Net als vele anderen heb jij het in aanloop naar 25 mei druk gehad met het sluiten van verwerkersovereenkomsten. Nu de AVG van kracht is, krijg je er een nieuwe rol bij. De gesloten overeenkomsten moeten namelijk continu gemonitord en gemanaged worden. Hoe kun je anders aantoonbaar compliant zijn met de AVG?
De AVG legt op dat je op ieder moment kunt aantonen dat je de privacywet naleeft. Ook als jouw organisatie de verwerking van persoonsgegevens heeft uitbesteed aan een derde partij. Uiteraard heb je sluitende verwerkersovereenkomsten opgesteld, maar hoe weet je dat de wederpartij al deze afspraken ook echt nakomt? Een essentieel vraagstuk, omdat je organisatie als verwerkingsverantwoordelijke aansprakelijk is voor de omgang met persoonsgegevens in de keten. Indien een verwerker of sub-verwerker onrechtmatig handelt, kun je daar (financieel) op worden aangesproken.
Belangrijkste risico’s niet monitoren verwerkersovereenkomsten
Hieronder een korte opsomming van drie belangrijke risico’s die jouw organisatie loopt als de verwerkersovereenkomst niet naar behoren wordt gemonitord en/of nageleefd.
Risico 1: onvoldoende beveiligingsmaatregelen
De verwerkingsverantwoordelijke en de verwerker zijn verantwoordelijk voor het treffen van passende beveiligingsmaatregelen. Je loopt risico als onvoldoende duidelijk is welke mate van beveiliging vereist is of als de verwerker niet alle maatregelen treft die hij zegt te treffen. Daarnaast kunnen de overeengekomen maatregelen niet langer voldoen aan de stand van de techniek. Wat ten tijde van het sluiten van de verwerkersovereenkomst nog goede beveiligingstechnieken waren, kunnen korte tijd later al achterhaald zijn.
Risico 2: onoverzichtelijk ketenbeheer
Het is voor de verwerkingsverantwoordelijke erg lastig om controle te houden op de naleving van de AVG door alle partijen in de keten. De AVG biedt de contractmanager enige houvast door de verwerker te verplichten hem als verwerkingsverantwoordelijke in te lichten over het inschakelen van een andere (sub-)verwerker. Het is voor jou essentieel om te weten welke sub-verwerkers worden ingeschakeld en in welk land of landen uw gegevens worden verwerkt. Wil je grip houden, dan moet je zeker weten dat de sub-verwerker de naleving van de AVG net zo goed waarborgt als de verwerker waarmee u uw verwerkersovereenkomst heeft afgesloten. Overzichtelijk ketenbeheer is onmisbaar voor jou als contractmanager.
Risico 3: datalekken
Zodra je vermoedt dat er sprake is (geweest) van een datalek, moet je actie ondernemen. Mogelijk is het verplicht te melden bij de Autoriteit Persoonsgegevens (AP). Ook kan het nodig zijn om betrokkenen te informeren. Als verwerkingsverantwoordelijke ben je verantwoordelijk voor het al dan niet melden van een datalek. Wat gebeurt er echter als het lek zich voordoet bij de (sub-)verwerker van uw persoonsgegevens? Heeft de verwerker de juiste maatregelen getroffen om een beveiligingsincident te kunnen detecteren? De imago- en financiële schade voor jouw bedrijf kunnen groot zijn als een datalek niet ontdekt wordt en/of aan u gemeld wordt. Kortom, weet je zeker dat ook uw verwerker in control is?
Afwachten is geen optie
De risico’s voor u als verwerkingsverantwoordelijke zijn groot als uw verwerker(s) de verwerkersovereenkomst en/of AVG niet naleven. Er zijn meerdere manieren om de verwerkersovereenkomsten blijvend te monitoren en te managen. Denk bijvoorbeeld aan auditing en adequate verzekering voor privacy- en cybersecurityincidenten.
Wil jij goed voorbereid zijn en precies weten wat je kunt doen om in control te zijn over de verwerkersovereenkomsten van jouw organisatie? Meldt u zich dan nu aan voor de training ‘AVG-verwerkersovereenkomsten opstellen en monitoren voor contractmanagers’.
