We besteden steeds meer uit aan (gespecialiseerde) dienstverleners, zetten data in de cloud en creëren een ecosysteem dat letterlijk de hele wereld omspant. Maar wie is juridisch verantwoordelijk voor de veiligheid van je data?

Digitale beveiliging is een van de meest belangrijke strategische noodzakelijkheden voor ondernemingen en dat zorgt voor toenemende zorgen over hoe ingehuurde IT-dienstenleveranciers je zakelijke data beschermen. Daardoor neemt de beveiliging en dataprivacy een steeds grotere rol in de onderhandelingen over uitbestedingscontracten, zegt Rebecca Eisner van juridisch adviesbureau Mayer Brown.

"Dienstverleners zijn begrijpelijk bezorgd over het al dan niet betalen van schadeclaims die disproportioneel zijn ten opzichte van de omzet die met die uitbestedingen gemoeid gaat. Ze zoeken daarom naar het inperken van hun aansprakelijkheid", zegt Eisner. "Klanten zijn in gelijke mate bezorgd, vooral als de dienstverleners niet dezelfde prikkels hebben om klantendata te beschermen, en omdat de negatieve gevolgen van een incident vaak veel meer impact hebben op de de opdrachtgever dan op de dienstverlener." Daarnaast wordt regelgeving steeds strenger waardoor het moeilijker wordt voor beide partijen om de risico's goed te kunnen behappen.

De IT-omgeving wordt meer en meer complex en ook nog eens geografisch versnipperd, wat eveneens de zaak compliceert. In de tijd dat bedrijfsdata stond in één centrale datacenter, of hoogstens een paar, was het een stuk makkelijker voor bedrijven of dienstverleners om de toegang ertoe te beveiligen met, bijvoorbeeld, firewalls, fysieke beveiliging en gecontroleerde logische toegang. Tegenwoordig is data om te beginnen al versplinterd over verschillende datacenters, clouds en mobiele apparaten. "De toegangspunten en de mogelijkheden tot beveiligingsfouten nemen enorm toe met dat zich uitdijende ecosysteem", zegt Eisner. "Daarnaast worden veel van die systemen geleverd of/en beheerd door externe leveranciers of dienstverleners."

Daarom moeten CIO''s goed nadenken over hun risicomanagement bij het selecteren, contracteren en monitoren van hun dienstenleveranciers. Er zijn zes stappen die IT-leiders kunnen nemen om hun dataprivacy en -beveiliging te versterken in de relatie met hun dienstverlener, zegt Eisner.