Aanstellen van een nieuwe ICT Aanbieder
Aanstellen van een nieuwe ICT aanbieder.
“Een checklist die je snel de goede richting geeft.”
Deze vragenlijst kunt u gebruiken wanneer u een nieuwe aanbieder van ICT diensten wilt inschakelen. Aan de hand van de resultaten kunt u een betere afweging maken of de aanbieder bij het door u gewenste beveiligingsniveau past.
1. Gaat de nieuwe aanbieder namens u persoonsgegevens verwerken?
Onder verwerken valt onder andere:
- Het verzorgen van ICT apparatuur zoals computers, laptops en telefoons, waarmee door werknemers persoonsgegevens worden verwerkt.
- Het bieden van SaaS-diensten (Software as a Service), zoals online kennisbanken, CMS, kortom software die via een browser worden geopend.
- Het beheren van een server, al dan niet in een datacenter, en het maken van backups.
- Ook als een ICT aanbieder zelf niet kan inloggen, maar wel feitelijk beheer uitvoert over apparatuur met daarop persoonsgegevens, is deze partij een verwerker. Het feit dat de beheerder niet het wachtwoord heeft om de gegevens te lezen, doet niets af aan het feit dat de beheerder wél de gegevens kan vernietigen, of de toegang kan laten uitlekken.
Is dit het geval, dan is deze aanbieder een Verwerker, en dient een Verwerkersovereenkomst te worden afgesloten.
2. Als de aanbieder een Verwerker zal zijn, benoemt deze partij dit zelf? Wordt er een eigen verwerkersovereenkomst aangeboden, of hebt u als Verwerkingsverantwoordelijke de mogelijkheid er zelf één aan te bieden?
Het is positief als de nieuwe aanbieder initiatief toont op dit gebied. Het betekent dat er wel een goed bewustzijn van de situatie is.
Maar u hoeft niet zonder meer de overeenkomst van de ander te accepteren. De Verwerkingsverantwoordelijke is de partij die de regels omtrent de verwerking van persoonsgegevens zou moeten vaststellen. Als Verwerkingsverantwoordelijke moet je namelijk zelf de controle houden over alle verwerkingen, ook als je die uitbesteedt.
Maar er zijn veel partijen die als Verwerker liever met een eigen overeenkomst werken. In dat geval is het belangrijk deze overeenkomst goed te (laten) controleren, óók als wordt verteld dat er een advocaat voor veel geld de overeenkomst heeft opgesteld. Er zijn veel slechte overeenkomsten in omloop, die grote risico’s opleveren voor de verwerkingsverantwoordelijke.
U moet er voor zorgen dat de overeenkomst geen onduidelijkheden bevat, en geen ruimte laat voor de Verwerker om datalekken onder de tafel te vegen. In eerste instantie zult ú daar namelijk voor aansprakelijk zijn, ook als de Verwerker de fout in ging. U kiest er namelijk voor om met deze partij in zee te gaan.
3. Wat kan de aanbieder zeggen over het maken en controleren van backups?
Worden backups regelmatig gecontroleerd? Als uw gegevens worden vernietigd of versleuteld door een hacker, hoe snel kan de aanbieder uw organisatie dan weer in de lucht hebben? Kan de aanbieder hier garanties over geven, en wat betekenen deze garanties?
Denk er aan wat het betekent als uw organisatie geen enkele toegang meer zou hebben tot de gegevens die de nieuwe aanbieder onder beheer krijgt. Overleeft uw organisatie het als de gegevens onherroepelijk verloren gaan? Of kunt u één dag zonder, één week, of langer? Hoe verhoudt dit zich tot de garanties van de nieuwe aanbieder?
4. Hoe gaat de aanbieder om met nieuw personeel, en personeel uit dienst?
Is de aanbieder ‘in control’ op dit gebied, of kan een boze ex-werknemer nog bij uw systemen komen? En welke controle is er bij het aannemen van nieuw personeel?
Laat de aanbieder uitleggen hoe ze hier mee omgaan. Vraag u zelf af of u aan uw klanten of cliënten zou kunnen uitleggen waarom de nieuwe aanbieder voldoende grip heeft op zijn werknemers.
5. Hoe gaat de aanbieder om met toegang tot systemen?
Is hier beleid voor? Hoe veel personen mogen bij uw gegevens komen? Hoe is toegang geregeld in vakantieperiodes? En wat gebeurt er op het moment dat de aan uw organisatie toegewezen beheerder door een noodlottig ongeval niet meer in staat is om te werken en uw zaken over te dragen aan een collega?
U moet er voor waken dat beheer van uw persoonsgegevens van uw organisatie afhankelijk wordt van één persoon, ongeacht of deze bij u in dienst is of niet. Maar bij een externe partij is dat soms lastiger te zien, vandaar dat u hier beter direct naar kunt vragen.
Van de andere kant wilt u niet dat wachtwoorden voor het beheer van uw systemen bij wijze van spreken op een A4-tje aan de muur hangen, zichtbaar voor iedereen die langs loopt. Een kleine maar selecte groep zou op de hoogte moeten zijn van uw situatie; toegang moet goed geregeld zijn, ook in noodsituaties.
6. Kan de aanbieder garanties geven over de toegankelijkheid van de systemen?
Mogen updates overdag tijdens werktijd worden uitgevoerd, of wordt dit in de avonduren gedaan? Bepaal voor uzelf hoe belangrijk het is dat de systemen toegankelijk zijn. Kunt u in noodgevallen één uur zonder, of is dat onbespreekbaar? Dit kan ook nog per systeem of programma verschillen. Maak hier duidelijke afspraken over.
7. Kan de aanbieder aangeven wie verantwoordelijk is voor het uitvoeren van updates?
Het gebeurt nog wel eens, dat een ICT beheerder de verantwoordelijkheid hiervoor bij de klant legt: de klant moet dan vragen om systemen te updaten, met het argument dat de beheerder niet de verantwoordelijkheid kan nemen voor uitval van programma’s als de updates niet correct zijn.
Bepaal voor uzelf of uw organisatie in staat is om te bepalen welke updates wanneer moeten worden uitgevoerd. Kunt u dat niet zelf? Regel dan met de aanbieder dat zij updates voorstellen, en eventueel tests uitvoeren voordat deze op grote schaal worden doorgevoerd.
Meer weten over beveiliging?
Vul hieronder in ieder geval jouw naam en emailadres in, zodat we je vraag kunnen antwoorden.
Wil je liever gebeld worden? Vul dan je telefoonnummer in. Wij gebruiken jouw gegevens alleen maar om jouw vraag te kunnen beantwoorden. Kijk voor meer informatie naar ons privacy statement.