Wat heb je afgesproken in jouw verwerkersovereenkomst over "vendor auditing?

De AVG eist in art. 28 lid1 dat je alleen maar met partijen in zee mag gaan als zij zich houden aan de AVG. Je wordt, als verwerkingsverantwoordelijke, verplicht om dit te onderzoeken. Je kunt het ook 'doorlichten' noemen of in het Engels 'vetting'. Dit doe je vooraf.

Als je eenmaal met een verwerker een verwerkersovereenkomst hebt afgesloten dan heb je daar bepaalde afspraken in benoemd. Je hebt o.a. eisen gesteld waarvan jij vindt dat de verwerker zich aan moet houden op het gebied van technische en organisatorische maatregelen. Als je in jouw verwerkersovereenkomst hebt afgesproken dat je jouw verwerker gaat controleren (auditen of auditeren genaamd) dan moet je dat ook echt doen, en het niet bij 'zeggen dat je het doet' houden. Jij moet namelijk bewijs kunnen overleggen als de Autoriteit Persoonsgegevens hierom vraagt. Je hebt nu te maken met vendor-auditing. Ook wel leverancier-auditing genoemd.

Mogelijkheden van vendor-auditing

Zelf doen. Prima als je weinig verwerkers hebt, maar lastig als je er veel hebt.
Vendor-auditing uitbesteden. Scheelt tijd en je hebt altijd een deskundig oordeel.

"Voordelen van vendor-auditing / Leveranciers auditeren

Voorkomen is beter dan genezen. En niet te vergeten, goedkoper. De boetes van de Autoriteit Persoonsgegevens zijn hoog. Tot 20 miljoen euro of 4% wereldwijde omzet. En voor het niet goed reageren op bijvoorbeeld de rechten van betrokkenen kun je een boete krijgen van meer dan € 300.000 euro, om maar een voorbeeld te noemen.

Kostenbesparend

Je kunt je onderscheiden door de nodige maatregelen te nemen om de gegevens van jouw klanten te beschermen.Dit kun je gebruiken om jouw organisatie te promoten en tegelijkertijd jouw klanten gerust te stellen. Mensen kiezen liever voor een zekerheid en wanneer je een garantie kunt geven heb je altijd een streepje voor.

Onderscheidend vermogen (USP)

Door duidelijke afspraken te maken én de gemaakte afspraken periodiek te controleren verklein je risico's op incidenten en datalekken. Je kunt waar nodig tijdig bijsturen en mitigerende acties implementeren om jouw eigen organisatie te beschermen. Daarnaast heb je aantoonbaar voldaan aan de wettelijke eis van vendor auditing die de AVG verwerkingsverantwoordelijken oplegt.

Risico's verlagen

Door een vendor audit uit te voeren ben je een stap dichter bij het voldoen aan de AVG. Je bent vanuit de AVG namelijk verplicht om periodiek een vendor audit uit te voeren en hier bewijsbare documentatie van te bewaren om jouw verantwoordelijkheid (accountability) naar de AVG te kunnen aantonen.Kun je dit niet bewijzen? Dan riskeer je een flinke boete!

AVG Compliant

Bij een datalek of incident dat veroorzaakt is door jouw verwerker kun jij alsnog reputatieschade krijgen. Want in sommige gevallen ben je verplicht het bij je klant te melden. Het is dus jouw reputatie dat op het spel staat. Door periodiek een vendor audit uit te voeren verklein je de kans op reputatieschade door de gevolgen van datalekken en incidenten.

Reputatie beschermen

Door verwerkers goed te controleren en monitoren trek je betere verwerkers aan. Je levert een betere kwaliteit van jouw dienstverlening. Aangezien jij nu de besluitvorming en effectiviteit hebt verbetert, kun je een toename van de klantloyaliteit en omzet verwachten.

Kwaliteit verwerkers = meer omzet

"Recht om te auditeren" in verwerkersovereenkomst opnemen

Het is belangrijk dat je in jouw verwerkersovereenkomsten opneemt dat er jaarlijks een vendor-auditing zal plaatsvinden. Wij raden je ook aan om in de verwerkersovereenkomst op te nemen dat in geval van datalekken, of sterk vermoeden van non-compliance met deze overeenkomst, een extra vendor-audit zal plaatsvinden. Mocht blijken dat de verwerker zijn zaken wél op orde heeft zijn de kosten voor de vendor-audit voor de verwerkingsverantwoordelijke, voor jou dus. Echter, mocht blijken dat de verwerker zich niet houdt aan de overeengekomen eisen zoals vermeld in de verwerkersovereenkomst en diens bijlage, zal de verwerker de kosten voor de extra vendor-audit moet dragen. Wel zo eerlijk.

Contact

Wil je meer informatie over het vendor-auditing van jouw leveranciers (vendors) of wil je dat CPRM deze vendor-auditing voor jouw organisatie uitvoert?

Vendor auditing