Vendor auditing

Verplichting vanuit de AVG: Vendor Auditing

U bent als verwerkingsverantwoordelijke verplicht vanuit de AVG om ervoor te zorgen dat uw verwerkers zich houden aan de met u overeengekomen afspraken. De AVG zegt in artikel 28 lid 3 en 3h hierover het volgende:

Artikel 28 lid 3: De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:

...(h) de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt

 

Verwerkingsverantwoordelijke vs. verwerker

Verwerkingsverantwoordelijke

Een verwerkingsverantwoordelijke is en blijft eindverantwoordelijk voor de data, óók als die door een ander verwerkt wordt. Een verwerkingsverantwoordelijke is verplicht te onderzoeken en verifiëren, door middel van een jaarlijkse audit, dat de verwerker voldoet aan de overeengekomen technische én organisatorische maatregelen om de data te beschermen.

Verwerker

Een verwerker moet zorgen te voldoen aan de technische én organisatorische maatregelen die de verwerkingsverantwoordelijke oplegt. E.e.a. moet in een verwerkingsovereenkomst afgesproken worden. De verwerker is verplicht mee te werken aan een jaarlijkse audit.

 

Voordelen van Vendor Auditing

  • Risico's verkleinen
    U verkleint het risico door waar nodig tijdig bij te sturen en mitigerende acties te implementeren om uw eigen organisatie te beschermen

  • Proces verbeteren
    Voordat u een overeenkomst sluit met een verwerker, vindt eerst een leveranciersbeoordeling plaats, of wel een vendor audit. Op die manier krijgt u een goed overzicht van uw gegevens en processen en ziet u waar verbeteringen nodig of wenselijk zijn. Als u al een overeenkomst hebt, raad ik u aan een leveranciersbeoordeling uit te voeren voor uw due diligence (zorgvuldigheid en aantoonbare verantwoordelijkheid)

  • Kostenbesparend
    Voorkomen is beter dan genezen. En niet te vergeten, goedkoper. De boetes van de Autoriteit Persoonsgegevens zijn hoog. Tot 20 miljoen euro of 4% wereldwijde omzet. Wat het hoogste is. En voor het niet goed reageren op bijvoorbeeld de rechten van betrokkenen kunt u een boete krijgen van meer dan € 300.000 euro, om maar een voorbeeld te noemen.

  • Onderscheidend vermogen - USP
    U kunt zich onderscheiden door de nodige maatregelen te nemen om de gegevens van uw klanten te beschermen.Dit kunt u gebruiken om uw organisatie mee te promoten en uw klanten gerust te stellen. Mensen kiezen liever voor een zekerheid en wanneer u een garantie kunt geven heeft u altijd een streepje voor.

  • AVG Compliance
    Door een vendor audit uit te voeren, bent u een stap dichter bij het voldoen aan de AVG. U bent vanuit de AVG verplicht om de vendor audit uit te voeren en hier documentatie van te bewaren om uw verantwoordelijkheid (accountability) naar de AVG te kunnen aantonen.

 

"Recht om te auditen" in verwerkersovereenkomst opnemen

Het is belangrijk dat u in uw verwerkersovereenkomsten opneemt dat er jaarlijkse audits zullen plaatsvinden. Het verdient ook aanbeveling om in de verwerkersovereenkomst op te nemen dat in geval van datalekken, of sterk vermoeden van non-compliance met deze overeenkomst, een extra audit zal plaatsvinden. Mocht blijken dat de verwerker zijn zaken wél op orde heeft zijn de kosten voor de audit voor de verwerkingsverantwoordelijke. Echter, mocht blijken dat de verwerker zich niet houdt aan de overeengekomen eisen zoals vermeld in de verwerkersovereenkomst en diens bijlage, zal de verwerker de kosten voor de extra audit moet dragen.

 

Contact

Wilt u meer informatie of hulp bij het auditen? Neem dan contact met mij op.