Vendor auditing

Verplichting vanuit de AVG: Vendor Auditing

U bent als verwerkingsverantwoordelijke verplicht vanuit de AVG om ervoor te zorgen dat uw verwerkers zich houden aan de met u overeengekomen afspraken. De AVG zegt in artikel 28 lid 3 en 3h hierover het volgende:

Artikel 28 lid 3: De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:

...(h) de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt

 

Verwerkingsverantwoordelijke vs. verwerker

Verwerkingsverantwoordelijke

Een verwerkingsverantwoordelijke is en blijft eindverantwoordelijk voor de data, óók als die door een ander verwerkt wordt. Een verwerkingsverantwoordelijke is verplicht te onderzoeken en verifiëren, door middel van een jaarlijkse audit, dat de verwerker voldoet aan de overeengekomen technische én organisatorische maatregelen om de data te beschermen.

Verwerker

Een verwerker moet zorgen te voldoen aan de technische én organisatorische maatregelen die de verwerkingsverantwoordelijke oplegt. E.e.a. moet in een verwerkingsovereenkomst afgesproken worden. De verwerker is verplicht mee te werken aan een jaarlijkse audit.

 

Voordelen van Vendor Auditing

voordelen van vendor auditing

 

"Recht om te auditen" in verwerkersovereenkomst opnemen

Het is belangrijk dat u in uw verwerkersovereenkomsten opneemt dat er jaarlijkse audits zullen plaatsvinden. Het verdient ook aanbeveling om in de verwerkersovereenkomst op te nemen dat in geval van datalekken, of sterk vermoeden van non-compliance met deze overeenkomst, een extra audit zal plaatsvinden. Mocht blijken dat de verwerker zijn zaken wél op orde heeft zijn de kosten voor de audit voor de verwerkingsverantwoordelijke. Echter, mocht blijken dat de verwerker zich niet houdt aan de overeengekomen eisen zoals vermeld in de verwerkersovereenkomst en diens bijlage, zal de verwerker de kosten voor de extra audit moet dragen.

 

Contact

Wilt u meer informatie of hulp bij het auditen? Neem dan contact met mij op.