Cybersecurity: veiligheid in ketens

Cybersecurity is onmisbaar voor elke organisatie. Toch is de uitvoering niet zo eenvoudig als het lijkt. Enerzijds bezitten organisaties genoeg kennis op het gebied van cybersecurity, anderzijds worstelen veel organisaties met het aanpakken van de online veiligheid.

Cybersecurity: veiligheid in ketens

Cybersecurity is onmisbaar voor elke organisatie. Toch is de uitvoering niet zo eenvoudig als het lijkt. Enerzijds bezitten organisaties genoeg kennis op het gebied van cybersecurity, anderzijds worstelen veel organisaties met het aanpakken van de online veiligheid. Het CIO Platform Nederland besloot hun kennis hierover te bundelen in een reeks artikelen waarin het organisaties via zes stappen op weg helpt. In dit artikel behandelen we de vierde stap: veiligheid in ketens.

Online veiligheid gaat verder dan binnenskamers een beleid bedenken en uitvoeren. Een organisatie heeft namelijk ook te maken met externe factoren, zoals leveranciers en klanten in de keten, waar deze niet per definitie invloed op heeft of kan hebben. Een bedrijf dient dit gegeven dan ook mee te nemen in het veiligheidsbeleid, zodat het is gevrijwaard van mogelijke risico’s die hieraan ten grondslag liggen.

AVG

De Algemene Verordening Gegevensbescherming (AVG) biedt uitkomst om externe risico’s te verkleinen. De Europese verordening verplicht bedrijven verwerkersovereenkomsten te gebruiken in het geval dat andere personen of bedrijven beschikken over persoonlijke data waarvoor jouw organisatie verantwoordelijk is.

Wat er in het document te vinden is? Een set regels op basis waarvan organisaties onder meer afspraken maken over wat er met persoonsgegevens wordt gedaan bij een incident. Het zijn basisafspraken, maar zeer belangrijk voor een goede samenwerking. Omstandigheden die invloed hebben op AVG-conformiteit reiken overigens verder dan dat. Denk bijvoorbeeld aan een sub-gegevensverwerker die de daadwerkelijke verwerker helpt om het werk te volbrengen. Is dit het geval, ontvangt een gegevensverwerker hulp, dan moet de verwerker verplicht met jouw organisatie communiceren dat dit plaatsvindt. Sterker nog: hij moet aan jou toestemming vragen. Bovendien heeft het bedrijf verplichtingen bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

Contractonderhandelingen

Organisaties moeten de AVG-regelgeving echter niet nodig hebben om tot een veilig, extern beleid te komen. Het is simpelweg verstandig cybersecurity mee te nemen in koop- en contractonderhandelingen, zodat je al bij het begin van de samenwerking duidelijke afspraken maakt over de veiligheid van gegevens. Enkele voorbeelden zijn risico-evaluaties, te nemen maatregelen bij gegevensverlies, op te leveren rapportages over securitymaatregelen en bewijs van AVG-conformiteit van bedrijfspartners en andere derde partijen.

Benieuwd naar het complete rapport? Navigeer naar cio-platform.nl en download het document.

Verder lezen? Lees hier deel 5 "Cybersecurity: up to date houden van software?" uit de reeks.