De nieuwe AVG-regelgeving legt strikte eisen op aan ondernemingen. Zo moeten ze bijvoorbeeld toezien op een adequate bescherming van de persoonsgegevens. Een pentest of een penetration test helpt daaraan bij te dragen, op voorwaarde dat de vastgestelde zwakke plekken of gaten nadien ook worden aangepast. Vooraleer zo’n pentest kan worden uitgevoerd, moet er echter eerst een omvangrijke papierwinkel in orde worden gemaakt. Wij leggen uit wat je daarvoor nodig hebt.
Toestemmingsverklaring bij het uitvoeren van een pentest
Tijdens een pentest zal een professionele hacker trachten de systemen binnen te dringen en zo zwakheden in het systeem te vinden. In principe gaat het om een strafbaar feit en dus is een toestemmingsverklaring of pentest waiver noodzakelijk. Hiermee geeft de opdrachtgever aan dat de hacker niets tegen de wil van het bedrijf doet en dus niet strafbaar kan worden gesteld. Zo’n pentest waiver is zowel voor de opdrachtgever als de uitvoerder belangrijk.
Voor de uitvoerder is die straffeloosheid natuurlijk een cruciaal aspect van de overeenkomst, maar daarnaast zal hij ook willen voorkomen dat hij aansprakelijk wordt gesteld voor eventuele nevenschade. Wanneer de uitvoerder tijdens de pentest iets stukmaakt, wil hij niet voor die schade opdraaien. Vrijwaringsclausules zijn dan ook geen ongewone aanwezige in een pentest waiver.
Als opdrachtgever wil je zo’n schade dan weer beperken, waardoor goede afspraken zich opdringen. In de toestemmingsverklaring neem je dan ook steeds duidelijk op tot waar de toestemming strekt en leg je ook andere verplichtingen of beperkingen op. Om achteraf discussies te voorkomen is het heel belangrijk dat de toestemmingsverklaring grondig wordt opgesteld en dat het ook aandacht heeft voor een rapportageverplichting en een geheimhoudingsverplichting. De vrijwaring mag bovendien niet verder gaan dan vereist is.
Verwerkersovereenkomst voor een pentest
Bij het uitvoeren van een pentest kan de hacker ook toegang krijgen tot persoonsgegevens van je klanten. Hoewel de hacker over een toestemmingsverklaring van de opdrachtgever beschikt, heeft de hacker helemaal niet de toestemming van de betrokkenen om die persoonsgegevens te verwerken. Van elke betrokkene een toestemming (en aldus een geldige grondslag) verkrijgen, is vaak een onbegonnen werk. Net daarom moet er een verwerkersovereenkomst worden opgesteld, zoals ook de Saksische Data Protection Authority recent aangaf.
Via zo’n verwerkersovereenkomst komt de verantwoordelijkheid eigenlijk bij de opdrachtgever te liggen. De uitvoerder van de pentest moet enkel rekening houden met de bepalingen van de verwerkersovereenkomst, die aangeven wat hij al dan niet mag doen. Over het algemeen volstaat het dat de verwerkersovereenkomst de hacker toestemming geeft om persoonsgegevens te downloaden, maar daarnaast de verplichting oplegt om ze nadien ook te vernietigen of terug te geven.
Opdrachtgever moet over geldige toestemming beschikken
De verwerkersovereenkomst schuift alle verplichtingen met andere woorden af op de opdrachtgever en onlogisch is dat zeker niet. Voor de opdrachtgever is het dan ook belangrijk om zelf over een geldige grondslag te beschikken en de betrokkenen grondig te informeren, zeker wanneer het over gevoelige persoonsgegevens gaat. Ook het privacy statement en een aantal andere privacydocumenten moeten eventueel worden herzien.
Documenten voor een pentest laten opstellen door MKB Juristen
Bij een pentest komt er juridisch veel kijken. Een standaard verwerkersovereenkomst zal bijvoorbeeld niet volstaan, terwijl het eigen AVG-pakket eveneens onder de loep moet worden genomen. Daarnaast is een goede pentest waiver een must om naderhand discussies te voorkomen.
Laat de juridische documenten voor een pentest daarom opstellen door MKB Juristen. Tijdens een gratis intakegesprek leggen we jou het een en ander uit, waarna wij de documenten voor jou opstellen. Contacteer MKB Juristen vandaag nog.
