Naar dataveilige IT-contracten met deze 10 basistopics

Outsourcing van heel wat bedrijfsinformatie en -taken komt steeds meer voor. Door middel van verschillende IT-toepassingen zal je als bedrijf meer data, in vele gevallen ook vertrouwelijke data, delen met IT-dienstverleners. Daarbij dien je steeds in het achterhoofd te houden dat je in het proces van deze outsourcing een doorgedreven veiligheidsbeleid voert. 

In het geval van persoonsgegevens bestaat de duidelijke verplichting om gepaste technische en organisatorische maatregelen te nemen, maar het voorkomen van datalekken en de algemene verplichting om ervoor te zorgen dat je bedrijfsinformatie niet lekt of gecompromitteerd wordt is van essentieel belang. Een onveilig databeleid leidt immers steeds meer tot financiële en reputatieschade van je onderneming.

Net daarom dien je als ondernemer gepaste contractuele waarborgen in te bouwen met jouw IT-dienstverlener. Schenk daarbij de nodige aandacht aan beveiligingsmaatregelen voor de informatie die je toevertrouwt. Zo kan je cyberrisico’s zoals datalekken, ongeautoriseerde toegang of gebruik van de data, alsook de aansprakelijkheid van je bedrijf tot een minimum beperken. 

Dataveilige_ICT_contracten

10 topics om mee te nemen in je veiligheidsbeleid

Waar moet je dan op letten wanneer je in de overeenkomst met je IT-dienstverlener je databeveiliging onderhandelt? Welke zaken kan je best opnemen om je veiligheidsbeleid stevig in de steigers te zetten?  We geven je graag 10 basistopics mee: 

  1. Kijk bij een onderhandeling in de eerste plaats naar je eigen situatie. Hoe gevoelig is je bedrijfsinformatie en welke impact heeft dit op je onderneming wanneer er zich een incident voordoet? Zijn de aangeboden beveiligingsmaatregelen daar toereikend genoeg voor? Wat is de bereidheid van de IT-dienstverlener om zich aan te passen aan jouw beveiligingseisen? Kijk na in hoeverre de dienstverlening conform je eigen veiligheidsbeleid en -procedures is.
  2. Kijk steeds na of er wettelijke vereisten en procedures op jouw bedrijf van toepassing zijn en in welke mate de contracterende dienstverlener daar een ondersteunende rol in speelt. We denken daarbij aan de talrijke transparantie-, meldings-, notificatie- en medewerkingsverplichtingen die op je onderneming van toepassing kunnen zijn, afhankelijk van de soort data die je verwerkt, de sector waarin je werkzaam bent of de hoedanigheid van je onderneming.
  3. Definieer welke personen geautoriseerd worden om je bedrijfsinformatie te ontsluiten en probeer dit te beperken tot enkel de personen die noodzakelijk toegang moeten hebben tot deze gegevens. Stipuleer naast de interne bevoegdheden bij je contractspartij ook welke derde partijen, zoals onderaannemers, toegang zullen hebben.
  4. Bepaal de inhoudelijke veiligheidsverplichtingen met je IT-dienstverlener met betrekking tot de vertrouwelijke behandeling van je data, de voorwaarden voor de ontsluiting ervan, en de aansprakelijkheid voor de schending van deze voorwaarden, inclusief de schending van de geautoriseerde personen en derden.
  5. Kijk na of je IT-dienstverlener handelt conform internationale, Europese en nationale wetgeving en laat in je clausules de IT-dienstverlener bevestigen dat hij conform handelt. Eventueel kan je specifieker nagaan conform welke internationale standaarden je IT-dienstverlener werkzaam is en in het positieve geval welke certificaten de IT-dienstverlener bezit. Belangrijk hierbij is om goed na te kijken op wat deze certificaten concreet betrekking hebben en voor welke bedrijfsactiviteiten er effectief certificaten behaald zijn. Hebben deze voldoende betrekking op de verwerking van jouw bedrijfsinformatie? Ben je zelf voldoende technisch aangelegd, dan kan je zelf een reeks technische beveiligingsmaatregelen opnemen in de overeenkomst die de IT-dienstverlener dient te respecteren.
  6. Leg procedures vast in het geval er zich een beveiligingsincident zou voordoen, waarbij er voor de IT-dienstverlener duidelijk wordt omschreven wat zijn detectieplichten, waarschuwingsplichten, medewerkingsplichten, etc. zijn. Stel in het kader van de opstelling van een incident response team vast welke coördinerende rol de IT-dienstverlener kan opnemen. Voeg daaraan toe welke communicatie de IT-dienstverlener wel, maar vooral niet kan voeren en zorg ervoor dat je deze crisiscommunicatie zelf in handen houdt.
  7. Maak goede afspraken over verplichtingen rond herstel en verbeteringen van de systemen van de IT-dienstverlener na een eventueel incident. Maak daarbij afspraken over de gemaakte kosten, de aansprakelijkheid van de IT-dienstverlener en zijn verplichtingen tot vrijwaring in geval van schadeclaims, boetes en overige vervolgingen waar je je aan zou kunnen blootstellen. 
  8. Ter controle van alle voorgaande verplichtingen kan je ook de mogelijkheid opnemen om gerichte audits en controles uit te oefenen bij de IT-dienstverlener. Deze controle kan je zelf doen of laten doen door derden-specialisten.
  9. Neem in de overeenkomst eventueel op dat een schending van de voorgaande verplichtingen een schending is van een essentiële contractuele verplichting die je toelaat om eenzijdig en kosteloos het contract te beëindigen.
  10. Tot slot, voorzie steeds de mogelijkheid om van de IT-dienstverlener te eisen dat bij eerste verzoek alle informatie kan overgedragen of vernietigd kan worden, zowel tijdens de overeenkomst als bij afloop. Kijk daarbij steeds na welke informatie kan vernietigd worden en/of welke informatie de IT-dienstverlener dient bij te houden binnen het kader van zijn wettelijke verplichtingen.

Een geïntegreerde aanpak voor dataveilige IT-contracten

Het implementeren van bepalingen rond de beveiliging van je data vraagt steeds om een geïntegreerde aanpak binnen de gehele overeenkomst en grondig nazicht van de toepasselijke wetgeving. Dit kan soms leiden tot complexe vraagstukken, waarbij er in vele gevallen een evenwicht dient gezocht te worden tussen de mogelijkheden en de bereidheid van de IT-dienstverlener en anderzijds de minimale beveiligingsvoorwaarden die je moet of kan opleggen als afnemer van deze diensten.

Wens je begeleiding of ondersteuning bij de opmaak van je IT-contract of het opzetten van deze specifieke clausules, neem dan gerust contact op met Roeland via roeland@siriuslegal.be