Een directeur tekent een contract met een SaaS-leverancier. De prijs is goed, het pakket past, de demo zag er strak uit. Het contract is 14 pagina’s, de DPA (verwerkersovereenkomst — de afspraak over hoe ze met jouw klantgegevens omgaan) nog eens 8 — je leest de samenvatting van je jurist, je tekent. Klaar.
Twee jaar later belt diezelfde leverancier op een dinsdagochtend. Ze zijn gehackt. Klantdata van hun hele klantenbestand staat op het dark web — ook die van jou. Wat je vooral hoort in die call is wat zíj allemaal gaan doen. En tussen de regels door: dat hun excuus klaarstaat richting jouw klanten.
Behalve dat dat excuus niet bij jouw klanten landt. Want jouw klanten bellen jou.
Wat je niet kunt uitbesteden
In een verwerkersovereenkomst staat keurig dat de leverancier verantwoordelijk is voor passende beveiligingsmaatregelen. Dat klopt. Wat er níet in staat: dat jouw aansprakelijkheid daarmee verschuift.
Onder een gewone B2B-overeenkomst ben jij contractueel aansprakelijk voor wat je aan jouw klanten levert — inclusief de keten daarachter. Onder NIS2 (en steeds vaker via de eisen van je grotere klanten) ben jij medeverantwoordelijk voor die keten. En voor zover je persoonsgegevens verwerkt: ook daar blijft de AVG-rol (de privacywet, vroeger nog wel “WBP” genoemd) bij jou.
Een SLA (afspraak over wat een leverancier minimaal levert, en wat er gebeurt als dat niet lukt) dekt je af tegen leveringsproblemen. Een DPA regelt taakverdeling rond persoonsgegevens. Geen van beide neemt aansprakelijkheid van je over.
Wat je uitbesteedt is werk. Niet je rol.
“Maar ik kies een gerenommeerde partij”
Dat zeggen veel directeuren. En dat is begrijpelijk — je hebt niet de tijd om elke leverancier zelf te onderzoeken.
Maar wat is “gerenommeerd”? In de praktijk vaak: ze hebben een mooi pand, een goeie website, en je kent een paar bedrijven die ze ook gebruiken.
Dat is geen leveranciersbeoordeling. Dat is marketing-bevestiging.
Een gerenommeerde partij is iemand die zijn zaakjes op orde heeft, en zich daarin laat toetsen. Een ISO-27001 of NEN-7510 certificaat. Een SOC 2-rapport. Een onafhankelijke pentest waarvan je de samenvatting mag zien. Iets waarvan jij — als jouw klant er morgen naar vraagt — kunt zeggen: dit is wat we hebben gecontroleerd, en hier is het bewijs.
Geen geloof. Bewijs.
Wat dit voor jou betekent
Je leveranciers auditen hoef je niet zelf. Navraag doen wel — en bewaren wat je terugkrijgt.
Stel drie vragen voordat je tekent:
- Welk extern bewijs heb je dat je beveiliging op orde is? Niet “we doen ons best”. Een certificaat, een rapport, een toets met een datum.
- Wat staat er in jullie verwerkersovereenkomst over incidentmelding? Hoe snel hoor ik het, en in welke vorm?
- Wat doe ik als jullie morgen platgaan? Niet hun continuïteitsplan — mijn afhankelijkheid van jullie.
Krijg je op die drie geen helder antwoord — niet “we werken eraan”, maar dit is het — dan weet je waar je staat. Dat hoeft geen reden te zijn om niet te tekenen. Het is wel een reden om te weten dat je risico zélf draagt, zonder achtervang.
Niet uitbesteden, navraag doen
Aansprakelijkheid kun je niet uitbesteden. Wat je wel kunt: je werk uitbesteden aan iemand die zich ergens aan laat toetsen — en dat bewijs ophalen.
Een directeur die tekent zonder dat te vragen, kiest blind. Een directeur die het bewijs ophaalt en bewaart, kiest bewust.
Want als jouw klant straks belt met dezelfde vraag — wat hebben jullie gedaan om dit te voorkomen? — heb je iets om uit te leggen.
Een lege handtekening voldoet daar niet meer aan.