Bij naleving van de AVG ligt een belangrijke nadruk op accountability. U moet de privacywetgeving niet alleen naleven, u moet ook kunnen aantonen dat u de wet naleeft. Dat geldt ook als u de verwerking van persoonsgegevens heeft uitbesteed. Auditen lijkt dan het enige, juiste antwoord, maar moet dat echt door een onafhankelijke partij?
De AVG legt op dat u op ieder moment kunt aantonen dat u de privacywet naleeft. Ook als u de verwerking van persoonsgegevens heeft uitbesteed aan een derde partij. Uiteraard heeft u sluitende verwerkersovereenkomsten opgesteld, maar hoe weet u dat de wederpartij al deze afspraken ook echt nakomt? Een essentieel vraagstuk, omdat u als verwerkingsverantwoordelijke aansprakelijk bent voor de omgang met persoonsgegevens in de keten. Indien een verwerker of sub-verwerker onrechtmatig handelt, kunt u daar (financieel) op worden aangesproken.
Auditrecht of auditplicht?
De AVG verplicht de verwerkers die u inschakelt om u alle informatie ter beschikking te stellen die nodig is om de nakoming van de in de verwerkersovereenkomst neergelegde verplichtingen aan te tonen. Daarnaast moeten ze audits, waaronder inspecties, door u of een door u gemachtigde controleur mogelijk maken en eraan bijdragen.
De AVG biedt verwerkingsverantwoordelijken dus een auditrecht. In hoeverre is dit recht ook een plicht? Gezien bovenstaande risicoverdeling en de nadruk die de AVG legt op accountability, zijn audits eigenlijk onvermijdelijk om aantoonbaar in control te zijn.
Dure, onafhankelijke auditor of niet?
U ziet de bui al hangen. Onafhankelijk auditen kan immers flink in de papieren lopen. Bent u ook daadwerkelijk verplicht jaarlijks een onafhankelijke auditor te sturen die voor u controleert op naleving van verwerkersovereenkomst(en)?
Het NOREA PCF geeft een prima startpunt voor privacy-audits in het algemeen. Met betrekking tot auditen van verwerkers stellen zij dat er verschillende aanpakken mogelijk zijn. De juiste aanpak is afhankelijk van de aard en het risico van de verwerking die is uitbesteed. Er zijn 4 mogelijke aanpakken:
De verwerker reageert op een vragenlijst die u heeft opgesteld.
De verwerker legt een verklaring af op basis van zelf uitgevoerde audits en of andere procedures.
U voert zélf een audit uit bij de verwerker.
U laat de audit uitvoeren door een onafhankelijke auditor.
Overigens zijn er genoeg verwerkers, die kiezen voor de tweede aanpak en zelf jaarlijks een onafhankelijke auditor langs laten komen. Hiermee voorkomen ze dat al hun klanten afzonderlijk aankloppen voor een audit.
Afspraken met de verwerker over auditen
Afhankelijk van de gekozen of geschikte methode dienen met de verwerker afspraken gemaakt te worden over de:
aankondiging van een audit;
kosten rekening auditor en kosten voor gemaakte uren door personeel;
afspraken over te treffen maatregelen op basis van de resultaten van een audit.
Het is mogelijk dat u deze afspraken al heeft opgenomen in de verwerkersovereenkomst. In dat geval hoeft u ze niet nogmaals te maken.
Auditen essentieel
We kunnen op basis van bovenstaande concluderen dat auditen essentieel is bij de aantoonbare naleving van de AVG. U hoeft echter niet altijd een onafhankelijke auditor in te schakelen, maar kunt de audit ook zelf doen. Daarnaast zijn er verwerkers die zichzelf laten auditen door een onafhankelijke partij, waarna u met die resultaten ook aantoonbaar compliant bent.
Meer weten?
Wilt u meer weten over het aantoonbaar naleven van de AVG? Wij helpen u graag verder. Neem contact op met een van onze ICT-juristen via 010 2290 646, volg de training die wij verzorgen voor contractmanagers over de naleving van de AVG of lees meer over onze AVG Desk.
Ontvang onze blogs in uw mailbox
Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.