De afgelopen jaren zien we dat in nieuwe wet- en regelgeving steeds meer concrete eisen worden gesteld aan de ICT-dienstverlener. Denk aan bijvoorbeeld de AVG (met hierin taken/verantwoordelijkheden voor de ‘verwerker’), de Cyberbeveiligingswet (waarin beveiliging van de toeleveringsketen wordt vereist en die rechtstreeks op ‘Beheerders van ICT-diensten (business-to-business)’ van toepassing is) en de AI-Verordening (met specifieke verplichtingen/verantwoordelijkheden voor de ‘aanbieder’). Geen wonder dus dat deze lijn ook in steeds meer richtsnoeren en gedragscodes terugkomt, waaronder in de Gedragscode Informatiebeveiliging Notariaat (hierna: ‘KNB Gedragscode’). Aangezien de KNB begin 2025 3.497 leden had, is de kans groot dat u als ICT-dienstverlener wel een aangesloten notaris tot uw clientèle mag rekenen. In deze blog leest u wat de Gedragscode inhoudt voor u als ICT-dienstverlener.
De Gedragscode is door de KNB uitgebracht om de notaris te helpen om zijn rol te pakken ten aanzien van informatiebeveiliging. Het ‘pakken van deze rol’ houdt in dat notarissen onder meer kritisch dienen te kijken naar hun IT-security management, de getroffen technische security maatregelen, de eisen die zij stellen aan hun ICT-dienstverleners, de afspraken die zij met hun ICT-dienstverleners hebben gemaakt en dat zij hun ICT-dienstverleners periodiek dienen te beoordelen.
De Gedragscode is relevant voor alle ICT-dienstverleners die via hun ICT-producten en/of diensten toegang (kunnen) hebben tot informatie(systemen) van een notaris die is aangesloten bij de KNB.
Als gevolg van de Gedragscode zal de notaris bepaalde eisen aan de ICT-dienstverlener stellen. Deze eisen zullen (afhankelijk van de geleverde product- en dienstverlening) onder meer zien op beveiliging van gegevens tijdens doorgifte (zoals via e-mail, netwerken of internetverbindingen), toegangsrechten, beveiligingsincidenten, back-ups, restoremogelijkheden, malware, patching, updates, monitoring, logging en het gebruik van OTAP-omgevingen.
Daarnaast zal de notaris vereisen dat in contracten concrete afspraken worden gemaakt over informatiebeveiliging. Deze afspraken zullen o.a. zien op de eerdergenoemde eisen maar ook op geheimhoudingsplichten, het melden van beveiligingsincidenten (let op: iets anders dan datalekken!) en het doorleggen van beveiligingsafspraken aan onderaannemers.
Als laatste, zal de notaris bij de implementatie van de Gedragscode en vervolgens periodiek een risicoanalyse willen doen op de product- en dienstverlening van de ICT-dienstverlener.
Ben op de hoogte van de eisen van de Gedragscode en toets of uw product- en dienstverlening hieraan voldoet. Wanneer u dit schriftelijk documenteert, kan dit ook meteen als input voor de risicoanalyse van de notaris dienen. Bereid daarnaast alvast een aanvulling op uw (standaard)contracten voor waarin u de relevante beveiligingseisen uitwerkt.
Nu hoor ik u bijna denken, waarom zou ik dit gedoe op mijn hals halen als ik zelf geen notaris ben? Nou, onder meer omdat: 1) uw eigen risico’s worden beperkt als u alleen belooft wat u kunt waarmaken (voldoen de ICT-producten/diensten wel of niet); 2) u vooraf kunt bepalen of u mogelijk kosten wil doorbereken of een upsell kunt doen; 3) het bij contractonderhandelingen veelal in uw voordeel is als u de eerste zet doet; en 4) omdat u hiermee uitermate klantvriendelijk bent.
Mocht u hulp kunnen gebruiken met het ‘gedoe’, dan bent u bij ons kantoor aan het juiste adres. Wij beschikken namelijk over uitgebreide juridische cybersecurity kennis vanuit zowel het belang van de ICT-dienstverlener als de notaris en ondersteunen u hierbij dan ook graag.
Neem voor vragen contact op met Michelle Wijnant, advocaat IT, Privacy & Cybersecurity
Wil je elke maand een overzicht van updates en blogs in uw mailbox? Klik dan hier om je in te schrijven voor de nieuwsbrief!