Uw dienstverlener wordt getroffen. Wat nu?

Author info
Cybersec 1Cybersec 2Cybersec 3Cybersec 4
Help! Mijn organisatie is gehacktUw dienstverlener wordt getroffen. Wat nu?Wat zijn mijn juridische verplichtingen?Hoe kunnen wij helpen uw cybersecurity te verbeteren?

Vandaag de dag is in het dagelijks leven sterk afhankelijk van (digitale) dienstverleners. Bedrijven schakelen dienstverleners in om hen te ondersteunen bij het leveren van goederen en diensten aan hun klanten. Clouddiensten zoals Software as a Service (SaaS), Infrastructure as a Service (IaaS) en Platforms as a Service (PaaS) zijn voor organisaties vaak onontbeerlijk geworden bij het zakendoen. 

Als een van uw dienstverleners, waarvan u sterk afhankelijk bent, een storing ervaart, zullen de gevolgen daarvan onvermijdelijk binnen uw organisatie voelbaar zijn, waardoor het aangewezen is om snel, doortastend en correct op te treden. 

Om bij noodgevallen direct een voorsprong te nemen, zijn de volgende elementen in zulke reactie onontbeerlijk. 

A. Interne procedures

Wanneer uw organisatie wordt geconfronteerd met downtime van een dienst waarvan zij afhankelijk is, moet de eerste reactie het raadplegen van de interne procedures zijndie voor dergelijke situaties gelden.

Concreet moeten de volgende procedures worden ingevoerd en nageleefd:

1. Een interne escalatieprocedure

Wanneer zich een storing voordoet, moet er een procedure zijn om de ernst van een dergelijke storing en de risico's die dit met zich meebrengt te bepalen. Het moet duidelijk zijn met wie contact moet worden opgenomen binnen de organisatie en welke stappen, zoals het minimaliseren van de risico's en het beperken van de gevolgen, moeten worden ondernomen.

2. Een bedrijfscontinuïteitsplan 

Uw organisatie moet over een procedure beschikken om bedreigingen voor de bedrijfscontinuïteit te voorkomen wanneer er zich een storing voordoet en om de continuïteit te waarborgen door te bepalen hoe de organisatie operationeel kan blijven, hoe zij zich kan herstellen en welke maatregelen moeten worden genomen om de schade tot een minimum te beperken.  

3. Een noodherstelplan 

Een specifiek onderdeel van het bedrijfscontinuïteitsplan is het noodherstelplan, dat gericht is op het herstel van de IT-systemen van de organisatie binnen de kortst mogelijke termijnen. In het plan kan worden aangegeven hoeveel gegevens de organisatie maximaal mag verliezen om de normale werking te kunnen hervatten en hoe lang de storing maximaal mag duren waarna de IT-systemen moeten worden hersteld om onomkeerbare gevolgen te voorkomen. 

B. Controleer uw SLA's

Een tweede actiepunt in geval van een storing is het controleren van de Service Level Agreements (SLA) tussen u en uw serviceprovider. In deze SLA's wordt meestal een uptime-percentage vermeld, een percentage van de totale tijd (binnen een bepaald tijdsbestek) waarin de serviceprovider garandeert dat zijn diensten voor u beschikbaar zullen zijn.

In geval van fouten en/of downtime die de foutmarge overschrijden die de dienstverlener in de SLA heeft voorzien, kan de SLA u service credits of andere compensatie toekennen in overeenstemming met de hoeveelheid geleden storing. 

In uw SLA staat doorgaans ook welke ondersteuning uw serviceprovider biedt in geval van incidenten en bevat waardevolle informatie over wie u kunt contacteren, hoe u hen kunt contacteren en binnen welke termijn u een antwoord en een oplossing van het incident kunt verwachten. Het is aangeraden dat u een zicht hebt op de termijnen die uw serviceprovider moet respecteren om u op de hoogte te stellen van incidenten of problemen die hij constateert. 

Aangezien de levering van diensten aan uw klanten ernstig kan worden belemmerd wanneer er een storing optreedt bij uw dienstverlener, en klanten een schadevergoeding van u kunnen eisen, is het van groot belang dat u uw rechten kent met betrekking tot uw dienstverlener.  

C. Controleer uw contracten en voorwaarden met klanten

Bovendien, en gerelateerd aan de verstoring van uw eigen diensten, moet u een overzicht hebben van uw verplichtingen tegenover klanten. Wanneer zich een storing voordoet, zal het van essentieel belang blijken om in één oogopslag te kunnen bepalen welke van uw diensten door de storing zullen worden beïnvloed en welke verplichtingen, zoals dienstenniveaus, ten aanzien van specifieke klanten, dreigen niet te worden nagekomen. Zodra dit is vastgesteld, kunnen de betrokken klanten worden geïnformeerd. 

Een andere waardevolle actie die u kunt ondernemen, is het proactief herzien van de aansprakelijkheidsclausules in de contracten en voorwaarden die u gebruikt. Voor zover de wet het toelaat, kan de aansprakelijkheid voor het niet nakomen van contractuele verplichtingen, die het gevolg zijn van een storing van een dienst die u door een derde partij wordt verleend, worden beperkt of uitgesloten. 

Indien u hulp nodig heeft bij de uitvoering van de bovenstaande maatregelen, kunt u contact met ons opnemen.

Hebt u onmiddellijk hulp nodig? Bel onze hotline voor cyberbeveiliging.

Gerelateerd

Dit artikel is deel 2 van onze cybersecurity series:

  1. Help! Mijn organisatie is gehackt.
  2. Mijn dienstverlener is getroffen. Wat nu?
  3. Wat zijn mijn juridische verplichtingen?
  4. Hoe kunnen wij helpen uw cybersecurity te verbeteren?