Waarom een verwerkersovereenkomst doorvertaald moet worden naar je webserver
Een verwerkersovereenkomst blijft vaak hangen op juridisch niveau, terwijl de echte risico’s zich op je webserver bevinden. In de overeenkomst beloof je passende technische en organisatorische maatregelen te nemen, maar de Autoriteit Persoonsgegevens kijkt uiteindelijk naar wat er feitelijk op je hostingomgeving is ingericht. Het is daarom essentieel om elke afspraak uit de verwerkersovereenkomst te vertalen naar concrete instellingen, tools en procedures op je webserver.
Technische maatregelen koppelen aan concrete serverinstellingen
De meeste verwerkersovereenkomsten bevatten vergelijkbare formuleringen over beveiliging, logging, encryptie en toegangsbeheer. Deze kun je direct koppelen aan instelbare opties op je server. Denk aan het afdwingen van HTTPS, het beperken van inlogpogingen, het scheiden van test- en productieomgevingen en het goed inrichten van back-ups. In een eerdere blog over het technisch inrichten van hosting voor een verwerkersovereenkomst is al beschreven welke basiscomponenten je minimaal geregeld moet hebben. Nu gaan we een stap verder richting praktische implementatie.
Toegangsbeheer en logging op je webserver correct inrichten
Toegangsbeheer en logging zijn vrijwel altijd verplicht in een verwerkersovereenkomst. Deze onderdelen bepalen wie toegang heeft tot persoonsgegevens en hoe je achteraf kunt reconstrueren wat er is gebeurd. Zonder goede logging kun je een datalek vaak niet volledig analyseren, wat directe gevolgen heeft voor je meldplicht onder de AVG.
Beperk servertoegang en geef alleen noodzakelijke rechten
Zorg dat alleen geautoriseerde medewerkers toegang hebben tot je server en dat zij uitsluitend de rechten krijgen die nodig zijn voor hun werkzaamheden. Gebruik individuele accounts in plaats van gedeelde logins en schakel waar mogelijk authenticatie op basis van SSH-sleutels in plaats van wachtwoorden in. Combineer dit met sterke wachtwoordbeleid en waar mogelijk multifactor-authenticatie. Voor beheeraccounts binnen WordPress of andere applicaties gelden dezelfde principes, zodat je de afspraken uit de verwerkersovereenkomst ook op applicatieniveau naleeft.
Logging instellen zodat je kunt voldoen aan de meldplicht datalekken
Richt logging zo in dat je in ieder geval mislukte en geslaagde inlogpogingen, foutmeldingen en belangrijke systeemwijzigingen vastlegt. Logbestanden moeten voldoende lang bewaard blijven om incidenten te kunnen onderzoeken, maar niet langer dan nodig is volgens de AVG. In een aparte blog over het analyseren van webserverlogbestanden legt PC Patrol uit hoe je verdachte patronen sneller herkent en zo de kans op een datalek verkleint.
Encryptie, back-ups en datalokatie technisch borgen
Veel verwerkersovereenkomsten eisen encryptie van data in transit en soms ook van data in rust, plus duidelijke afspraken over back-ups en waar data fysiek wordt opgeslagen. Op serverniveau kun je deze eisen vrij concreet afdwingen, mits je hostingomgeving daar goed voor is ingericht.
HTTPS, versleutelde back-ups en Europese datacenters kiezen
Begin met het forceren van HTTPS op je webserver via een correct geconfigureerd TLS certificaat en moderne protocollen. Zorg dat back-ups geautomatiseerd worden aangemaakt, versleuteld zijn en opgeslagen worden op een locatie die past binnen de afspraken in je verwerkersovereenkomst, bijvoorbeeld uitsluitend in Europese datacenters. Wanneer je gebruikmaakt van managed oplossingen, zoals de diensten van PC Patrol voor managed webhosting, kun je veel van deze eisen als standaard onderdeel van het platform laten inregelen. Leg vervolgens in je documentatie vast welke technische maatregelen er draaien, zodat je bij audits precies kunt aantonen hoe de verwerkersovereenkomst is geïmplementeerd.