10 vragen die u moet stellen aan uw leverancier die uw Veiligheid moeten vergroten

veiligheid en leverancier

Met de huidige focus op Privacy en Beveiliging en het toenemende gebruik van technologie in uw bedrijf, bevatten uw overeenkomsten met leveranciers de bescherming die u nodig hebt? Een leverancier voor een bepaalde taak inschakelen, beschermt u niet noodzakelijk tegen mogelijke verliezen.

Wat als je gehackt word?


Helaas is aansprakelijkheid met betrekking tot datalekken via leveranciers beperkt. Daarom is het des te belangrijker dat leveranciersovereenkomsten zorgvuldig worden opgesteld en aangegaan, rekening houdend met de verplichtingen van de leverancier jegens u voor uw bescherming en naleving.

Er moet altijd worden beoordeeld tot welke informatie / gegevens een leverancier toegang mag hebben, welke gegevens een leverancier zal opslaan en verwerken, en of en hoe(lang) een leverancier die gegevens mag gebruiken.

Is er bijvoorbeeld persoonlijke informatie bij inbegrepen?
Is die persoonlijke informatie bijzonder gevoelig?
Is er vertrouwelijke bedrijfsinformatie bij betrokken?
En hoe vertrouwelijk is deze ?

Vaak wordt aangenomen dat de overeenkomst die een verkoper presenteert niet onderhandelbaar is, maar dat is niet altijd het geval. Zelfs als er niet over de overeenkomst kan worden onderhandeld, moeten de vragen zoals hieronder verwoord, worden gesteld en beantwoord om mogelijke risico’s te beoordelen – soms is een andere weg beter. Ook kunnen in sommige gevallen bepaalde risico’s worden beperkt door bijvoorbeeld een numeriek systeem te gebruiken in plaats van identificerende informatie van individuen op te nemen.

Hier zijn 10 vragen die u aan uw technologie (en misschien aan andere) leveranciers kunt stellen:

1. Als het nodig is om gebruikers toe te voegen of anderszins de reikwijdte van de diensten te verbreden tijdens de looptijd van de overeenkomst, vallen de kosten voor het toevoegen van gebruikers enz. Dan onder de overeenkomst of is de toevoeging tegen de "dan geldende" prijs? Staan de toevoegingen samen met de term voor de oorspronkelijke scope?
2. Welke beveiligingsmaatregelen heeft de verkoper getroffen en wat zijn de eventuele beveiligingsverplichtingen in de overeenkomst?
3. Zijn er voldoende grenzen aan de toegang tot en het gebruik van uw gegevens door de leverancier? Kan de leverancier uw gegevens bijvoorbeeld voor zijn eigen bedrijf gebruiken en contact opnemen met uw klanten?
4. Is de toegang van de leverancier tot en het gebruik of de verwerking van uw gegevens voldoende gedekt in uw privacybeleid?
5. Als het systeem van de leverancier wordt geschonden, is er dan een vereiste om u op de hoogte te stellen? Om u op de hoogte te houden van de status? Kan de leverancier uw klanten op de hoogte stellen van de inbreuk? Wat zijn, indien van toepassing, uw remedies voor de inbreuk?
6. Is de leverancier verplicht om back-ups te maken van uw gegevens? Hoe lang worden ze bewaard?
7. Biedt de verkoper enige garantie (veel technologieovereenkomsten bieden geen enkele garantie en wijzen alle impliciete garanties af)? Zo ja, wat is de remedie bij inbreuk op de garantie?
8. Is er een of andere serviceniveaiverplichting opgenomen - zowel met betrekking tot het reageren op problemen als, indien van toepassing, een uptime-verplichting (dat is het percentage van de tijd dat de leverancier vertegenwoordigt dat het systeem bruikbaar zal zijn en niet offline), of een beschikbaarheidsverplichting ? Wat zijn de remedies voor storingen - zijn alleen ‘credits’ toegestaan ​​zonder recht op beëindiging bij aanzienlijke downtime?
9. Wat zijn de beperkingen van de aansprakelijkheid van de leverancier voor schending (de meeste leveranciersovereenkomsten voorzien in aanzienlijke beperkingen voor wat u zou kunnen herstellen)? Is de verkoper verplicht een verzekering af te sluiten en zo ja, staat uw bedrijf vermeld als een aanvullende verzekerde?
10. Hoe krijgt u aan het einde van de looptijd van de overeenkomst uw gegevens terug indien nodig? In welke vorm wordt het geleverd? Heeft u de hulp van de leverancier nodig en zo ja, zijn er kosten aan verbonden? Wat zijn ook de verplichtingen tot verwijdering / vernietiging of voortdurende bescherming van de verkoper?