Wellicht maakt uw organisatie ook gebruik van een IT-leverancier waaraan u gegevens aanlevert ten behoeve van een dienst. Hierbij moet u bijvoorbeeld denken aan het faciliteren van online werkplekken voor werknemers of het opslaan van uw data. In het geval van een datalek bij een van uw IT-leveranciers bent u als verwerkingsverantwoordelijke verantwoordelijk om op tijd een melding te maken aan de Autoriteit Persoonsgegevens en betrokkenen. Uw IT-leverancier is als verwerker verplicht u hierin te ondersteunen.
De Autoriteit Persoonsgegevens heeft echter geconstateerd in haar rapport dat IT-leveranciers niet altijd transparant zijn in hun communicatie wanneer er een datalek heeft plaatsgevonden ten gevolge van een cyberaanval. Vermoedelijk zijn ze bang om onrust te scheppen bij klanten of reputatieschade op te lopen. Dit kan echter voor uw organisatie gevolgen hebben: u kunt mogelijk uw meldplicht niet naleven. Bij het niet naleven van de meldplicht kan de Autoriteit Persoonsgegevens besluiten om handhavend op te treden.
Om problemen met betrekking tot de naleving van uw meldplicht te voorkomen, adviseert de Autoriteit Persoonsgegevens om goede afspraken weg te leggen in de verwerkersovereenkomst met de IT-leverancier en een verwerkersregister bij te houden. Bij L2P helpen wij u graag met het opstellen en toetsen van uw verwerkersovereenkomsten en verwerkersregister.
[1] https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/datalekken-door-cyberaanvallen-bijna-verdubbeld
[2] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken
[3] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/datalekkenrapportage_ap_2021.pdf
