Vier vragen die elke bestuurder vandaag zou moeten kunnen beantwoorden:
- Welke leveranciers staan tussen onze systemen en onze eigen data?
- Wat staat er in de DPA's over incident-melding, audit-recht en sub-processors?
- Als er morgen een breach gemeld wordt bij een van die leveranciers: kunnen we binnen een dag vaststellen of wij zijn getroffen, en welke gegevens?
- Zo niet, wanneer wel?
Waarom deze vragen nu
ChipSoft bevestigde deze week dat bij de ransomware-aanval van begin april medische gegevens zijn buitgemaakt. Het zat in het cloudplatform waarop ChipSoft HiX als dienst aanbiedt.
De meeste datalekken beginnen inmiddels niet in de code, maar in de integratiekeuzes. Een snel opgeleverde koppeling, vertrouwen in de leverancier, één of twee lagen verder: een gekozen dienstverlener, een cloudplatform, een OAuth-koppeling, een sub-processor van uw sub-processor.
Als uw dataverkeer langs iemand anders' infrastructuur loopt, bent u afhankelijk van zijn beveiliging. Maar verantwoordelijk bent u nog steeds zelf.
Wat dit concreet betekent
- Een leveranciersbreach is niet automatisch úw meldplichtig datalek, maar u moet dat wel binnen een redelijke termijn kunnen vaststellen.
- Audit-recht en incident-melding staan niet altijd scherp in DPA's. Check ze voordat ze nodig zijn, niet erna.
- Sub-processor-lijsten zijn zelden statisch. Zorg dat u geïnformeerd wordt bij wijziging, niet achteraf.
Als uw organisatie nu al niet in één dag kan zeggen welke derde partijen in welke datastroom zitten, is dat de eerste opdracht.
Oorspronkelijk gepubliceerd als LinkedIn-post.