SaaS compliance: AVG, NIS2 en certificeringen

Compliance voor SaaS-bedrijven is geen checkbox-oefening. De regels zijn concreet, de handhaving neemt toe en je klanten stellen er vragen over. AVG is al jaren van kracht, NIS2 is per oktober 2024 via de Cyberbeveiligingswet in Nederland geïmplementeerd en ISO 27001 is de meest gebruikte standaard om aantoonbaar aan beide te voldoen. Hier is wat je moet weten en wat het betekent voor je hostingkeuze.

AVG: wat er voor SaaS-providers geldt

De Algemene Verordening Gegevensbescherming (AVG) is van toepassing als je persoonsgegevens verwerkt van EU-burgers. Voor SaaS-bedrijven is de positie bijna altijd die van verwerker: je verwerkt gegevens in opdracht van je klanten, die de verwerkingsverantwoordelijke zijn.

Dat brengt concrete verplichtingen mee:

• Verwerkersovereenkomst: je moet een DPA (Data Processing Agreement) afsluiten met elke klant voordat je hun persoonsgegevens verwerkt
• Technische en organisatorische maatregelen: je moet aantoonbaar passende beveiliging hebben. Wat "passend" is hangt af van het risicoprofiel van de data
• Sub-verwerkers: als je hosting, databases of andere diensten bij derde partijen afneemt, moeten die ook aan de AVG voldoen. Je bent als verwerker verantwoordelijk voor je sub-verwerkers
• Melding datalekken: datalekken moeten binnen 72 uur bij de AP (Autoriteit Persoonsgegevens) gemeld worden, als je verwerkingsverantwoordelijke bent. Als verwerker moet je dit melden aan je klant, die het dan meldt

Hosting buiten de EU brengt extra verplichtingen mee. Dataoverdrachten naar derde landen (zoals de VS) zijn alleen toegestaan onder specifieke grondslagen: adequaatheidsbesluit, Standard Contractual Clauses of Binding Corporate Rules. De Cloud Act maakt dat voor US-bedrijven complex, ongeacht welke SCC's je tekent.

NIS2: wat nieuw is per 2024

De NIS2-richtlijn, in Nederland omgezet via de Cyberbeveiligingswet, stelt aanvullende eisen aan cybersecurity voor organisaties in sectoren die als kritiek of belangrijk worden beschouwd. Digitale infrastructuuraanbieders, managed serviceproviders en cloud computing-diensten vallen expliciet onder de scope.

De kernverplichtingen:

• Risicobeheer: je moet cyberrisico's systematisch identificeren, beoordelen en beheersen. Geen harde normen, maar aantoonbaarheid is vereist
• Incidentmelding: significante incidenten moeten binnen 24 uur gemeld worden aan het NCSC, met een volledig rapport binnen 72 uur
• Beveiliging van de toeleveringsketen: je moet de beveiligingspraktijken van je leveranciers kennen en beoordelen
• Bestuurlijke aansprakelijkheid: bestuurders kunnen persoonlijk aansprakelijk gesteld worden bij onvoldoende naleving

NIS2 verplicht geen specifieke certificering, maar de toezichthouder kijkt naar aantoonbaarheid. ISO 27001 is daarvoor de meest gebruikte onderbouwing.

ISO 27001: het fundament onder je compliance

ISO 27001 is een internationale standaard voor informatiebeveiliging. Certificering bewijst dat je een Information Security Management System (ISMS) hebt ingericht dat voldoet aan de vereisten van de norm. Voor NIS2-aantoonbaarheid is dit het meest directe instrument.

Wat ISO 27001 vereist:

• Risicoanalyse en risicobehandeling (gedocumenteerd)
• Statement of Applicability (welke beheersmaatregelen je toepast en waarom)
• Interne audits en management reviews
• Incident management proces
• Business continuity planning
• Jaarlijkse externe audit door een geaccrediteerde certificeringsinstelling

Certificering kost tijd, geld en organisatorische aandacht. Voor kleine SaaS-bedrijven is het niet altijd direct nodig. Wat wel altijd nodig is: gedocumenteerde maatregelen en een aantoonbare aanpak. Dat is het minimum waarmee je serieuze enterprise-klanten overtuigt en een toezichthouder tevreden stelt.

Andere relevante certificeringen

Naast ISO 27001 zijn er sectorspecifieke en aanvullende kaders die voor SaaS-bedrijven relevant kunnen zijn:

SOC 2 Type II: Amerikaans kader maar gangbaar bij internationale enterprise-klanten. Richt zich op security, availability, processing integrity, confidentiality en privacy. Geen certificering maar een auditrapport.

NEN 7510: Nederlandse norm voor informatiebeveiliging in de zorg. Verplicht als je gezondheidsdata verwerkt. Gebaseerd op ISO 27001 maar met zorg-specifieke uitbreidingen.

ISAE 3402 / SOC 1: relevant als je financiële verwerking doet voor klanten. Gericht op interne beheersing rond financiële rapportage.

CSA STAR: cloudspecifiek framework van de Cloud Security Alliance. Laagdrempeliger dan ISO 27001 maar minder gewicht in enterprise-deals.

Wat hosting hierin bepaalt

Je hostingprovider is een sub-verwerker. Kies je voor een Nederlandse provider met ISO 27001-certificering, dan is dat onderdeel van je compliance-aantoonbaarheid direct ingevuld. Je kunt hun certificaat opnemen in je eigen leveranciersdocumentatie en klanten verwijzen naar hun auditrapportages.

Kies je voor een hyperscaler buiten de EU, dan moet je aanvullend onderbouwen waarom deze overdracht toegestaan is (SCC's), hoe je de Cloud Act-risico's mitigeert en hoe je monitoring uitvoert over data die je zelf niet volledig controleert. Dat is niet onmogelijk, maar het voegt lagen toe aan je compliance-dossier die vermijdbaar zijn.

Praktisch beginnen

Het meest effectieve vertrekpunt is niet een certificeringstraject maar een risicoanalyse. Welke data verwerk je, voor wie, met welk risico bij een lek of uitval? Die analyse geeft richting aan welke maatregelen urgent zijn en welke later kunnen. Daarna volgt documentatie, training en tooling. Certificering is de formalisering van wat je al doet, geen startpunt.