze als bijlage te voegen bij de verwerkersovereenkomst, heeft u als opdrachtgever aantoonbaar bewijs dat de beveiliging van uw gegevens gewaarborgd is. Dat is een stuk zekerder en prettiger zakendoen!