In alle verwerkersovereenkomsten zie je het terug komen: de verwerkingsverantwoordelijke heeft het recht om te controleren of de verwerker zijn verplichtingen nakomt, ten aanzien van de verwerking van persoonsgegevens. Wat betekent dit precies en hoe controleer je dat als verwerkingsverantwoordelijke?
Een afnemer (verwerkingsverantwoordelijke) en leverancier (verwerker) die persoonsgegevens uitwisselen zijn verplicht om afspraken te maken over de verwerking van persoonsgegevens. Deze afspraken worden meestal vormgegeven in een verwerkersovereenkomst. Een aantal onderwerpen zijn wettelijk verplicht om hierin op te nemen. Een van de verplichte afspraken is een verplichting voor de verwerker om alle informatie die nodig is om nakoming van de afspraken uit de verwerkersovereenkomst te kunnen aantonen, aan de verwerkingsverantwoordelijke beschikbaar te kunnen stellen. Daarbij moet de verwerker de verwerkingsverantwoordelijke de mogelijkheid geven om audits uit te (laten) voeren bij verwerker.
De achtergrond van deze verplichting ligt in het feit dat het verwerkingsverantwoordelijken enkel is toegestaan om een bepaalde verwerker in te schakelen, wanneer door de verwerker voldoende garanties worden geboden op het gebied van deskundigheid, betrouwbaarheid en passende (beveiligings)maatregelen. Om hier zekerheid over te krijgen heeft een verwerkingsverantwoordelijke het recht om zo’n controle uit te voeren.
In de verwerkersovereenkomst dient op basis van de AVG minimaal ten aanzien van het auditrecht te worden afgesproken dat:
“De verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikelneergelegde verplichtingenaan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.”
Het artikel over de verplichting om audits toe te staan kan in de verwerkersovereenkomst ruimer zijn omschreven dan de AVG als minimum verplicht stelt. Denk aan een bepaling als:
“De verwerkingsverantwoordelijke heeft te allen tijde het recht toe te (laten) zien op de naleving van de onderhavige verwerkersovereenkomst en de regels uit de AVG door de verwerker.”
Een op deze manier beschreven auditrecht is erg breed en zorgt ervoor dat de verwerkingsverantwoordelijke de hele organisatie door mag, om te controleren of de verwerker voldoet aan álle regels in zowel de verwerkersovereenkomst als de AVG. Voor veel verwerkers zal dit niet wenselijk zijn. Het is daarom verstandig om in de onderhandelingen goed te kijken naar de formulering van het auditrecht. Maak bijvoorbeeld een beperking ten aanzien van de frequentie van audits en de omvang van de audit.
Kijk ook altijd goed naar de kosten voor de audit. Als een derde partij mag worden ingeschakeld voor het uitvoeren van de audit, wie betaalt die derde partij dan? En als een volledige bedrijfsaudit mogelijk is, wie betaalt dan de tijd van de werknemers die hier voor beschikbaar moeten zijn? Hierover ben je vrij om afspraken te maken in het auditartikel in de verwerkersovereenkomst.
Onder een audit wordt volgens het Nederlandse woordenboek verstaan: een kritisch onderzoek naar de bedrijfsvoering. Het artikel in de AVG stelt dat onder deze audits ook inspecties worden verstaan. Inspectie is volgens datzelfde woordenboek: toezicht, controle of keuring. Letterlijk betekent dit dus dat je als verwerkingsverantwoordelijke de mogelijkheid hebt om de bedrijfsvoering van verwerker te (laten) controleren, om te kunnen vaststellen of de verwerker de verplichtingen, zoals opgenomen in de verwerkersovereenkomst, nakomt.
Het opschrijven van het recht om een audit uit te (laten) voeren is nog maar het begin. De vervolgstap die hier logischerwijs aan vast hangt, is het gebruik maken van dit recht. In de praktijk zien wij nog niet veel bedrijven die al gebruik hebben gemaakt van dit recht. Zonder gebruik te maken van dit recht kan een verwerkingsverantwoordelijken niet onderbouwd vaststellen of hij de verwerking van persoonsgegevens aan die specifieke verwerker toevertrouwt. Maar hoe voer je een verwerkersovereenkomst-audit praktisch uit?
Er zijn allerlei manieren te bedenken om te controleren of een verwerker zich aan de regels houdt. Denk bijvoorbeeld aan het:
Volgens de AVG mag de functionaris voor de gegevensbescherming (FG) van de verwerkingsverantwoordelijke de audit uitvoeren. Voordeel hiervan is dat de FG exact weet wat de afspraken zijn en hoe de verwerkingsverantwoordelijke wenst dat verwerkers met persoonsgegevens omgaan. Nadeel hiervan is dat het een FG veel tijd kost en dat een verwerker tegenover de verwerkingsverantwoordelijke niet altijd even open zal zijn over de werkwijzen en over gevoelige bedrijfsgegevens.
Daarnaast is het mogelijk om een derde de audit uit te laten voeren. Voordeel hiervan is dat, wanneer gekozen wordt voor een onafhankelijke derde, geen waardeoordeel wordt gegeven aan de uitkomst van de audit, anders dan een toets of de praktijk overeenkomt met wat juridisch tussen partijen is overeengekomen. De auditor kan een rapport opstellen met aanbevelingen, waarna de verwerker en de verwerkingsverantwoordelijke afspraken kunnen maken ten aanzien van de opvolging daarvan.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.