Blogs / 

Zijn uw verwerkersovereenkomsten bestand tegen een cyberaanval?

IT, Privacy & Cybersecurity

25 november 2025

Geschreven door

Natascha van Duuren

Blog Image

Cyberaanvallen richten zich steeds vaker op dienstverleners die persoonsgegevens verwerken voor meerdere organisaties. Een datalek bij zo’n dienstverlener kan ernstige gevolgen hebben voor honderden organisaties en miljoenen mensen. De Autoriteit Persoonsgegevens (AP) onderzocht recent de rol van verwerkersovereenkomsten bij grote cyberaanvallen en deed aanbevelingen om de schade te beperken.

De verwerkersovereenkomst als fundament

De Algemene verordening gegevensbescherming (AVG) verplicht organisaties en hun dienstverleners om afspraken over de verwerking van persoonsgegevens vast te leggen in een verwerkersovereenkomst. Uit het onderzoek van de AP blijkt dat deze overeenkomsten in de praktijk vaak onduidelijk of te weinig concreet zijn. Vanwege het ontbreken van duidelijke afspraken over verantwoordelijkheden bij een datalek informeerde de dienstverlener de getroffen organisaties niet op tijd of slechts gedeeltelijk. Hierdoor waren de slachtoffers niet voldoende beschermd tegen de  mogelijke gevolgen van het datalek.

Drie praktische aanbevelingen

De AP doet drie heldere aanbevelingen voor een sterke verwerkersovereenkomst:

  1. Maak afspraken zo concreet mogelijk
    Herhaal niet alleen de verplichtingen uit de AVG, , maar maak concrete afspraken over:
    o    Wie welke persoonsgegevens verwerkt, voor welk doel, en hoe lang;
    o    Wie het aanspreekpunt is bij een datalek (denk aan een gezamenlijke mailbox);
    o    Binnen welke termijn en met welke minimale inhoud een datalek gemeld moet worden.
  2. Houd grip op de hele leveranciersketen
    Ook als organisaties diensten uitbesteden, blijven zij verantwoordelijk voor de persoonsgegevens van klanten. Zij moeten daarom zorgen voor inzicht in de hele keten, inclusief subverwerkers, hun locatie, hun beveiligingsmaatregelen en de gemaakte afspraken. Een goed overzicht helpt om snel te handelen bij een incident.
  3. Geef prioriteit aan het opstellen en bijhouden van verwerkersovereenkomsten
    De verwerkersovereenkomst moet niet worden gezien als formaliteit, maar als een levend document. Organisaties dienen tijdig en zorgvuldig te handelen, afspraken regelmatig te herzien en te zorgen dat medewerkers voldoende kennis hebben van privacy en beveiliging. Branchemodellen kunnen waar mogelijk als basis worden gebruikt, maar deze dienen te worden afgestemd op de situatie van de organisatie.

Tips voor in de praktijk

  • Zorg voor een actuele lijst met (bereikbare) contactpersonen voor datalekken.
  • Spreek een korte, haalbare termijn af voor het melden van datalekken.
  • Wees transparant naar klanten en geef op vaste momenten updates, ook als er geen nieuwe ontwikkelingen zijn.
  • Evalueer na een incident wat goed ging en wat beter kan, en pas processen aan waar nodig.

Vragen?

Een goede verwerkersovereenkomst is essentieel om schade bij een cyberaanval te beperken en om te voldoen aan de vereisten uit de AVG. Wilt u weten of uw verwerkersovereenkomsten voldoen aan de laatste eisen? Neem gerust contact op met Natascha van Duuren, Advocaat & Partner IT, Privacy & Cybersecurity.

Nieuwsbrief

Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief!