Vragenlijst informatieveiligheid leveranciers
Door een thema-audit over ICT-risico’s bij lokale besturen van Audit Vlaanderen en de meldingen van datalekken door de lokale besturen bij de VTC, werd duidelijk dat regelmatig de nodige beveiliging niet geregeld werd of niet afgedwongen werd t.o.v. de leverancier of niet geleverd werd/wordt door de leverancier.
De VTC biedt de lokale besturen ter ondersteuning een vragenlijst aan om hun verwerkers te bevragen.
Deze brief werd aan de lokale besturen en agentschappen bezorgd in augustus 2024:
Brief aan lokale besturen en agentschappen(PDF bestand opent in nieuw venster)
Vragenlijst als instrument
- Bijlage 1. Duiding bij de vragenlijst(PDF bestand opent in nieuw venster)
- Bijlage 2. Vragenlijst deel A (verantwoordelijke) en deel B (verwerker)(PDF bestand opent in nieuw venster) (word-versie(Word bestand opent in nieuw venster))
De vragenlijst is een instrument voor de verwerkingsverantwoordelijke. De VTC plant geen centrale inzameling van de vragenlijsten.
Deze lijst wordt voorlopig niet aangeboden als een online tool, maar als document.
De lokale besturen kunnen vragenlijst afstemmen op de leverancier. Ze kunnen die aanpassen naargelang het type verwerking, de grootte van de leverancier of om beter aan te sluiten bij andere normen die gelden voor de leverancier.
Vragenlijst per verwerking
Voor elke verwerking vult u een afzonderlijk formulier in. Dus niet een vragenlijst per leverancier.
- Twee verschillende vormen van outsourcing aan eenzelfde leverancier, zijn twee verschillende verwerkingen.
- Een leverancier die voor verschillende besturen eenzelfde verwerking uitvoert, kan éénmaal deze lijst invullen en voorleggen aan haar klanten. De besturen kunnen hiervoor samenwerken.
- Als een toepassing gebruikt wordt voor meerdere verwerkingen, dan kan de vragenlijst voorgelegd worden voor die toepassing omdat het hier over veiligheid gaat en de vragen dan gelijk zijn.
Moment om de vragenlijst voor te leggen
Nieuwe samenwerking
Bij de aanbesteding van een overheidsopdracht is het sterk aangeraden om na te gaan of de leverancier effectief kan voldoen aan de nodige vereisten (afhankelijk van de context). DPO en CISO staan dan de aankoopdienst bij.
Daarna kunnen de vastgelegde maatregelen best als deel van het contract / de verwerkersovereenkomst opgenomen worden, want dit zijn toch de maatregelen die de verwerker stelt te hebben en te blijven onderhouden.
Bestaande samenwerking
Is er al een samenwerking met een leverancier? Dan kan de vragenlijst nuttig zijn om na te gaan of de leverancier adequate maatregelen neemt. Als dit niet gebeurt, is dat een vorm van nalatigheid. De eindverantwoordelijkheid voor het niet voldoen aan de vereisten ligt bij de verwerkingsverantwoordelijke, namelijk het bestuur.
De vragenlijst kan u gebruiken ter verificatie, bijvoorbeeld op basis van het recht om te auditen dat in uw verwerkersovereenkomst moet zijn opgenomen volgens de AVG.
Als er al samenwerkingen zijn met verschillende leveranciers, maar er geen overzicht is over welke maatregelen elke leverancier neemt, is het wenselijk om die achterstand weg te werken. Dat gebeurt best risico-gebaseerd waarbij de meest gevoelige verwerkingen eerst gecontroleerd worden.
Afhankelijk van het kritische belang van de verwerking hernieuwt u periodiek de vragenlijst en zeker bij elke belangrijke wijziging.
Weigering
De verwerkingsverantwoordelijke moet een duidelijk zicht en de nodige zekerheid hebben dat de verwerkingen correct gebeuren. Als een leverancier weigert te antwoorden of onvolledig is, dan kan het bestuur niet stellen dat ze als verantwoordelijke de nodige zekerheid heeft.