Waarom je je verwerkers- overeenkomsten wil monitoren, en hoe privacy management software je daarbij kan helpen.

April 25, 2018

Het verwerken van persoonsgegevens is lang niet altijd iets wat je als verwerkingsverantwoordelijke alleen doet. Vaak worden andere partijen of dienstverleners ingeschakeld om persoonsgegevens in opdracht van de verantwoordelijke partij te verwerken. De partijen waar op deze manier persoonsgegevens mee worden uitgewisseld worden in de AVG verwerkers genoemd.

Met verwerkers moet een zogenaamde verwerkersovereenkomst worden afgesloten. Dit is een overeenkomst waarin afspraken worden gemaakt met betrekking tot de verwerking(en) die de verwerker voor de verantwoordelijke gaat uitvoeren. Als het goed is bevat deze overeenkomst onder andere informatie over de persoonsgegevens die bij de verwerking gemoeid zijn en de beveiligingsmaatregelen die de verwerker moet treffen om de persoonsgegevens te beschermen, maar ook bijvoorbeeld de bewaartermijnen. Klik hier voor een goed voorbeeld van een verwerkersovereenkomst.

Het is echter niet aan te raden om een verwerkersovereenkomst af te sluiten en daar vervolgens jaren niet meer naar te kijken. Als verwerkingsverantwoordelijke ben je namens tevens verantwoordelijk en aansprakelijk voor de verwerkers die je inschakelt. Mocht er dus iets fout gaan bij een verwerker die in opdracht van jouw organisatie persoonsgegevens verwerkt (bijvoorbeeld een datalek), dan kunnen betrokkenen wiens persoonsgegevens zijn geraakt door deze fout ook jou als verwerkingsverantwoordelijke aanspreken.

Auditbevoegdheid

Om te voorkomen dat een dergelijke fout gemaakt wordt, is het daarom belangrijk om een vinger aan de pols te houden bij de verwerkers die je inschakelt. Hiervoor wordt vaak een auditbevoegdheid in de verwerkersovereenkomst opgenomen. Een dergelijke auditbevoegdheid geeft een verwerkingsverantwoordelijke het recht om periodiek controles uit te voeren bij de verwerker, zodat vastgesteld kan worden dat de verwerker zijn werk netjes en volgens de AVG doet. Een dergelijke audit kost echter veel tijd en vaak ook veel geld.

Privacy management software

Een alternatief kan gevonden worden in privacy management software. Door het registreren van alle verwerkers waar een verwerkersovereenkomst mee is afgesloten kunnen geautomatiseerd en op vaste momenten enkele vragen worden gesteld over de actuele stand van de zaken die in een verwerkersovereenkomst worden geregeld. Door dit vanuit software te regelen wordt ook automatisch een overzicht aangelegd waarmee kan worden aangetoond dat er wel degelijk inspanningen worden geleverd om een oogje in het zeil te houden bij verwerkers.

Natuurlijk neemt dit niet volledig de verantwoordelijkheid bij de verwerkersverantwoordelijken weg. Op het moment dat een verwerker weigert mee te werken aan een dergelijke digitale audit zullen er stappen moeten worden ondernomen om de benodigde informatie alsnog boven tafel te krijgen. Daarnaast zal er een bepaalde mate van controle moeten plaatsvinden op de antwoorden die een verwerker geeft. Dit neemt echter niet weg dat het automatiseren van controles op verwerkers een aanzienlijke tijds- en geldwinst kan opleveren.

Ben je benieuwd hoe het bovenstaande er in de praktijk uit kan zien? Vraag dan eens een demoaan van Privacy Nexus! Met Privacy Nexus wordt het mogelijk om op een eenvoudige manier grip te krijgen op je verwerkersovereenkomsten en de naleving daarvan.

Download