AVG op orde en dus klaar? Nee, zeker niet. Het is essentieel dat u uw verwerkersovereenkomsten monitort, in de praktijk toetst en waar nodig bijwerkt. Anders voldoet u straks alsnog niet aan de AVG. Hoe dat precies zit en wat u moet doen, leest u in deze blog.

Verwerkersovereenkomst: de regels

Als u de verwerking van persoonsgegevens uitbesteedt aan een derde partij, dan dient u schriftelijk een verwerkersovereenkomst te sluiten. U bent dan verwerkingsverantwoordelijke en de andere partij is de verwerker.

De verwerkersovereenkomst bevat onder meer een omschrijving van het onderwerp, de duur, de aard en de doeleinden van de verwerking. Het regelen van de onderwerpen specifiek benoemd in de AVG is verplicht voor de verwerkingsverantwoordelijke en de verwerker.

Een overzicht van deze minimumvereisten vindt u in onze checklist verwerkersovereenkomst.

Voldoet u nog aan de AVG?

Als u uw verwerkersovereenkomsten nooit checkt, dan is de kans groot dat u nu of binnenkort niet meer voldoet aan de AVG. U kunt er niet van uitgaan dat alles in orde is. Uw organisatie, uw omgeving en de technologie zijn dynamisch.

Wellicht verwerkt u inmiddels andere type persoonsgegevens, hebben zich incidenten voorgedaan of hebben betrokkenen gevraagd om wijzigingen in de verwerking van hun persoonsgegevens. De theorie van de verwerkersovereenkomst moet regelmatig getoetst worden in de praktijk.

Let op!

Deze toets kan consequenties hebben voor uw verwerkersovereenkomsten. Wellicht dient u deze te wijzigen door een addendum toe te voegen of zelfs helemaal te vervangen.

Verwerkersovereenkomst in de praktijk

We zien zeer uiteenlopende verwerkersovereenkomsten voorbij komen. Toch hebben ze allemaal 1 ding gemeen: de minimumvereisten. Hieronder lopen we een aantal van deze vereisten langs.

We lichten de belangrijkste, potentiële veranderingen toe, die in de praktijk kunnen voor komen. Zo krijgt u inzicht in de punten die u in ieder geval regelmatig moet checken en die wellicht om aanpassingen in uw verwerkersovereenkomsten vragen.

Vereiste 1: technische en organisatorische beveiligingsmaatregelen

Privacy_sm.jpg

De verwerker neemt de vereiste technische en organisatorische beveiligingsmaatregelen, aldus de verwerkersovereenkomst. Als verwerkingsverantwoordelijke checkt u dit door na te gaan of er incidenten hebben plaatsgevonden en hoe deze zijn behandeld/gemeld.

Ga ook na of er nieuwe beveiligingseisen (wet- en regelgeving of beleid) zijn en of er wijzingen zijn in de programmatuur of infrastructuur van de verwerker. Al deze punten zijn namelijk relevant voor uw plicht om te voldoen aan de AVG en kunnen aanleiding zijn om de verwerkersovereenkomst te herzien.

Vereiste 2: beveiliging van de verwerking op orde

De verplichtingen rondom de beveiliging van de verwerking van persoonsgegevens, de meldplicht datalekken etc. moeten goed geregeld zijn. De verwerker heeft de taak om de verwerkingsverantwoordelijke hierbij te ondersteunen.

Belangrijk is om te checken of er meldingen van incidenten zijn geweest. En vooral of deze op de juiste manier zijn opgepakt en voldoende ondersteuning is geboden bij de afweging door de gegevensverantwoordelijke van (eventuele) meldingen aan de Autoriteit Persoonsgegevens (AP) en de betrokkenen.

Door het proces rondom beveiligingsincidenten te analyseren en te evalueren, ontdekt u ook verbeterpunten die u alsnog wilt opnemen in de verwerkingsovereenkomst.

Vereiste 3: informatie verstrekken en audits mogelijk maken

De verwerker is verplicht alle informatie ter beschikking te stellen die nodig is om de nakoming van de verplichtingen uit de verwerkersovereenkomst aan te tonen. Daarnaast maakt de verwerker audits mogelijk.

Check vooral of er audits zijn uitgevoerd, of de geadviseerde maatregelen adequaat zijn en vooral wat ze hebben opgeleverd. Of wellicht ontdekt u wel dat het tijd wordt voor een audit.

Maak vooral gebruik van dit recht. Het helpt u de AP en de betrokkenen te overtuigen dat u de beste intenties hebt om de AVG na te leven.

Vereiste 4: verzoeken van betrokkenen vervullen

De verwerker moet de verwerkingsverantwoordelijke helpen bij het vervullen van verzoeken van betrokkenen die hun rechten willen uitoefenen. De eerste vraag bij deze vereiste is of er verzoeken zijn binnengekomen. Bij verwerkingsverantwoordelijke en/of verwerker?

Ja?

Dan is het zaak om de wijze van afhandeling en de verleende medewerking door de verwerker te evalueren. Wellicht is het noodzakelijk om afspraken hierover bij te stellen voor de toekomst.

Vereiste 5: wissen of terugbezorgen van persoonsgegevens

Na afloop van de verwerking worden alle persoonsgegevens gewist of terugbezorgd, tenzij bewaring door de verwerker wettelijk verplicht is.

AVG1_sm.jpg

Aan u de taak om te checken of verwerkingen tot een einde zijn gekomen en of de persoonsgegevens ook daadwerkelijk zijn gewist/terugbezorgd. Op welke wijze is dit gebeurd en op welke manier kunt u dit aantonen?

Belangrijke check die u dwingt na te denken of hetgeen u in de verwerkingsovereenkomst heeft afgesproken wordt nageleefd en of deze manier ook echt goed werkt.

Checken, checken, checken

De enige manier om blijvend te voldoen aan de AVG is om de verwerkersovereenkomsten in de praktijk te checken. Op regelmatige basis. Wij adviseren u om dit minimaal jaarlijks een keer grondig te doen. Alleen dan heeft u een goed verhaal als een betrokkene of de Autoriteit Persoonsgegevens om antwoorden vraagt.

Ondersteuning nodig?

Onze ICT-juristen hebben al vele organisaties geholpen bij de implementatie en naleving van de AVG. Wij kunnen u adviseren over het monitoren en toetsen van uw verwerkersovereenkomsten. Ook geven we de training ‘AVG-verwerkersovereenkomsten opstellen en monitoren voor contractmanagers’.

Heeft u interesse in een vrijblijvende prijsopgave? Of wilt u nader kennis met ons maken? Bel ons direct via 010 2290 646 of kijk op www.legalz.nl/avg.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.