Wanneer zijn we klaar met de AVG? Of: Hoeveel tijd kost het nog om de AVG geïmplementeerd te hebben?
Deze vragen geven het gevoel dat het voldoen aan de AVG een eenmalige inspanning vraagt. Niets is minder waar. De AVG vertelt ons dat het voldoen aan de AVG niet een eenmalige actie is, maar continue aandacht vereist. Deze continue aandacht is ook nodig voor de afspraken die u als verantwoordelijke maakt met uw leveranciers.
Hoe doe ik dat dan?
Om antwoord te geven op die vraag, is het belangrijk om éérst te weten welke afspraken er gemaakt moeten worden. Die moeten op de juiste wijze beschreven zijn en, voor alle betrokken partijen, geen onduidelijkheden bevatten. Maar, alleen de papieren afspraken garanderen nog niet dat die afspraken ook daadwerkelijk uitgevoerd worden. Als opdrachtgever en (verwerkings)verantwoordelijke is het juist úw taak om te controleren of de afspraken die zijn gemaakt worden nageleefd. Feitelijk begint dat al bij de keuze van uw leverancier.
Selectie van leverancier
Als u van plan bent om diensten uit te besteden, zult u van te voren na moeten denken over de afspraken die u als verantwoordelijke met uw leverancier maakt. In dit geval hebben we het niet over tarieven of de duur van de dienstverlening, maar hoe uw leverancier om dient te gaan met de persoonsgegevens. U blijft als opdrachtgever tenslotte verantwoordelijk voor de verwerking van die persoonsgegevens. Ook als de werkzaamheden in uw opdracht door een derde partij worden uitgevoerd.
Als verantwoordelijke legt u eisen voor passende organisatorische en technische maatregelen op aan uw leverancier. Die eisen kunnen wijzigen door bijvoorbeeld veranderende (cybersecurity)risico’s, technische veranderingen of verandering van de dienstverlening in de loop van de tijd. Hierdoor kan het zijn dat deze eisen niet meer voldoen aan het uitgangspunt “Rekening houdend met de stand van de techniek”.
Uit de casus van het Marriott hotel, leren we ook dat een goede due diligence moet worden uitgevoerd. Dit geldt natuurlijk voor alle leveranciersrelaties die u als verantwoordelijke aangaat. Enkel na een goede due diligence kunt u bepalen welke (aanvullende) eisen u wilt stellen aan de betreffende leverancier.
Toetsen van afspraken
Nadat u als verantwoordelijke een contract bent aangegaan met uw leverancier, blijft u verantwoordelijk voor de verwerking van de persoonsgegevens door uw leverancier. Daarom legt u de gemaakte afspraken vast in, bijvoorbeeld, een verwerkersovereenkomst. De minimale afspraken zijn te herleiden uit de AVG. Een van de standaard onderwerpen in het contract is een bepaling over het “recht op audit” (right to audit). Hiermee legt u als verantwoordelijke het recht om de uitvoering van de overeenkomst te controleren vast. Vervolgens kunt u afspraken maken over de invulling van dat recht.
Uitvoering Right to Audit
Als verantwoordelijke kunt u er bijvoorbeeld voor kiezen om de opzet van de maatregelen (met behulp van een documentatieonderzoek) van uw leverancier te controleren. Daaruit moet blijken hoe uw leverancier aan uw eisen voldoet of zal gaan voldoen.
U krijgt meer zekerheid door in gesprek te gaan met de medewerkers van uw leverancier. Zij kunnen u vertellen hoe er in de dagelijkse praktijk invulling wordt gegeven aan uw eisen. U toetst het bestaan, bovenop de opzet, van de maatregelen.
Als uw leverancier een certificaat overlegt, als bewijsvoering voor een zekere mate van beveiliging, zult u als verantwoordelijke moeten controleren wat de scope van het certificaat is (de verklaring van conformiteit). Als dat afwijkt van het product of dienst wat u bij uw leverancier afneemt of van de eisen die u aan die dienstverlening heeft gesteld, kan het certificaat niet als zelfstandig bewijs worden beschouwd. U zult dan aanvullende controles moeten uitvoeren om het beveiligingsniveau vast te stellen. Technische controles op de inrichting van systemen, de inrichting van de autorisaties en het proces maar ook de eerder beschreven toetsing van documenten en gesprekken kunnen helpen bij het maken van uw beoordeling.
Op basis van uw bevindingen legt u als verantwoordelijke (aanvullende) maatregelen op aan uw leverancier.
In dit kader is ook een SOC2 verklaring relevant. Een veel gebruikte ISAE3402 of SOC1 verklaring is alleen relevant als er een relatie is met de financiële verantwoording. Een SOC3 rapportage is een algemene verklaring (voor het maatschappelijke verkeer) en geeft geen inzicht in individuele controls. In een SOC2 verklaring geeft een auditor of accountant een verklaring (zekerheid) over de beheersing van de IT-controls met betrekking tot uitbestede processen. Een SOC2 type 1 verklaring geeft duidelijkheid over het bestaan, een SOC2 type 2 verklaring ook over de werking van de IT-controls. In een SOC2 rapportage moet de auditor ook privacy en gegevensbescherming meenemen.
Na afloop van het contract
In de AVG is beschreven dat er afspraken vastlegt moeten worden voor als de verwerking is voltooid. Als er wettelijke verplichtingen zijn om de verwerkte gegevens te bewaren, dan zult u als verantwoordelijke afspraken moeten maken over de overdracht van die gegevens naar uw eigen omgeving.
U kunt daar van te voren over nadenken of op het moment dat de dienstverlening eindigt. Echter zijn er situaties dat er geen nieuwe afspraken gemaakt kunnen worden, zoals in het geval van een bedrijfsbeëindiging of een faillissement. Daarom is het aan te raden om voor die scenario’s al afspraken vast te hebben liggen.
PMP heeft uitgebreide audit en assessment diensten. Deze PMP audit diensten combineren zowel formele audit kennis als uitgebreide en diepgaande kennis over de gegevensbescherming en privacy processen. Wij kunnen zowel voor u verantwoordelijke als voor u als verwerker de in het kader van de AVG benodigde auditproducten uitvoeren.
Neem contact met ons op voor meer informatie.
Door: Tjerk Vroon