Zoals u vorige week kon lezen, zijn de contracten inmiddels rond, en kan de applicatie in gebruik worden genomen. Dat brengt meteen de volgende stap in de plan-do-check-act-cyclus van informatiebeveiliging met zich mee: het controleren (checken) van de leverancier.
Zorgaanbieders dragen de verantwoordelijkheid om de gemaakte afspraken te monitoren, beoordelen en auditen. Hierdoor kan ervoor gezorgd worden dat de gemaakte afspraken worden nagekomen en dat eventuele problemen met betrekking tot informatiebeveiliging tijdig en op de juiste manier worden behandeld. In de praktijk merken wij dat het stellen van eisen vaak nog wel lukt, maar dat de periodieke controle achterwege wordt gelaten. Vaak vanwege een gebrek aan tijd of geld of doordat er geen medewerking wordt verleend. Het is daarom belangrijk dat er een proces wordt ingericht om leveranciersrelaties te beheren en om te verifiëren of wordt geleverd wat is afgesproken conform de contracten, te rapporteren over de dienstverlening, audits uit te voeren en gesignaleerde problemen op te lossen.
Als het goed is, zijn daar in de contracten met de leverancier al mogelijkheden voor opgenomen. Mogelijk zijn er ook afspraken gemaakt over de verdere keten. De zorgaanbieder kan overeenkomen dat een leverancier haar toeleveranciers weer controleert. Deze mogelijkheden worden in deze blog verder toegelicht.
Het auditrecht
Waar persoonsgegevens worden verwerkt, is de Algemene verordening gegevensbescherming (AVG) van toepassing. Zodra persoonsgegevens door een leverancier worden verwerkt, dient er een verwerkersovereenkomst te worden gesloten. Zoals we in deel 6 van deze reeks zagen, is dit voor de zorgaanbieder idealiter het model van de Brancheorganisaties Zorg. Mocht een andere verwerkersovereenkomst zijn gesloten, dan is dat op dit vlak echter geen probleem: de AVG zegt dat de verwerkingsverantwoordelijke (in casu de zorgaanbieder) een inspectie- of auditrecht heeft.
Het auditrecht omvat het recht om nakoming van alle punten uit de verwerkersovereenkomst te controleren. De beveiliging moet bijvoorbeeld ‘passend’ zijn (en blijven), en er moet een overzicht zijn van subverwerkers en verwerkingslocaties. Praktisch gezien kan hier op verschillende manieren invulling aan worden gegeven. De ene kost natuurlijk meer tijd en middelen dan de andere. Een laagdrempelige manier is bijvoorbeeld om jaarlijks een soort compliance checklist of een self assessment rond te sturen, waarin de leverancier wordt gevraagd of er bijvoorbeeld nieuwe beveiligingsmaatregelen of subverwerkers zijn ingeschakeld, of op welke wijze zij invulling geeft aan haar verplichtingen uit de verwerkersovereenkomst. Een andere optie is om aanwezige auditrapporten ten aanzien van privacy en/of beveiliging op te vragen en te beoordelen, of om een pentest uit te laten voeren. Aan het andere uiterste wordt een externe auditor langs gestuurd die hele systemen of organisaties gaat doorlichten. Ongeacht de middelen: op basis van de uitkomsten dient de zorgaanbieder te beoordelen of alles nog voldoet, of dat er extra maatregelen nodig zijn.
Welk middel voor controle het meest passend is, wordt bepaald aan de hand van de beveiligings- en privacyrisico’s die eerder in het proces zijn geconstateerd. Echter: een laagdrempelige controle, zoals een vragenlijst die de leverancier zelf invult, is nog altijd beter dan géén controle. Ook wanneer de risico’s dusdanig zijn dat een striktere controle eigenlijk beter op zijn plaats zou zijn.
Indien er om bepaalde redenen geen verwerkersovereenkomst wordt gebruikt of indien de bepalingen betreffende een audit of controle niet uitgebreid genoeg zijn, dan zullen er vergelijkbare bepalingen opgenomen moeten worden in een van de andere contracten.
De keten
Een verwerker is op haar beurt gehouden om dezelfde afspraken uit de verwerkersovereenkomst met de verwerkingsverantwoordelijke, door te zetten naar toeleveranciers (of: subverwerkers). Dat betekent dat een verwerker ook een auditrecht heeft bij subverwerkers en dus ook regelmatig zal moeten controleren of o.a. de beveiliging nog passend is. Verlies als zorgaanbieder vooral niet uit het oog dat dit ook iets is dat opgevraagd kan worden bij leveranciers. De verwerkingsverantwoordelijke draagt uiteindelijk de eindverantwoordelijkheid voor informatiebeveiliging.
Wijzigingen in de dienstverlening
Als onderdeel van het managementsysteem is het ook belangrijk om goed in te kunnen spelen op wijzigingen in de dienstverlening van een leverancier. Zulke wijzigingen kunnen bijvoorbeeld voortkomen uit het doorontwikkelen of verbeteren van de dienst of door nieuwe of aangepaste wetgeving. Zulke wijzigingen kunnen nieuwe risico’s met zich meebrengen op privacy- en informatiebeveiligingsgebied. Door regelmatig te beoordelen welke veranderingen er zijn geweest, welke risico’s daaraan kleven en hoe groot die risico’s precies zijn, kan tijdig worden bijgestuurd om die risico’s tot een acceptabel niveau te beperken.
Soms blijkt dat een leverancier niet meer voldoet aan de gestelde eisen en is het moment aangebroken om afscheid van elkaar te nemen. Volgende week zullen wij daarom aandacht besteden aan het laatste onderwerp: het einde van de overeenkomst, exit en continuïteit.
Deze blog is geschreven in samenwerking met Alexander Freund.
