Een datalek bij uw IT-leverancier: wat te doen en hoe kunt u deze voorkomen?

10/06/2022 Het is tegenwoordig voor vrijwel elk bedrijf ondenkbaar om de bedrijfsvoering draaiende te houden zonder ondersteuning van informatietechnologie (IT). Veel bedrijven kiezen ervoor om (een deel van) de IT-processen uit te besteden aan externe IT-leveranciers. Zo maken zij gebruik van softwarediensten, digitale werkplekken of cloudoplossingen. Het gebruik van dergelijke diensten is echter niet geheel zonder risico. Uit de ‘Rapportage Datalekken 2021’ van de Autoriteit Persoonsgegevens (AP) blijkt dat IT-leveranciers (en hun klanten) steeds vaker het slachtoffer zijn van datalekken als gevolg van cyberaanvallen. In dit blog wordt kort ingegaan op de impact van datalekken bij IT-leveranciers. Vervolgens worden een aantal aanbevelingen uit de rapportage besproken, om de impact van een datalek op uw organisatie te beperken. 

Datalekken bij IT-leveranciers zorgen voor miljoenen slachtoffers  

De trend om cyberaanvallen op IT-leveranciers te richten, is te verklaren: bij IT-leveranciers valt simpelweg veel buit te halen. IT-leveranciers beschikken meestal over een verzameling van persoonsgegevens van verschillende organisaties op hun servers. Als gevolg, is de impact van een datalek bij een IT-leverancier zeer groot. Zo leidde, volgens het rapport, de in dit jaar 28 gemelde datalekken tot wel 1.800 meldingen van getroffen organisaties. De AP schat dat dit minimaal 7 miljoen personen heeft geraakt. In haar rapportage noemt de AP een aantal maatregelen die organisaties kunnen nemen om de impact van een dergelijk datalek te beperken:   

Maak afspraken met uw IT-leverancier over beveiligingsmaatregelen 

Om te beginnen, kunnen datalekken worden voorkomen wanneer de IT-leverancier beschikt over een gedegen informatiebeveiliging. De AP beveelt dan ook aan om alleen samen te werken met IT-leveranciers die voldoende garanties geven voor passende technische en organisatorische beveiligingsmaatregelen. Hierbij kan worden gelet op certificaten waar de IT-leverancier over beschikt, zoals het ISO 27001 certificaat. Daarbij is wel goed om ervan bewust te zijn dat dergelijke certificeringsmechanismen vaak alleen betrekking hebben op de governance van de informatiebeveiliging en niet iets zeggen over het werkelijke beveiligingsniveau  

De organisatie blijft, als verwerkingsverantwoordelijke, verantwoordelijk voor de beveiliging van de persoonsgegevens. Dit is ook het geval als de beveiliging van de gegevens compleet wordt overgelaten aan de IT-leverancier. Het is daarom belangrijk om in een verwerkersovereenkomst concrete afspraken te maken over de beveiliging van de persoonsgegevens. Controleer periodiek of de IT-leverancier deze afspraken werkelijk nakomt.  

Dataminimalisatie: informatie die u niet heeft, kan niet “lekken”  

Dataminimalisatie helpt datalekken voorkomen. Informatie die u niet heeft, kan immers niet vrijgegeven worden. De AP beveelt daarom aan om dataminimalisatie toe te passen en de naleving ervan te controleren. Dataminimalisatie houdt in dat de organisatie niet meer persoonsgegevens verwerkt dan nodig is voor vooraf bepaalde doelen. Dit betekent ook dat de persoonsgegevens niet langer worden bewaard dan nodig is. Door middel van vooraf bepaalde bewaartermijnen, wordt bepaald hoelang de persoonsgegevens worden bewaard. Controleer of de gegevens na de bewaartermijn ook werkelijk zijn verwijderd of geanonimiseerd. 

Een goede voorbereiding is het halve werk  

Hoewel goede informatiebeveiliging het risico op een datalek verkleint, kan ook een goed beschermde IT-leverancier het slachtoffer worden van een datalek. Het is daarom te adviseren altijd op een datalek voorbereid te zijn. Op grond van de Algemene Verordening Gegevensbescherming (AVG) moet in het geval van een datalek snel worden gehandeld. De AP raadt daarom aan om een actieplan melding datalekken te maken. Daarnaast raadt zij aan om, in de verwerkersovereenkomst, afspraken te maken over de hulp die de IT-leverancier geeft om de meldplicht van datalekken na te komen. Hierbij kan worden gedacht aan het opnemen van een termijn waarbinnen de IT-leverancier u op de hoogte brengt van een datalek.  

Tot slot raadt de AP aan om, zowel voor u als voor de IT-leverancier, te zorgen voor een compleet en actueel verwerkingsregister. Deze kan helpen de omvang van het datalek en de gevolgen voor de slachtoffers in kaart te brengen.   

Conclusie 

Al met al bestaan er zeker maatregelen die organisaties kunnen nemen om impact van datalekken bij hun IT-leveranciers te beperken. Kunt u hierbij hulp gebruiken?  Considerati kan u ondersteunen bij het implementeren van de hierboven genoemde maatregelen!