Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

De verwerkersovereenkomst-audit

In alle verwerkersovereenkomsten zie je het terug komen: de verwerkingsverantwoordelijke heeft het recht om te controleren of de verwerker zijn verplichtingen nakomt, ten aanzien van de verwerking van persoonsgegevens. Wat betekent dit precies en hoe controleer je dat als verwerkingsverantwoordelijke?

Verplichte afspraken in de verwerkersovereenkomst

Een afnemer (verwerkingsverantwoordelijke) en leverancier (verwerker) die persoonsgegevens uitwisselen zijn verplicht om afspraken te maken over de verwerking van persoonsgegevens. Deze afspraken worden meestal vormgegeven in een verwerkersovereenkomst. Een aantal onderwerpen zijn wettelijk verplicht om hierin op te nemen. Een van de verplichte afspraken is een verplichting voor de verwerker om alle informatie die nodig is om nakoming van de afspraken uit de verwerkersovereenkomst te kunnen aantonen, aan de verwerkingsverantwoordelijke beschikbaar te kunnen stellen. Daarbij moet de verwerker de verwerkingsverantwoordelijke de mogelijkheid geven om audits uit te (laten) voeren bij verwerker.

De achtergrond van deze verplichting ligt in het feit dat het verwerkingsverantwoordelijken enkel is toegestaan om een bepaalde verwerker in te schakelen, wanneer door de verwerker voldoende garanties worden geboden op het gebied van deskundigheid, betrouwbaarheid en passende (beveiligings)maatregelen. Om hier zekerheid over te krijgen heeft een verwerkingsverantwoordelijke het recht om zo’n controle uit te voeren.

Auditrecht volgens de AVG

In de verwerkersovereenkomst dient op basis van de AVG minimaal ten aanzien van het auditrecht te worden afgesproken dat:

“De verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikelneergelegde verplichtingenaan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.”

Het artikel over de verplichting om audits toe te staan kan in de verwerkersovereenkomst ruimer zijn omschreven dan de AVG als minimum verplicht stelt. Denk aan een bepaling als:

“De verwerkingsverantwoordelijke heeft te allen tijde het recht toe te (laten) zien op de naleving van de onderhavige verwerkersovereenkomst en de regels uit de AVG door de verwerker.”

Een op deze manier beschreven auditrecht is erg breed en zorgt ervoor dat de verwerkingsverantwoordelijke de hele organisatie door mag, om te controleren of de verwerker voldoet aan álle regels in zowel de verwerkersovereenkomst als de AVG. Voor veel verwerkers zal dit niet wenselijk zijn. Het is daarom verstandig om in de onderhandelingen goed te kijken naar de formulering van het auditrecht. Maak bijvoorbeeld een beperking ten aanzien van de frequentie van audits en de omvang van de audit.

Kijk ook altijd goed naar de kosten voor de audit. Als een derde partij mag worden ingeschakeld voor het uitvoeren van de audit, wie betaalt die derde partij dan? En als een volledige bedrijfsaudit mogelijk is, wie betaalt dan de tijd van de werknemers die hier voor beschikbaar moeten zijn? Hierover ben je vrij om afspraken te maken in het auditartikel in de verwerkersovereenkomst.

Wat is een verwerkersovereenkomst-audit?

Onder een audit wordt volgens het Nederlandse woordenboek verstaan: een kritisch onderzoek naar de bedrijfsvoering. Het artikel in de AVG stelt dat onder deze audits ook inspecties worden verstaan. Inspectie is volgens datzelfde woordenboek: toezicht, controle of keuring. Letterlijk betekent dit dus dat je als verwerkingsverantwoordelijke de mogelijkheid hebt om de bedrijfsvoering van verwerker te (laten) controleren, om te kunnen vaststellen of de verwerker de verplichtingen, zoals opgenomen in de verwerkersovereenkomst, nakomt.

De verwerkersovereenkomst-audit in de praktijk

Het opschrijven van het recht om een audit uit te (laten) voeren is nog maar het begin. De vervolgstap die hier logischerwijs aan vast hangt, is het gebruik maken van dit recht. In de praktijk zien wij nog niet veel bedrijven die al gebruik hebben gemaakt van dit recht. Zonder gebruik te maken van dit recht kan een verwerkingsverantwoordelijken niet onderbouwd vaststellen of hij de verwerking van persoonsgegevens aan die specifieke verwerker toevertrouwt. Maar hoe voer je een verwerkersovereenkomst-audit praktisch uit?

Er zijn allerlei manieren te bedenken om te controleren of een verwerker zich aan de regels houdt. Denk bijvoorbeeld aan het:

  • rondsturen van een privacy-vragenlijst aan verwerkers, om te kunnen beoordelen of deze verwerkersovereenkomst haar verplichtingen begrijpt en in de praktijk brengt;
  • opvragen van een eventueel aanwezig audit-rapport ten aanzien van privacy en/of security (bij voorkeur opgesteld door een onafhankelijke derde partij);
  • opvragen van het (toepasselijke gedeelte van) het verwerkingsregister (deze bevat immers een beschrijving van de categorieën van verwerkingen die de verwerker in opdracht van iedere verantwoordelijke uitvoert en een algemene beschrijving van de technische en organisatorische maatregelen die zijn genomen om de persoonsgegevens te beveiligen.);
  • uitvoeren van een pentest op het systeem waarin de persoonsgegevens staan opgeslagen;
  • interviewen van de Functionaris voor de Gegevensbescherming of privacy officer van verwerker;
  • indienen van een (fictief) verwijderverzoek;
  • op afspraak langsgaan bij de onderneming om een rondleiding, demonstratie en toelichting te krijgen over de werkwijze.

Wie mag de verwerkersovereenkomst-audit uitvoeren?

Volgens de AVG mag de functionaris voor de gegevensbescherming (FG) van de verwerkingsverantwoordelijke de audit uitvoeren. Voordeel hiervan is dat de FG exact weet wat de afspraken zijn en hoe de verwerkingsverantwoordelijke wenst dat verwerkers met persoonsgegevens omgaan. Nadeel hiervan is dat het een FG veel tijd kost en dat een verwerker tegenover de verwerkingsverantwoordelijke niet altijd even open zal zijn over de werkwijzen en over gevoelige bedrijfsgegevens.

Daarnaast is het mogelijk om een derde de audit uit te laten voeren. Voordeel hiervan is dat, wanneer gekozen wordt voor een onafhankelijke derde, geen waardeoordeel wordt gegeven aan de uitkomst van de audit, anders dan een toets of de praktijk overeenkomt met wat juridisch tussen partijen is overeengekomen. De auditor kan een rapport opstellen met aanbevelingen, waarna de verwerker en de verwerkingsverantwoordelijke afspraken kunnen maken ten aanzien van de opvolging daarvan.

Demi Grandiek

Juridisch adviseur

Demi Grandiek werkt als juridisch adviseur bij ICTRecht, en maakt onderdeel uit van het privacyteam. Zij is gespecialiseerd in privacy en arbeidsrechtelijke vraagstukken. Een combinatie van deze twee rechtsgebieden vormt privacy op de werkvloer, een onderwerp waar je bij haar goed mee terecht kunt.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie