PRIVACY: Dossier verwerkersovereenkomst III
In dit laatste deel van onze blogreeks staan we stil bij het vraagstuk “bent u In controle bij uw leverancier?”. Heeft u iets opgestoken of zich vermaakt met deze informatieve artikelen? Laat ons dit dan vooral weten en volg ons op LinkedIn.
Hoe blijf ik in controle bij mijn leverancier?
“Ik heb een getekende verwerkersovereenkomst met mijn leverancier. Ben ik nu klaar?”
Het antwoord op deze vraag is: Nee, het begint nu pas.
Veel organisaties gaan ervan uit dat op het moment zij een getekende verwerkersovereenkomst met hun leverancier hebben, zij hiermee voldoen aan de AVG. Maar dan hebben we slechts nieuws, want het tegendeel is waar. De opzet en het bestaan van de overeenkomst kunt u nu aantonen. Maar de werking ervan nog niet. En vanuit de AVG is het verplicht om gedocumenteerde bewijslast te hebben waaruit blijkt dat de praktijk eveneens voldoet aan de privacywetgeving. Belangrijk om te weten is dat deze bewijslast ook overhandig moet kunnen worden indien daar om gevraagd wordt. Dit kan bijvoorbeeld gedaan worden door de Autoriteit Persoonsgegevens (AP).
In controle blijven is een proces
Om in controle te blijven bij uw leverancier is het daarom noodzakelijk periodiek te toetsen of de vastgelegde afspraken wederzijds nagekomen worden. Anderzijds dient er bij een wijziging in het proces te worden vastgesteld of er nieuwe aangepaste afspraken gemaakt moeten worden.
De AVG geeft geen richtlijnen over hoe u die controle houdt maar geeft wel aan dat u rechtmatig, behoorlijk en transparant moet handelen naar betrokkenen. Om dat te kunnen aantonen is het raadzaam om vooraf en tijdens de gesloten overeenkomst periodiek een controle uit te voeren en te documenteren als onderdeel van de bewijslast.
Maak gebruik van controlemechanismen
Het is verstandig om voorafgaand aan de samenwerking af te stemmen op welke manieren er door uw organisatie controle uitgevoerd kan worden bij uw leverancier. Maak hierbij ook duidelijke afspraken over eventuele kosten die gemaakt worden voor het uitvoeren van een controle.
Voorbeelden van controlemechanismen zijn:
- Data Protection Impact Assessment (DPIA) of Privacy Impact Assessment (PIA); Een DPIA/PIA is een manier om vooraf de privacy risico’s van een verwerking van persoonsgegevens in kaart te brengen, en dient te worden uitgevoerd op processen met persoonlijke informatie. Voorkeur gaat uit om dit periodiek te doen of wanneer er een significante aanpassing wordt gedaan
- Audits; Het uitvoeren van audits is een manier om te controleren of de afspraken in de verwerkersovereenkomst door de leverancier ook in de praktijk worden nagekomen. Hiervoor kan bijvoorbeeld een onafhankelijke derde partij voor worden ingeschakeld.
- Periodiek overleg; Afhankelijk van de verwerking, kan er gekozen worden om periodiek overleg te houden met de leverancier over de laatste ontwikkelingen.
- Evaluatie gebeurtenissen; In het geval van een gebeurtenis of incident bij de leverancier, of indien van toepassing de sub-leverancier, kan er een evaluatie plaatsvinden over de oorzaak van het incident, de gevolgen en de eventuele communicatie naar de toezichthoudende autoriteit en/of betrokkenen. Indien van toepassing, kan hierbij ook overleg plaatsvinden over de te nemen extra maatregelen die genomen worden om een soortgelijk incident in de toekomst te voorkomen.
- Plan Do Check Act-cyclus (PDCA); Voor het nastreven van continue optimalisering, kan er doormiddel van een PDCA-cyclus worden vastgesteld om periodiek een privacy gerelateerd onderwerp tegen het licht aan te houden voor een verbetertraject.
- Certificering; Voor belangrijke gegevensverwerkende leveranciers kan het hebben van een certificering op het gebied van privacy, wanneer beschikbaar, verplicht worden gesteld. Daarnaast zou nu al gekozen kunnen worden om certificering op het gebied van informatiebeveiliging verplicht te maken, ter onderbouwing voor technische en organisatorische maatregelen (ISO 2700x, NEN 7510, etc).
Op een efficiënte manier samenwerken
Het inzetten van controlemechanismes kan een manier zijn om aan te tonen dat u blijvend in controle bent bij uw leverancier. Daarnaast heeft u hiermee een optimalisatieslag kunnen realiseren waardoor u op een efficiëntere manier kunt samenwerken met uw leverancier.
Heeft u naar aanleiding van deze blog(s) nog vragen of wilt u graag eens sparren met ons over een soortgelijk onderwerp? Neem dan contact met ons op en samen kijken we hoe we u van dienst kunnen zijn.
Beschermheren
1101 BS Amsterdam Zuid Oost
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving
A man should look for what is, and not for what he thinks should be.
Albert Einstein