De Autoriteit Persoonsgegevens (AP) geeft aan dat veel organisaties onvoldoende voorbereid zijn op cyberaanvallen vanwege slappe afspraken met dienstverleners. Uit onderzoek van de toezichthouder blijkt dat bij vijf grote incidenten bij verwerkers ruim 1.250 organisaties en naar schatting 10,5 miljoen betrokkenen geraakt werden.
Volgens de AP vormen dienstverleners een aantrekkelijk doelwit voor cybercriminelen omdat zij vaak voor meerdere organisaties werken en daardoor toegang hebben tot veel persoonsgegevens. De schade is daardoor vaak groot. De toezichthouder concludeert dat verwerkersovereenkomsten in veel gevallen onvoldoende concreet zijn om tijdens een datalek snel en adequaat op te treden.
De AP doet drie belangrijke aanbevelingen. Ten eerste moeten de afspraken in verwerkersovereenkomsten zo concreet mogelijk zijn: het moet duidelijk zijn welke persoonsgegevens worden verwerkt, wie verantwoordelijk is en hoe de dienstverlener moet rapporteren bij een incident. Ten tweede moeten organisaties grip houden op hun volledige leveranciersketen; ook als zij diensten uitbesteden blijven zij zelf verantwoordelijk voor de bescherming van persoonsgegevens. Ten derde is het essentieel dat de verwerkersovereenkomst op tijd wordt opgesteld en regelmatig wordt bijgesteld, zodat de praktijk – bijvoorbeeld nieuwe cyberdreigingen of ketenuitbesteding – goed wordt afgedekt.
Met deze aanbevelingen wil de AP organisaties en dienstverleners helpen de impact van een cyberaanval te beperken. Volgens de toezichthouder kunnen betere contractuele afspraken en duidelijke rolverdeling in ketens de weerbaarheid tegen grootschalige datalekken substantieel verhogen.