Volgens de AVG moet u op ieder moment kunnen aantonen dat u de wet naleeft. Ook als u de verwerking van persoonsgegevens heeft uitbesteed aan een derde partij. In de verwerkersovereenkomst wordt dan ook vaak het recht op de uitvoering van audits geregeld. Hoe ziet dat recht er precies uit en belangrijker nog: wat zijn de aandachtspunten?
Controle op naleving via audits
In een verwerkersovereenkomst leggen de verwerkingsverantwoordelijke organisatie en de verwerker (bijvoorbeeld IT-leverancier) vast hoe ze omgaan met persoonsgegevens. De verwerkingsverantwoordelijke is daarbij eindverantwoordelijk voor de omgang met persoonsgegevens in de keten en kan aansprakelijk worden gesteld voor onrechtmatig handelen van een (sub)verwerker.
Het is dus belangrijk dat de verwerker gecontroleerd wordt op het naleven van de afspraken uit de verwerkersovereenkomst. Een audit biedt dan uitkomst.
Dit zegt de AVG over het auditrecht
De AVG biedt verwerkingsverantwoordelijken een auditrecht. In artikel 28 van de AVG staat hierover het volgende te lezen: “de verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.”
Een verwerkingsverantwoordelijke doet er goed aan gebruik te maken van dit recht, gezien het feit dat hij zowel eindverantwoordelijk is als aansprakelijk gesteld kan worden bij onrechtmatig handelen van de verwerker.
6 aandachtspunten uitwerking auditrecht in verwerkersovereenkomsten
Hoewel de AVG aangeeft dat de verwerker mee moet werken aan audits, laat het de verdere invulling ervan vrij. Het is daarom belangrijk om het auditrecht verder uit te werken in de verwerkersovereenkomst.
Zo zal een verwerker niet willen dat een verwerkingsverantwoordelijke te pas en te onpas inspecties komt uitvoeren bij zijn bedrijf. Daarnaast zullen partijen onderling afspraken willen maken over de kosten en de uitkomst van audits.
Hieronder bespreken we de belangrijkste aandachtspunten voor het opnemen van het recht op audits in de verwerkersovereenkomst.
1. Vooraankondiging gewenst
Voor een verwerker is het wel zo prettig als hij vooraf op de hoogte wordt gesteld van een aankomende audit. In de verwerkersovereenkomst kan daarom een bepaling worden opgenomen in de trant van:
“Verwerkingsverantwoordelijke zal de audit vooraf, met inachtneming van een termijn van minimaal twee weken, aankondigen aan verwerker.”
Op die manier kan de verwerker zich voorbereiden op de audit en hiervoor tijdig mensen en middelen vrij maken.
2. Auditkosten
In een verwerkersovereenkomst legt u vast wie de audit betaalt. Hierin is er geen goed of fout. Zowel de verwerker als de verwerkingsverantwoordelijke kan voor alle kosten opdraaien, maar de kosten kunnen ook eerlijk verdeeld worden over beide partijen.
Andere varianten zijn ook denkbaar. Denk aan een bepaling waarbij de verwerkingsverantwoordelijke betaalt voor de audit, tenzij deze audit aantoont dat de verwerker in strijd handelt met de verwerkersovereenkomst. In dat geval draait de verwerker voor de kosten op.
Houd als verwerker ook rekening met eventuele bijkomende kosten van een audit, zoals de uren die medewerkers kwijt zijn aan inspecties en controles.
3. Uitvoering van de audit
De audit mag door de verwerkingsverantwoordelijke zelf worden uitgevoerd, maar dit kan ook door een onafhankelijke, derde partij worden gedaan. Ook hierover kunnen de verwerkingsverantwoordelijke en de verwerker samen afspraken maken.
Een verwerker zal overigens eerder de voorkeur geven aan een onafhankelijke, derde partij, omdat deze niet bevooroordeeld is en geen baat heeft bij de uitkomst van het onderzoek.
4. Uitkomst inspectie verwerken
Het is verstandig om vooraf vast te leggen wat er gedaan wordt met de uitkomsten van een audit. Moeten deze verplicht opgevolgd worden door de verwerker? Mag hij dit naar eigen inzicht doen? Of verloopt de beoordeling in onderling overleg, waarbij ook de actiepunten gezamenlijk worden opgepakt?
Om te voorkomen dat de resultaten in een la belanden, doen partijen er goed aan een bepaling over de vervolgstappen na de uitkomsten van audits in de verwerkersovereenkomst op te nemen.
5. Periodieke audits overeenkomen
Het is mogelijk om een periodieke audit overeen te komen in de verwerkersovereenkomst. Zeker bij de verwerking van gevoelige persoonsgegevens is dit aan te bevelen. In dat geval kunnen partijen bijvoorbeeld overeenkomen dat er in ieder geval jaarlijks een audit bij de verwerkende partij plaatsvindt.
6. Vergeet de subverwerkers niet
Verwerkers kunnen zelf weer verwerkers inschakelen. Deze zogenaamde subverwerkers vallen ook onder de verantwoordelijkheid van de verwerkingsverantwoordelijke.
Volgens de AVG moet een subverwerker minimaal hetzelfde niveau van gegevensbescherming bieden als de verwerker. Hierover maken verwerker en subverwerker samen bindende afspraken. Bijvoorbeeld in de vorm van een (sub)verwerkersovereenkomst.
Als u verwerkingsverantwoordelijke bent, moet u ervoor zorgen dat er ook bij eventuele subverwerkers controles op de naleving van de AVG worden uitgevoerd. Check daarvoor de afspraken die de verwerker en subverwerker hierover hebben gemaakt.
Zeker weten dat u niks mist?
Abonneert u zich dan nu op onze maandelijkse nieuwsbrief. U ontvangt al onze blogs dan automatisch 1 keer per maand in uw mailbox.