Outsourcing betekent niet dat er geen cyberrisico is
Veel bedrijven kiezen voor IT-outsourcing. De externe serviceproviders leveren de software en hardware om het werk zo efficiënt mogelijk te doen. De verantwoordelijkheid voor cyberrisico’s lijkt daardoor misschien ook bij deze serviceproviders te liggen. Maar dat is vaak niet (of slechts in hele beperkte mate) het geval.
Verantwoordelijk voor uw eigen data
Ook bij outsourcing blijft u zelf verantwoordelijk voor de integriteit en de beveiliging van de verzamelde gegevens. Het maakt dus niet uit dat het is uitbesteed. Het is een misvatting dat een extern IT-bedrijf alle klappen voor u opvangt en de schade ook wel oppakt. In het contract met uw IT-provider wordt de aansprakelijkheid beperkt.
Controleer de leveringsvoorwaarden van uw serviceprovider
Leveranciers van ICT-diensten hanteren bij het aanbieden van hun diensten en producten strenge voorwaarden. Die vindt u terug in de leveringsvoorwaarden, service level agreements en verwerkersovereenkomsten. Vaak zijn hierin artikelen opgenomen waarin beperkingen met betrekking tot aansprakelijkheid. Dit geldt ook voor (gevolg)schade als er iets fout gaat. Soms worden de gevolgen zelfs neergelegd bij de gebruiker als daar de herkomst van een hack ligt.
Mijn advies is om bestaande overeenkomst te controleren. En maak bij het aangaan van contracten waarbij ICT wordt uitbesteed goede afspraken met de leverancier. Het moet duidelijk zijn wat is geregeld en wie verantwoordelijk is voor beveiliging , beschikbaarheid, AVG compliance, garanties en aansprakelijkheid. Dit geldt ook als u gebruik maakt van clouddiensten.
Extra risico bij gebruik clouddiensten
Veel bedrijven gebruiken online servers voor het opslaan van bedrijfsinformatie: cloud storage. Een server direct toegankelijk vanaf internet betekent een hoger risico op een hack. Dit kan leiden tot een datalek of verlies van belangrijke informatie. Neem daarom alleen clouddiensten af bij een betrouwbare partner binnen de EU en zorg voor een goede verwerkersovereenkomst. Alleen een loginnaam en wachtwoord om bij de date te komen is daarnaast onvoldoende. Tweefactor authenticatie is noodzakelijk.
Cyberrisico’s via outsourcing zijn verzekerbaar
Een deel van de risico’s zijn goed op te vangen door het maken van praktische afspraken. Zoals uitwijken naar secundaire datacentra, goede back-up procedures en uitgebreide continuïteitsmaatregelen.
Maar niet alle risico’s en schade die bij een cyberincident horen, zijn te voorkomen. Met een cyberverzekering kunnen de financiële gevolgen van aansprakelijkheid, bedrijfstilstand en kosten van herstel verzekerd worden. Zo borgt u de continuïteit van uw bedrijfsactiviteiten zoveel mogelijk.
Meer informatie over de cyberverzekering