Wat iedereen vergeet na het afsluiten van een verwerkersovereenkomst

“Wat iedereen vergeet na het afsluiten van een verwerkersovereenkomst”

Uw organisatie heeft uw primair systeem, uw webshop, uw website en/of andere systemen uitbesteed aan derde partijen. Verwerken die systemen persoonsgegevens dan komt de AVG in beeld. De AVG verplicht u een verwerkersovereenkomst af te sluiten met elke derde partij (verwerker) die in uw opdracht persoonsgegevens verwerkt. Heeft u die dan is dat prima. Toch?

Maar de AVG schrijft meer voor!

Er is sprake van een ketenaansprakelijkheid. U blijft verantwoordelijk voor de verwerking ook al is deze uitbesteed. Als de verwerker (of een door hem ingeschakelde sub-verwerker) een “steekje” laat vallen, blijft u de verantwoordelijke.

Er is een omgekeerde bewijslast. U moet kunnen aantonen dat u zelf en uw verwerker en sub-verwerkers in de gehele keten de AVG naleven. Vergelijk dit maar met de (gelukkig niet bestaande) eis dat alle keren dat je in de bebouwde kom hebt gereden je moet kunnen aantonen dat je toen niet harder dan 50 reed. Hoe doe je dat? Dan is op zijn minst informatie nodig van je voertuig. De autofabrikant moet er rekening mee hebben gehouden om die informatie te verzamelen en te kunnen weergeven.

Terug naar de verwerkersovereenkomst. 

Om als organisatie aan te kunnen tonen dat de AVG wordt nageleefd is derhalve ook informatie nodig van verwerkers over hoe zij de AVG naleven. En die verwerkers moeten op hun beurt weer informatie hebben van de door hen ingeschakelde sub-verwerkers. Op die manier kan invulling worden gegeven aan de keten-verantwoordelijkheid. Het is derhalve belangrijk dat uw organisatie zichzelf ervan overtuigt dat uw verwerkers ten aanzien van persoonsgegevens in control zijn en de AVG naleven. Dat kan alleen als uw verwerkers hierover informatie verstrekken aan u.

Er zijn verschillende manieren om informatie te verkrijgen van de verwerker. Dat kan door de verwerker een “eigen” verklaring te laten opstellen, bij de verwerker een audit laten uitvoeren door een onafhankelijke deskundige (duur en tijdrovend) of de verwerker een vragenlijst toesturen die hij moet beantwoorden. Daarnaast moeten de rapportages van de verwerkers beoordeeld worden. Weet u waarop te letten om zeker te zijn dat de AVG wordt nageleefd? In alle gevallen moet de verwerker aan u voldoende informatie verstrekken die u comfort geven over de uitbestede verwerking(en). En dat tenminste één keer per jaar. Staat dat in uw verwerkersovereenkomst? En is uw organisatie in staat de rapportages van verwerkers op hun merites te beoordelen?