➡️ Lees ook: Toegangscontrole in informatiebeveiliging – Les 5
➡️ Of bekijk: Beveiligingsbeleid en incidentherkenning – Les 4
Inleiding
Uitbesteding en cloudbeveiliging zijn essentiële thema’s binnen moderne informatiebeveiliging. Informatiebeveiliging houdt immers niet op bij de grenzen van je eigen organisatie. Steeds vaker worden ICT-diensten uitbesteed aan externe partijen. Denk aan hostingproviders, cloudleveranciers of externe helpdesks. In deze blogpost, gebaseerd op les 6 van mijn opleiding ‘Cybersecurity voor Beginners’, leg ik uit waarom duidelijke afspraken essentieel zijn. Ik bespreek contractuele afspraken zoals de Service Level Agreement (SLA), verantwoordelijkheden van leveranciers, cloudcertificeringen en hoe leveranciers informatiebeveiliging in de hele keten moeten garanderen. De focus ligt hierbij op het thema “uitbesteding en cloudbeveiliging”.
Afspraken over informatiebeveiliging bij uitbesteding
Wanneer een organisatie ICT-diensten inkoopt, blijft zij zelf verantwoordelijk voor de bescherming van informatie. Dit betekent dat er heldere, meetbare afspraken gemaakt moeten worden met externe leveranciers. Zulke afspraken worden meestal vastgelegd in een informatiebeveiligingsovereenkomst, waarin staat welke technische en organisatorische maatregelen de leverancier moet nemen. Daarnaast wordt in een Service Level Agreement (SLA) vastgelegd welk serviceniveau verwacht wordt, hoe beschikbaarheid gewaarborgd wordt, en wat er gebeurt bij contractbreuk.
Meer informatie over het opstellen van een goede SLA is bijvoorbeeld te vinden via AG Connect.
Het is belangrijk te beseffen dat documenten zoals gedragscodes of leveranciersparagrafen vaak te vaag zijn. Ze geven geen harde garanties, en missen juridische afdwingbaarheid. Alleen met concrete afspraken kun je een leverancier ook echt aanspreken als iets misgaat.
Waarom leveranciersafspraken cruciaal zijn
Leveranciers kunnen toegang krijgen tot gevoelige informatie, systemen of zelfs volledige bedrijfsprocessen. Wanneer dit gebeurt zonder goede afspraken over beveiliging, ontstaat er een aanzienlijk risico. Denk aan datalekken, verlies van bedrijfsdata of onduidelijkheid over verantwoordelijkheden bij incidenten. Het is dus essentieel om te zorgen dat de rollen en taken duidelijk zijn omschreven, inclusief wie het incidentmanagement verzorgt en welke normen worden gevolgd.
Een misvatting is dat de verantwoordelijkheid automatisch bij de leverancier ligt. Maar zelfs als de dienst wordt uitbesteed, blijft de uitbestedende partij juridisch verantwoordelijk voor de bescherming van informatie. Het is daarom cruciaal om dit vooraf vast te leggen en periodiek te evalueren. Meer over deze juridische verantwoordelijkheid is te vinden op de website van de Autoriteit Persoonsgegevens.
Beveiliging in de keten garanderen
Beveiliging houdt niet op bij de directe leverancier. Ook derden die door die leverancier worden ingeschakeld – zoals hostingproviders, onderaannemers of platformbeheerders – kunnen toegang hebben tot kritieke onderdelen. Een organisatie moet er dus op toezien dat de gehele keten in lijn handelt met de afgesproken informatiebeveiligingsnormen.
Dit kan onder andere worden bereikt via juridische contracten en aanvullende verzekeringen. Maar ook via borgstellingen en SLA’s die doorwerken in de keten. De meest robuuste aanpak is echter om leveranciers te verplichten tot periodieke audits en het implementeren van extra beveiligingsmaatregelen. Daarmee toon je aan dat je informatiebeveiliging actief beheert, en niet alleen vertrouwt op papieren beloften.
Certificeringen en cloudbeveiliging
Clouddiensten vormen een speciaal risico. De opslag en verwerking van gegevens vindt vaak plaats buiten de eigen omgeving – en soms zelfs buiten de EU. Daarom is het van groot belang dat cloudleveranciers kunnen aantonen dat zij voldoen aan erkende beveiligingsnormen.
Er zijn verschillende relevante certificeringen. ISO/IEC 27017 richt zich specifiek op clouddiensten en biedt richtlijnen voor de implementatie van beveiligingsmaatregelen. ISO/IEC 27018 focust op de bescherming van persoonsgegevens in cloudomgevingen. Daarnaast is er SOC 2, een rapportagevorm die aantoont dat processen rondom beveiliging, beschikbaarheid, integriteit en privacy aantoonbaar op orde zijn.
Let op: een certificaat is geen garantie. Het toont alleen aan dat een organisatie aan bepaalde normen voldoet op het moment van audit. Het blijft dus belangrijk om zelf na te gaan of de cloudleverancier jouw specifieke eisen en risico’s begrijpt én adresseert.
Samenvattende inzichten uit mijn huiswerkopgaven
Tijdens deze les werd duidelijk dat je uitbesteding niet lichtzinnig moet benaderen. Goede afspraken in SLA’s en beveiligingsovereenkomsten zijn onmisbaar. Daarbij is het belangrijk dat de afspraken specifiek zijn en juridisch afdwingbaar. De toegenomen complexiteit door globalisering, culturele verschillen en ketensamenwerking maakt dit extra uitdagend.
Wat mij opviel is dat leveranciers ook verplicht moeten worden om de beveiliging bij hun eigen leveranciers (de onderaannemers) te borgen. Alleen zo voorkom je dat de keten verzwakt. Verder besprak ik dat cloudleveranciers over de juiste certificeringen moeten beschikken, en dat organisaties zélf verantwoordelijk blijven voor de naleving van wet- en regelgeving, zoals de AVG.
Tot slot werd benadrukt dat de beste manier om beveiliging in de keten te garanderen, is door middel van audits en aanvullende maatregelen – die geven veel meer zekerheid dan alleen papieren afspraken of verzekeringen.
Conclusie
Deze les liet zien hoe belangrijk het is om informatiebeveiliging bij uitbesteding goed te regelen. SLA’s, informatiebeveiligingsovereenkomsten en cloudcertificeringen zijn geen formaliteiten, maar essentiële onderdelen van risicobeheersing. Organisaties moeten niet alleen intern maar ook extern eisen stellen en controleren of deze worden nageleefd. Want als het misgaat, ligt de verantwoordelijkheid uiteindelijk altijd bij jou.
➡️ Volgende blogpost: Persoonsbeveiliging en bewustwording – Les 7