Is die ‘juiste’ derde partij wel echt de juiste?

Anno vandaag de dag komt het niet heel veel meer voor dat een organisatie werkelijk alles in eigen hand heeft. Sterker nog, tegenwoordig heeft de gemiddelde organisatie vaak één of meerdere partijen in de hand genomen ter ondersteuning van de diverse bedrijfsprocessen. Hierbij kan je bijvoorbeeld denken aan een Cloud leverancier voor het opslaan van informatie, het inhuren van externe kennis ter ondersteuning van bedrijfsprocessen (salarisadministratie bijvoorbeeld) of zelfs het volledig uitbesteden van de IT-infrastructuur.

Dit is niet opvallend te noemen want nagenoeg elk bedrijf besteedt wel iets uit. Het is echter de mate van afhankelijkheid die voor sommige partijen inmiddels naar het niveau ‘cruciaal’ is gegroeid. En daar wordt het gevaarlijk. Waarom? Nou, dit heeft alles te maken met waar organisaties wel én niet op letten tijdens het kiezen van zo’n derde partij. Vaak wordt er bijvoorbeeld heel goed nagedacht over de omvang van de samenwerking, de te leveren kwaliteit en wat het mag kosten. Hiervoor wordt veel input verzameld en de derde partijen beklimmen de bühne vol overgave voor een geweldige pitch. Echter zodra het huwelijk beklonken is stopt deze kritische blik vaak ook. Met alle gevolgen van dien. En daar wordt dus niet goed over nagedacht.

Op goede hoop en met blindelings vertrouwen

Waar er tijdens het selectie-/inkoopproces veel aandacht wordt besteedt aan de juiste partner, vervalt dit na het tekenen van het contract. Onder het mom van ‘dat zal wel goed zitten’ wordt er bijvoorbeeld niet of nauwelijks gekeken naar informatiebeveiliging. Het managen, beheersen en auditen van de relatie met deze partij wordt vervolgens niet meer consequent uitgevoerd en maakt plaats voor blindelings vertrouwen. An sich is een beetje vertrouwen in de mensheid heel wenselijk, maar niet op het gebied van informatiebeveiliging. Daar werken we liever met feiten en cijfers.

Het probleem met dit goedbedoelde vertrouwen zien we tegenwoordig namelijk veel terug in het nieuws. Zoals bij onderstaande incidenten:

• NOS – Datalek op ministerie van Justitie, persoonsgegevens van 65.000 ambtenaren
• NOS – Datalek bij autobedrijven treft mogelijk miljoenen Nederlanders
• NOS – Ook in Nederland mogelijk honderden bedrijven getroffen door ransomware-aanval
• NOS – Fors datalek bij New York Pizza
• NOS – Datalek testaanbieder: iedereen kon valse testuitslagen in app CoronaCheck krijgen

Dit zijn slechts enkele voorbeelden van de afgelopen maanden. We zouden deze lijst nog een stuk langer kunnen maken, maar je begrijpt ons punt vast wel. Al deze incidenten hebben namelijk gemeen dat het datalek of de aanval niet bij hen plaatsvond, maar bij een derde partij. Dit resulteerde vervolgens wel in (in)directe schade voor de hierboven benoemde partijen. En het is vaak de organisatie met de grootste faam die wordt genoemd in het artikel. Niet zo best voor de reputatie. Alhoewel ik betwijfel of mensen echter minder pizza zijn gaan bestellen. Maar toch, zelfs voor de pizzabakkers uit bovenstaande lijst heeft het aardig vervelende gevolgen gehad. Ondanks dat zij zelf misschien de boel wel enorm goed op orde hadden, kan het door een incident bij een derde partij toch nog flink fout gaan.

Wees kritisch vanaf het begin. Jij draagt de volledige verantwoordelijkheid.

Wij zouden onszelf geen Beschermheren mogen noemen als we niet met een oplossing zouden komen. Deze is eigenlijk heel ‘simpel’. Wees net zo kritisch over de maatregelen die derde partijen nemen op het gebied van informatiebeveiliging en privacy als je dat bent wanneer het gaat over budget en kwaliteit van de te leveren diensten of producten. Ga in een vroeg stadium de dialoog aan en stel kritische vragen:

• Kunnen ze aantonen hun informatiebeveiliging en privacy echt op orde te hebben op zowel organisatorisch als technisch vlak? (bijvoorbeeld met een ISO27001, TPM verklaring, ISAE 3402)
• Zijn er risicoanalyses en onafhankelijke (technische) audits uitgevoerd en in welke frequentie vindt dit plaats?
• Kunnen er aangetoond worden dat er maatregelen zijn getroffen op de bevindingen?
• Heeft de derde partij een business-continuity plan en disaster recovery plan en worden deze getest?

Vergis je niet, je mag echt wel eisen stellen aan de manier waarop een derde partij omgaat met jouw data. Je moet hierbij ook niet vergeten dat jij altijd verantwoordelijk blijft voor de data ook wanneer deze bij een derde partij staat. Veel organisaties zijn hier niet van op de hoogte. Vandaar dat we dit even willen benadrukken.

Vanuit Beschermheren kijken wij altijd zeer kritisch naar de aanwezige derde partijen wanneer wij bij klanten projecten begeleiden / uitvoeren. Ondanks dat we bij de klant zelf de boel qua informatiebeveiliging enorm sterk kunnen inrichten, heeft dat aanzienlijk minder nut wanneer er bij de derde partijen helemaal geen aandacht aan wordt geschonken. Bij elk van onze opdrachten wordt dit dus zeker meegenomen in de overwegingen en plannen.

Twijfel je aan de afspraken die jouw organisatie heeft met derde partijen op het gebied van IB en privacy zou je daar graag eens over willen sparren? Dat kan! Onze beschermheren en dames staan altijd voor u klaar. Neem vandaag nog contact op en u hoort snel van ons!