Steeds meer bedrijven maken gebruik van leveranciers die een zogenaamde penetration test uitvoeren op de systemen van de opdrachtgever om te beoordelen hoe het staat met de beveiliging en weerbaarheid van deze systemen. Een leverancier die zich met penetration testing bezighoudt moet de juridische voorwaarden van deze dienst goed juridisch regelen in een pentestovereenkomst, ook wel een pentest waiver genoemd. Indien dat niet goed juridisch wordt geregeld, kan dit tot nadelige gevolgen leiden voor de leverancier. In deze blog worden de belangrijkste afspraken besproken die in een pentestovereenkomst moeten worden vastgelegd.
Toestemming van de opdrachtgever
Het opzettelijk binnendringen van een (computer) systeem is aan te merken als een strafbaar feit. Dit strafbare feit kan worden weggenomen op het moment dat de opdrachtgever de leverancier toestemming heeft gegeven om een penetration test uit te voeren. Vandaar dat deze toestemming dan ook in de pentestovereenkomst moet worden opgenomen. De toestemming moet naast het toestaan van het binnendringen in de systemen van de opdrachtgever ook toestemming bevatten voor het eventueel binnendringen in de systemen van derde partijen zoals de technisch beheerder en de hostingpartij. Deze partijen moeten uiteraard wel op de hoogte worden gebracht van de penetration test.
Vrijwaring voor de leverancier
Naast het verlenen van toestemming door de opdrachtgever moet een pentestovereenkomst ook een aantal vrijwaringen bevatten. Een vrijwaring houdt in dat de opdrachtgever de leverancier vrijwaart voor eventuele claims van derden naar aanleiding van de penetration test. Dit betekent dat de opdrachtgever de mogelijke vorderingen tot het vergoeden van schade zelfstandig moet afhandelen en dat de leverancier hier niet bij betrokken wordt. Het is aan te raden om wel bij de vrijwaring op te nemen dat deze niet van toepassing is op het moment dat de leverancier roekeloos of nalatig heeft gehandeld. Verder kunnen de claims en vorderingen worden gespecificeerd in de vrijwaring. Zo kunnen boetes van een toezichthouder naar aanleiding van de penetration test worden genoemd waarvoor een vrijwaring wordt afgegeven door de opdrachtgever.
De voorgaande besproken onderdelen van een pentestovereenkomst zijn de belangrijkste zaken om op te nemen. De naam pentest "waiver" zegt eigenlijk al genoeg. Het grootste risico voor een leverancier zijn de claims van derde partijen naar aanleiding van de penetration test. Dit kunnen leveranciers zijn van de opdrachtgever alsmede autoriteiten zoals een toezichthouder. Vanwege dit risico moet de pentestovereenkomst duidelijke vrijwaringen voor de leverancier bevatten en moet er alle onderdelen van de penetration test worden afgedekt met de toestemming van de opdrachtgever.
Reactie plaatsen
Reacties