Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Dataleverancier

Rollen

Een dataleverancier levert gegevens van slachtoffers aan fraudeurs. Deze gegevens kunnen verkregen zijn uit bestaande en nieuwe datalekken of de dataleverancier steelt zelf gegevens. De gegevens worden voornamelijk verhandeld via het Darkweb en via (veelal besloten) sociale media groepen binnen Facebook en Telegram.

Een dataleverancier is een organisatie of dienstverlener die data verzamelt, verwerkt, beheert of beschikbaar stelt aan andere partijen. In de cybersecurity speelt de dataleverancier een cruciale rol omdat de veiligheid van data niet ophoudt bij de grenzen van je eigen organisatie. Zodra je data deelt met of ontvangt van een externe partij, ontstaat een gedeelde verantwoordelijkheid voor de bescherming van die gegevens. Dit maakt het beoordelen en beheren van dataleveranciers een essentieel onderdeel van je informatiebeveiligingsbeleid.

Dataleveranciers komen in vele vormen voor. Denk aan cloudproviders die je infrastructuur hosten, SaaS-aanbieders die je bedrijfsapplicaties leveren, marktonderzoekbureaus die klantdata aanleveren, of IT-dienstverleners die je systemen beheren. Elk type dataleverancier brengt specifieke beveiligingsrisico's met zich mee. Volgens onderzoek van het Digital Trust Center voelt 44% van de IT-dienstverleners en 43% van de afnemers zich medeverantwoordelijk voor cybersecurity, maar heeft slechts 15% concrete afspraken vastgelegd over de aanpak van incidenten. Dit gat tussen intentie en praktijk vormt een significant risico.

Wat doet een dataleverancier?

De taken van een dataleverancier varieren sterk afhankelijk van de aard van de dienstverlening. Een dataleverancier kan data verzamelen uit publieke of commerciele bronnen en deze gestructureerd aanbieden aan afnemers. Hij kan data verwerken, verrijken of analyseren in opdracht van een afnemer voor specifieke doeleinden. Hij kan data opslaan en beheren in eigen infrastructuur met de bijbehorende beveiligingsverantwoordelijkheden. Of hij kan data doorgeven aan derde partijen in een keten van dataverwerking, waarbij elke schakel zijn eigen risico's introduceert.

Vanuit cybersecurity-perspectief heeft een dataleverancier de verantwoordelijkheid om de vertrouwelijkheid, integriteit en beschikbaarheid van de data te waarborgen. Dit omvat het implementeren van technische maatregelen zoals encryptie, toegangscontrole en logging, maar ook organisatorische maatregelen zoals beveiligingsbeleid, personeelsscreening en incident response-procedures. De Nederlandse wetgeving, met name de AVG, legt specifieke verplichtingen op aan partijen die persoonsgegevens verwerken in opdracht van anderen, de zogenaamde verwerkers.

Een belangrijk aspect is de zorgplicht die dataleveranciers hebben richting hun afnemers. Volgens Nederlandse jurisprudentie wordt van IT-leveranciers verwacht dat zij hun klanten expliciet en herhaaldelijk waarschuwen voor beveiligingsrisico's. Hoe groter de rol van de leverancier bij de implementatie en het beheer van systemen, hoe zwaarder de zorgplicht weegt. Een dataleverancier die een kwetsbaarheid ontdekt maar dit niet meldt aan zijn afnemers, kan aansprakelijk worden gesteld voor de gevolgen van een eventueel incident.

Wanneer heb je een dataleverancier nodig?

Vrijwel elke organisatie werkt met dataleveranciers, vaak zonder dit bewust te realiseren. Als je gebruikmaakt van een cloudgebaseerd CRM-systeem, is de aanbieder daarvan een dataleverancier. Als je een externe partij inschakelt voor salarisadministratie, verwerk je persoonsgegevens via een dataleverancier. Als je marktdata inkoopt voor je business intelligence, ontvang je data van een dataleverancier. Zelfs je e-mailprovider en je websitehost zijn technisch gezien dataleveranciers met toegang tot gevoelige informatie.

De vraag is niet of je een dataleverancier nodig hebt, maar hoe je de relatie met dataleveranciers beheert vanuit beveiligingsperspectief. Dit is extra relevant onder de NIS2-richtlijn, die organisaties verplicht om de cybersecurity van hun toeleveringsketen te beoordelen en te beheren. Supply chain security wordt steeds belangrijker nu aanvallers zich richten op de zwakste schakel in de keten. Een gecompromitteerde dataleverancier kan de poort openen naar tientallen of honderden afnemers, zoals de SolarWinds-aanval in 2020 pijnlijk duidelijk maakte.

Bij het selecteren van een dataleverancier beoordeel je minimaal de volgende aspecten: beschikt de leverancier over relevante certificeringen zoals ISO 27001 of SOC 2? Hoe is de fysieke en logische toegangscontrole geregeld? Wat zijn de afspraken over datalocatie en -verwerking? Is er een verwerkersovereenkomst die voldoet aan de AVG-vereisten? En wat zijn de procedures bij een beveiligingsincident? Het is verstandig om deze beoordeling jaarlijks te herhalen, omdat de beveiligingssituatie van leveranciers kan veranderen.

Wat kost een dataleverancier?

De kosten van een dataleverancier hangen af van het type dienstverlening, het volume aan data en de vereiste beveiligingsniveaus. Cloudopslagdiensten beginnen bij enkele euro's per maand voor basisfunctionaliteit, terwijl enterprise-oplossingen met geavanceerde beveiliging, compliance-certificeringen en dedicated support tienduizenden euro's per jaar kosten. Het verschil zit niet alleen in opslagcapaciteit maar ook in beveiligingsgaranties, uptime-SLA's en ondersteuning bij incidenten.

De werkelijke kosten zitten echter niet alleen in het abonnement. Organisaties moeten investeren in het beoordelen van leveranciers (vendor risk assessments), het opstellen en onderhouden van verwerkersovereenkomsten, het monitoren van de beveiligingshouding van leveranciers en het regelmatig auditen van de naleving. Voor een middelgrote organisatie met 10-20 dataleveranciers kan dit al snel 1-2 FTE aan beheerlast vertegenwoordigen. Geautomatiseerde vendor risk management platforms kunnen deze last verlichten door continu de beveiligingsstatus van leveranciers te monitoren.

Het niet investeren in leveranciersbeheer kan echter veel duurder uitvallen. Een datalek bij een dataleverancier treft ook jouw organisatie en jouw klanten. De AVG-boetes voor onvoldoende leveranciersbeheer kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Vergelijk dit met de kosten van een goed vendor management programma en de keuze is snel gemaakt. Het is niet de vraag of een leverancier ooit een incident zal hebben, maar wanneer en hoe goed je erop voorbereid bent.

Bij het beheren van dataleveranciers is het verstandig om een risicogebaseerde indeling te hanteren. Classificeer leveranciers in categorien op basis van het type data dat zij verwerken en de mate van toegang tot je systemen. Kritieke leveranciers met toegang tot gevoelige persoonsgegevens of bedrijfskritieke systemen vereisen jaarlijkse audits en strikte contractuele waarborgen. Leveranciers met beperkte toegang tot niet-gevoelige data kunnen volstaan met een periodieke self-assessment vragenlijst. Deze risicogebaseerde aanpak zorgt ervoor dat je beheercapaciteit wordt ingezet waar het risico het grootst is.

Veelgestelde vragen over dataleveranciers

Wat is het verschil tussen een verwerker en een dataleverancier?

Een verwerker in de zin van de AVG verwerkt persoonsgegevens in opdracht van een verwerkingsverantwoordelijke. Een dataleverancier is een bredere term die elke partij omvat die data levert, verwerkt of beheert. Een dataleverancier kan ook een verwerker zijn, maar niet elke dataleverancier verwerkt persoonsgegevens.

Moet ik een verwerkersovereenkomst afsluiten met elke dataleverancier?

Als de dataleverancier persoonsgegevens verwerkt in jouw opdracht, ben je volgens de AVG verplicht een verwerkersovereenkomst af te sluiten. Deze overeenkomst regelt de verplichtingen van de verwerker, waaronder beveiligingsmaatregelen, meldplichten en subverwerkers.

Hoe beoordeel je de beveiliging van een dataleverancier?

Voer een vendor risk assessment uit. Beoordeel certificeringen (ISO 27001, SOC 2), vraag naar penetratietestresultaten, controleer de verwerkersovereenkomst, en evalueer de incident response-procedures. Bij kritieke leveranciers overweeg je een onafhankelijke audit.

Wat als een dataleverancier gehackt wordt?

Als bij een dataleverancier een datalek optreedt dat jouw data raakt, ben je als verwerkingsverantwoordelijke verplicht dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Zorg daarom dat je leverancier contractueel verplicht is om incidenten direct aan jou te melden.

Valt een dataleverancier onder NIS2?

Dat hangt af van de sector en omvang. ICT-dienstverleners, cloudproviders en managed service providers vallen onder NIS2 als belangrijke entiteiten. Dit betekent dat zij verplicht zijn om passende beveiligingsmaatregelen te treffen en ernstige incidenten te melden aan de bevoegde autoriteiten.

Zoek een betrouwbare dataleverancier via Managed Security Services op IBgidsNL.