PRIVACY: Dossier verwerkersovereenkomst II
Ben ik in controle bij mijn leverancier?
“Ik heb een getekende verwerkersovereenkomst met mijn leverancier. Maar ben ik nu ook echt in controle?”
Het antwoord is kort en krachtig. Nee!.
Na de introductie van de AVG zijn veel organisaties per direct gestart met het afsluiten van verwerkersovereenkomsten. Een groot aantal van deze overeenkomsten zijn onder een immense tijdsdruk met elkaar aangegaan. Met alle gevolgen van dien. Want voldoen deze afspraken wel aan de juiste rechten en plichten vanuit de AVG? En sluiten deze overeenkomsten aan op uw eigen privacy beleid en/of richtlijnen? Ook hier is het antwoord vaak nee.
‘Due Diligence’ onderzoek
Wij adviseren onze klanten, om vooraf aan een samenwerking met een leverancier, onder andere een ‘Due Diligence’ (letterlijk vertaalt ‘met gepaste zorgvuldigheid’) onderzoek uit te voeren. Door het uitvoeren en documenteren van dit onderzoek kunt u vaststellen of deze leverancier in lijn acteert met uw privacy beleid en/of richtlijnen.
Het ‘Due Diligence’ onderzoek kan worden opgesplitst in drie stappen:
1) Start met “deskresearch”, ga bijvoorbeeld na of er berichten over datalekken, boetes of berispingen van een toezichthoudende autoriteit te vinden zijn over de leverancier;
2) Onderzoek hoe privacy organisatorisch bij de leverancier is ingericht, controleer bijvoorbeeld met behulp van een vragenlijst hoe de verantwoordelijkheden binnen de organisatie zijn belegd en hoe hierop wordt geacteerd;
3) Beoordeel of de leverancier voor u de juiste informatiebeveiligingsmaatregelen heeft geïmplementeerd. Stel bijvoorbeeld vast of er een Information Security Management System (ISMS) aanwezig is. Mocht de leverancier gecertificeerd (ISO2700x, NEN7510 of anderen) zijn let dan goed op de scope. De scope hoeft namelijk niet gelijk te zijn aan uw eisen en wensen.
Als de leverancier volgens uw standaard op deze punten positief scoort, is de volgende stap dat er afspraken kunnen worden vastgelegd in een contract, aangevuld met een verwerkersovereenkomst.
Wat moet u minimaal vastleggen in de verwerkersovereenkomst?
In de AVG zijn duidelijke eisen opgenomen die minimaal in deze overeenkomst terug moeten komen. Hieronder volgen een aantal van de belangrijkste verplichtingen die de meeste impact hebben.
In de overeenkomst moet worden opgenomen dat:
1) De verwerking die de leverancier namens uw organisatie doet, alleen mag worden gedaan volgens uw schriftelijke instructies;
2) De leverancier borg staat voor de juiste organisatorische en technische bescherming van die persoonsgegevens, zie voor meer informatie de stappen van het ‘Due Diligence’ onderzoek;
3) De medewerkers van uw leverancier, die de persoonsgegevens gaan verwerken, hier vertrouwelijk mee om moeten gaan;
4) Voordat de leverancier persoonsgegevens buiten de EU en de EER (Europese Economische Ruimte) laat verwerken, er moet worden vastgelegd dat er voldoende garanties ter bescherming van deze gegevens aanwezig zijn. Let op: Het gaat hier om een zogenaamd ‘derde’ land, waar het Verenigd Koninkrijk na de Brexit ook onder kan gaan vallen;
5) De leverancier alleen een sub-leverancier voor het verwerken van de persoonsgegevens mag inhuren na uw expliciete toestemming. U heeft hiermee ook het recht om bezwaar te maken zodat een nieuwe sub-leverancier niet gecontracteerd kan worden;
6) Indien u geen bezwaar heeft tegen de sub-leverancier, deze zich moet houden aan dezelfde afspraken die u bent overeengekomen met uw leverancier.;
7) In het geval van een datalek bij de leverancier, of bij diens sub-leverancier, deze volledig en tijdig dient mee te werken;
8) Aan het einde van het contract de nog aanwezige persoonsgegevens door de leverancier wordt teruggegeven of vernietigd;
9) U of uw gemachtigde het recht heeft om een audit uit te voeren bij uw leverancier zodat u aantoonbaar krijgt dat er aan alle overeengekomen instructies en beloftes worden gehouden.
Door het uitvoeren van een ‘Due Diligence’ onderzoek en het opnemen van onder andere deze belangrijkste verplichtingen in uw verwerkersovereenkomst bent u aantoonbaar in controle gekomen bij uw leverancier.
Maar hoe kan ik ervoor zorgen dat ik in controle blijf bij mijn leverancier? Dat leest u in het derde en tevens laatste deel van deze blogreeks.
Beschermheren
1101 BS Amsterdam Zuid Oost
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving
A man should look for what is, and not for what he thinks should be.
Albert Einstein