De AVG verplicht u om de privacywetgeving aantoonbaar na te leven. Dit geldt ook als u de verwerking van persoonsgegevens uitbesteedt. Daarom is het auditrecht ook vastgelegd in de privacywet. In de praktijk zien we echter dat AVG-audits weinig worden uitgevoerd. Te duur, te veel gedoe en dus kiezen veel partijen voor de makkelijkste weg: een vragenlijst opsturen. Is dat eigenlijk wel AVG-proof?
Audit als standaard onderwerp in de verwerkersovereenkomst
Als verwerkingsverantwoordelijke moet u de AVG aantoonbaar naleven. Ook als u verwerkers inschakelt, houdt u deze verantwoordelijkheid. De AVG ondersteunt u hierin.
De privacywet schrijft voor dat de verwerkersovereenkomst een verplichting inhoudt, die de verwerker ertoe verplicht alle informatie ter beschikking te stellen die nodig is om de nakoming van de in de verwerkersovereenkomst neergelegde verplichtingen aan te tonen.
Daarnaast moet de verwerker audits (inspecties) door de verwerkingsverantwoordelijke of door een gemachtigde auditor mogelijk maken en eraan bijdragen.
So far, so good.
Want hoewel het auditrecht standaard in verwerkersovereenkomsten wordt opgenomen, zien we dat verwerkingsverantwoordelijken in de praktijk weinig tot geen gebruikmaken van dit recht.
De vraag die dan rijst: hoe kunt u aantonen dat u AVG-proof bent als de Autoriteit Persoonsgegevens bij u op de stoep staat?
Risicoclassificatie voor AVG-audits
Op dit moment wordt het naleven van de AVG-verplichtingen uit de verwerkersovereenkomst door verwerkers vaak gecontroleerd door middel van een vragenlijst. De verwerkers vullen deze zelf in en voeren dus eigenlijk een ‘self check’ uit. De ingevulde vragenlijst is voor de verwerkingsverantwoordelijke in zoverre het bewijs dat er een controle is uitgevoerd.
Hoewel dit praktisch zeker van waarde is, zal het niet altijd voldoende zijn.
Als u kiest voor deze methode, dan is het essentieel dat u tenminste risicoclassificatie toepast en een beoordeling doet. Zo nodig voert u nader onderzoek uit op basis van de ingevulde vragenlijst. Moet u mogelijk andere instrumenten uit de kast halen om de partij in kwestie te controleren?
Let daarbij op mogelijke aanwijzingen van nalatigheid of andere rode vlaggen. Is er bijvoorbeeld een datalek geweest en heeft u niet echt zicht op de wijze waarop deze opgelost is? Merkt u dat de communicatie over de beveiliging van persoonsgegevens stroef verloopt? Voer dan eens een uitgebreidere controle uit.
Vormen van AVG-audits
Naast de ‘self check’ zijn er meer methoden om te controleren of een verwerker de AVG naleeft. Hieronder een opsomming van een aantal andere opties.
Beoordeling van door de verwerker verstrekte of te verstrekken onderzoeken/audits die deze zelf door een externe partij heeft laten uitvoeren.
De Functionaris Gegevensbescherming (FG) van de verwerkingsverantwoordelijke voert een audit uit bij de verwerker.
De verwerkersverantwoordelijke laat de audit uitvoeren door een derde (zoals een onafhankelijke/deskundige auditor).
Verwerkers met veel klanten, doen er sowieso verstandig aan te kiezen voor de eerste methode en laten zelf jaarlijks een onafhankelijke auditor langskomen. Hiermee voorkomen ze dat al hun klanten afzonderlijk aankloppen voor een audit.
Als u als verwerkingsverantwoordelijke aanwijzingen heeft dat de verwerker niet AVG-proof handelt, dan adviseren we u te kiezen voor een audit.
Maak gebruik van uw auditrecht!
Een self check door een verwerker middels een vragenlijst is niet per definitie een slechte manier, maar het biedt u ook geen garanties. Daarom is het verstandig gebruik te maken van uw auditrecht, zeker als u aanwijzingen hebt dat een verwerker mogelijk niet AVG-proof handelt.
Meer weten over de AVG-audit? Lees ook onze blog: De aandachtspunten (6!) bij AVG-audits in de verwerkersovereenkomst.
Zeker weten dat u niks mist?
Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.