Home / Nieuws & Blogs / De verwerkersovereenkomst-audit

De verwerkersovereenkomst-audit

ICT-recht - Privacy
| 25 juni 2019

In alle verwerkersovereenkomsten zie je het terug komen: de verwerkingsverantwoordelijke heeft het recht om te controleren of de verwerker zijn verplichtingen nakomt, ten aanzien van de verwerking van persoonsgegevens. Wat betekent dit precies en hoe controleer je dat als verwerkingsverantwoordelijke?

Verplichte afspraken in de verwerkersovereenkomst

Een afnemer (verwerkingsverantwoordelijke) en leverancier (verwerker) die persoonsgegevens uitwisselen zijn verplicht om afspraken te maken over de verwerking van persoonsgegevens. Deze afspraken worden meestal vormgegeven in een verwerkersovereenkomst. Een aantal onderwerpen zijn wettelijk verplicht om hierin op te nemen. Een van de verplichte afspraken is een verplichting voor de verwerker om alle informatie die nodig is om nakoming van de afspraken uit de verwerkersovereenkomst te kunnen aantonen, aan de verwerkingsverantwoordelijke beschikbaar te kunnen stellen. Daarbij moet de verwerker de verwerkingsverantwoordelijke de mogelijkheid geven om audits uit te (laten) voeren bij verwerker.

De achtergrond van deze verplichting ligt in het feit dat het verwerkingsverantwoordelijken enkel is toegestaan om een bepaalde verwerker in te schakelen, wanneer door de verwerker voldoende garanties worden geboden op het gebied van deskundigheid, betrouwbaarheid en passende (beveiligings)maatregelen. Om hier zekerheid over te krijgen heeft een verwerkingsverantwoordelijke het recht om zo’n controle uit te voeren.

Auditrecht volgens de AVG

In de verwerkersovereenkomst dient op basis van de AVG minimaal ten aanzien van het auditrecht te worden afgesproken dat:

“De verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikelneergelegde verplichtingenaan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.”

Het artikel over de verplichting om audits toe te staan kan in de verwerkersovereenkomst ruimer zijn omschreven dan de AVG als minimum verplicht stelt. Denk aan een bepaling als:

“De verwerkingsverantwoordelijke heeft te allen tijde het recht toe te (laten) zien op de naleving van de onderhavige verwerkersovereenkomst en de regels uit de AVG door de verwerker.”

Een op deze manier beschreven auditrecht is erg breed en zorgt ervoor dat de verwerkingsverantwoordelijke de hele organisatie door mag, om te controleren of de verwerker voldoet aan álle regels in zowel de verwerkersovereenkomst als de AVG. Voor veel verwerkers zal dit niet wenselijk zijn. Het is daarom verstandig om in de onderhandelingen goed te kijken naar de formulering van het auditrecht. Maak bijvoorbeeld een beperking ten aanzien van de frequentie van audits en de omvang van de audit.

Kijk ook altijd goed naar de kosten voor de audit. Als een derde partij mag worden ingeschakeld voor het uitvoeren van de audit, wie betaalt die derde partij dan? En als een volledige bedrijfsaudit mogelijk is, wie betaalt dan de tijd van de werknemers die hier voor beschikbaar moeten zijn? Hierover ben je vrij om afspraken te maken in het auditartikel in de verwerkersovereenkomst.

Wat is een verwerkersovereenkomst-audit?

Onder een audit wordt volgens het Nederlandse woordenboek verstaan: een kritisch onderzoek naar de bedrijfsvoering. Het artikel in de AVG stelt dat onder deze audits ook inspecties worden verstaan. Inspectie is volgens datzelfde woordenboek: toezicht, controle of keuring. Letterlijk betekent dit dus dat je als verwerkingsverantwoordelijke de mogelijkheid hebt om de bedrijfsvoering van verwerker te (laten) controleren, om te kunnen vaststellen of de verwerker de verplichtingen, zoals opgenomen in de verwerkersovereenkomst, nakomt.

De verwerkersovereenkomst-audit in de praktijk

Het opschrijven van het recht om een audit uit te (laten) voeren is nog maar het begin. De vervolgstap die hier logischerwijs aan vast hangt, is het gebruik maken van dit recht. In de praktijk zien wij nog niet veel bedrijven die al gebruik hebben gemaakt van dit recht. Zonder gebruik te maken van dit recht kan een verwerkingsverantwoordelijken niet onderbouwd vaststellen of hij de verwerking van persoonsgegevens aan die specifieke verwerker toevertrouwt. Maar hoe voer je een verwerkersovereenkomst-audit praktisch uit?

Er zijn allerlei manieren te bedenken om te controleren of een verwerker zich aan de regels houdt. Denk bijvoorbeeld aan het:

  • rondsturen van een privacy-vragenlijst aan verwerkers, om te kunnen beoordelen of deze verwerkersovereenkomst haar verplichtingen begrijpt en in de praktijk brengt;
  • opvragen van een eventueel aanwezig audit-rapport ten aanzien van privacy en/of security (bij voorkeur opgesteld door een onafhankelijke derde partij);
  • opvragen van het (toepasselijke gedeelte van) het verwerkingsregister (deze bevat immers een beschrijving van de categorieën van verwerkingen die de verwerker in opdracht van iedere verantwoordelijke uitvoert en een algemene beschrijving van de technische en organisatorische maatregelen die zijn genomen om de persoonsgegevens te beveiligen.);
  • uitvoeren van een pentest op het systeem waarin de persoonsgegevens staan opgeslagen;
  • interviewen van de Functionaris voor de Gegevensbescherming of privacy officer van verwerker;
  • indienen van een (fictief) verwijderverzoek;
  • op afspraak langsgaan bij de onderneming om een rondleiding, demonstratie en toelichting te krijgen over de werkwijze.

Wie mag de verwerkersovereenkomst-audit uitvoeren?

Volgens de AVG mag de functionaris voor de gegevensbescherming (FG) van de verwerkingsverantwoordelijke de audit uitvoeren. Voordeel hiervan is dat de FG exact weet wat de afspraken zijn en hoe de verwerkingsverantwoordelijke wenst dat verwerkers met persoonsgegevens omgaan. Nadeel hiervan is dat het een FG veel tijd kost en dat een verwerker tegenover de verwerkingsverantwoordelijke niet altijd even open zal zijn over de werkwijzen en over gevoelige bedrijfsgegevens.

Daarnaast is het mogelijk om een derde de audit uit te laten voeren. Voordeel hiervan is dat, wanneer gekozen wordt voor een onafhankelijke derde, geen waardeoordeel wordt gegeven aan de uitkomst van de audit, anders dan een toets of de praktijk overeenkomt met wat juridisch tussen partijen is overeengekomen. De auditor kan een rapport opstellen met aanbevelingen, waarna de verwerker en de verwerkingsverantwoordelijke afspraken kunnen maken ten aanzien van de opvolging daarvan.

Demi Grandiek, oud-medewerker ICTRecht
Lees meer
Wilt u meer weten over Privacy
ICTRecht B.V.

E contact@ictrecht.nl
T +31 (0)20 663 1941
Meer informatie

Juridisch advies
Professionals inhuren
Academy
Legal Tech
Security / Informatiebeveiliging
Documenten
Ons team
Vacatures

 

 
Nieuwsbrief

Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

Inschrijven nieuwsbrief

Social media
SM 22-Linkedin SM 22_Twitter SM 22_Instagram