Vendor auditing

 

 

Verplichting vanuit de AVG: Vendor Auditing

Je bent als verwerkingsverantwoordelijke verplicht vanuit de AVG om ervoor te zorgen dat jouw verwerkers zich houden aan de met jouw organisatie overeengekomen afspraken. De AVG zegt in artikel 28 lid 3 en 3h hierover het volgende:

Artikel 28 lid 3: De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:

...(h) de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt

Verwerkingsverantwoordelijke vs. verwerker

 

Verwerkingsverantwoordelijke

Een verwerkingsverantwoordelijke is en blijft eindverantwoordelijk voor de data, óók als die door een ander verwerkt wordt. Een verwerkingsverantwoordelijke is verplicht te onderzoeken en verifiëren, door middel van een jaarlijkse audit, dat de verwerker voldoet aan de overeengekomen technische én organisatorische maatregelen om de data te beschermen.

Verwerker

Een verwerker moet zorgen te voldoen aan de technische én organisatorische maatregelen die de verwerkingsverantwoordelijke oplegt. E.e.a. moet in een verwerkingsovereenkomst afgesproken worden. De verwerker is verplicht mee te werken aan een jaarlijkse audit.

 

"Voordelen van vendor Auditing / Leveranciers auditeren

Kostenbesparend

Voorkomen is beter dan genezen. En niet te vergeten, goedkoper. De boetes van de Autoriteit Persoonsgegevens zijn hoog. Tot 20 miljoen euro of 4% wereldwijde omzet. En voor het niet goed reageren op bijvoorbeeld de rechten van betrokkenen kun je een boete krijgen van meer dan € 300.000 euro, om maar een voorbeeld te noemen.

Kostenbesparend

Onderscheidend vermogen (USP)

Je kunt je onderscheiden door de nodige maatregelen te nemen om de gegevens van jouw klanten te beschermen.Dit kun je gebruiken om jouw organisatie te promoten en tegelijkertijd jouw klanten gerust te stellen. Mensen kiezen liever voor een zekerheid en wanneer je een garantie kunt geven heb je altijd een streepje voor.

Onderscheidend vermogen (USP)

Risico's verlagen

Door duidelijke afspraken te maken én de gemaakte afspraken periodiek te controleren verklein je risico's op incidenten en datalekken. Je kunt waar nodig tijdig bijsturen en mitigerende acties implementeren om jouw eigen organisatie te beschermen. Daarnaast heb je aantoonbaar voldaan aan de wettelijke eis van vendor auditing die de AVG verwerkingsverantwoordelijken oplegt.

Risico's verlagen

AVG Compliant

Door een vendor audit uit te voeren ben je een stap dichter bij het voldoen aan de AVG. Je bent vanuit de AVG namelijk verplicht om periodiek een vendor audit uit te voeren en hier bewijsbare documentatie van te bewaren om jouw verantwoordelijkheid (accountability) naar de AVG te kunnen aantonen.Kun je dit niet bewijzen? Dan riskeer je een flinke boete!

AVG Compliant

Reputatie beschermen

Bij een datalek of incident dat veroorzaakt is door jouw verwerker kun jij alsnog reputatieschade krijgen. Want in sommige gevallen ben je verplicht het bij je klant te melden. Het is dus jouw reputatie dat op het spel staat. Door periodiek een vendor audit uit te voeren verklein je de kans op reputatieschade door de gevolgen van datalekken en incidenten.

Reputatie beschermen

Kwaliteit verwerkers = meer omzet

Door verwerkers goed te controleren en monitoren trek je betere verwerkers aan. Je levert een betere kwaliteit van jouw dienstverlening. Aangezien jij nu de besluitvorming en effectiviteit hebt verbetert, kun je een toename van de klantloyaliteit en omzet verwachten.

Kwaliteit verwerkers = meer omzet

"Recht om te auditeren" in verwerkersovereenkomst opnemen

Het is belangrijk dat je in jouw verwerkersovereenkomsten opneemt dat er jaarlijkse audits zullen plaatsvinden. Wij raden je ook aan om in de verwerkersovereenkomst op te nemen dat in geval van datalekken, of sterk vermoeden van non-compliance met deze overeenkomst, een extra audit zal plaatsvinden. Mocht blijken dat de verwerker zijn zaken wél op orde heeft zijn de kosten voor de audit voor de verwerkingsverantwoordelijke, voor jou dus. Echter, mocht blijken dat de verwerker zich niet houdt aan de overeengekomen eisen zoals vermeld in de verwerkersovereenkomst en diens bijlage, zal de verwerker de kosten voor de extra audit moet dragen. Wel zo eerlijk.

Contact

Wil je meer informatie over het auditeren van jouw leveranciers (vendors) of wil je dat CPRM dit voor jouw organisatie uitvoert?

Bel mij terug!   Contactformulier