Van IT-oplossingen tot DPO-diensten, boekhouding en klantenservice, de wereldwijde outsourcingsector breidt zich uit om aan de behoeften van organisaties in alle bedrijfssectoren tegemoet te komen.
Volgens een rapport van Infiniti Research zal de wereldwijde outsourcingmarkt tussen 2023 en 2027 naar verwachting met 75 – 89 miljard dollar toenemen, met een samengesteld jaarlijks groeipercentage van 6,5%.
Door uitbesteding van bepaalde processen of zelfs hele bedrijfsfuncties kunnen bedrijven zich richten op hun specialisme, wat de efficiëntie en productiviteit ten goede komt. Het is echter wel van belang om inzicht te hebben in de gevolgen en verantwoordelijkheden bij de inzet van een leverancier, met name wanneer deze toegang heeft tot persoonlijke gegevens.
Met leveranciers wordt doorgaans bedrijven bedoeld die goederen of diensten verkopen, doch in de context van de Algemene Verordening Gegevensbescherming (AVG) zijn leveranciers partners, providers en derden met toegang tot persoonlijke gegevens.
Door wetgeving op het gebied van gegevensbescherming zijn organisaties verplicht om de veiligheid van alle persoonlijke gegevens die worden verwerkt te waarborgen, waarbij niet-naleving ervan kan leiden tot reputatieschade en boetes. Het is daarom van groot belang om ervoor te zorgen dat leveranciers die worden ingezet ook voldoen aan de noodzakelijke regelgeving voor gegevensbescherming.
In deze blog leggen we het verschil uit tussen de rol van de verwerkingsverantwoordelijke en die van de verwerker en gaan we dieper in op het due diligence-proces van de leverancier, waarbij we u de benodigde stappen aanreiken voor naleving van de AVG.
Naleving AVG: verwerkingsverantwoordelijken en verwerkers
Bij het bepalen van de verschillende rollen en verantwoordelijkheidsniveaus in de omgang met persoonsgegevens maakt de AVG onderscheid tussen de termen ‘verwerkingsverantwoordelijke’ en ‘verwerker’:
- Een ‘verwerkingsverantwoordelijke’ is een persoon of organisatie die beslist hoe en waarom persoonlijke gegevens worden verzameld en gebruikt (d.w.z. een verwerkingsverantwoordelijke bepaalt de middelen en het doel van de verwerking)
- Een ’verwerker‘ is een persoon of organisatie die persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke.
De verwerkingsverantwoordelijke heeft de algehele controle over de persoonlijke gegevens die worden verwerkt en draagt daarom het hoogste niveau van verantwoordelijkheid voor naleving.
De verwerker heeft minder algehele controle over de persoonsgegevens, maar is er wel verantwoordelijk voor dat de gegevensverwerking in overeenstemming is met de instructies van de verwerkingsverantwoordelijke. Er zijn ook een aantal directe wettelijke verplichtingen voor verwerkers, waaronder het melden van een datalek aan de verwerkingsverantwoordelijke, ervoor zorgen dat passende gegevensbeveiligingsmaatregelen in werking worden gesteld en het bijhouden van een register van gegevensverwerkingsactiviteiten.
Het volgende scenario laat zien wat dit in de praktijk inhoudt:
Een zorgonderneming (de verwerkingsverantwoordelijke) verzamelt persoonsgegevens van Europese patiënten om medische diensten te verlenen. De gegevens worden opgeslagen en beheerd op een cloudopslagplatform van een derde (de verwerker) en bevatten informatie zoals namen, adressen en medische voorgeschiedenis.
In het bovenstaande voorbeeld moet de zorgonderneming ervoor zorgdragen dat alle verzamelde persoonlijke gegevens strikt overeenkomstig de AVG worden behandeld. Dit omvat de verstrekking van duidelijke privacyverklaringen, ervoor zorgen dat persoonlijke gegevens worden verwerkt op basis van een passende rechtsgrondslag en het waarborgen van de beveiliging van de gegevens, met inbegrip van eventuele verdere doorgifte van persoonlijke gegevens buiten de EU.
Voordat de zorgonderneming in zee gaat met het externe cloudopslagbedrijf, dient het de praktijken inzake gegevensbescherming van het cloudopslagbedrijf beoordelen en eventuele risico’s vast te stellen. Deze risico’s moeten worden verlaagd of beperkt voordat het cloudopslagbedrijf toegang krijgt tot persoonlijke gegevens.
Zodra de overeenkomsten zijn ondertekend, dient het cloudopslagbedrijf de instructies van de zorgonderneming op te volgen en te zorgen voor solide waarborgen. Naast andere verantwoordelijkheden moet het cloudopslagbedrijf in het ongelukkige geval van een datalek de zorgonderneming onmiddellijk op de hoogte stellen, liefst binnen een zodanig tijdsbestek dat de verwerkingsverantwoordelijke in staat wordt gesteld om eventuele risico’s voor de betrokkenen te beperken. In contractsbepalingen kom je vaak “binnen 48 uur na het bekend worden van de inbreuk” tegen, doch dit dient per geval te worden beoordeeld.
Het is van belang op te merken dat de AVG verwerkingsverantwoordelijken slechts maximaal 72 uur na het bekend worden van een inbreuk in verband met persoonsgegevens de tijd geeft om de inbreuk te melden aan de betreffende regelgevende instantie. Indien de inbreuk waarschijnlijk leidt tot een hoog risico op negatieve gevolgen voor de rechten en vrijheden van personen, dient de verwerkingsverantwoordelijke deze personen tevens te informeren.
Vendor due diligence is van essentieel belang voor verwerkingsverantwoordelijken
Op grond van artikel 28, lid 1 van de AVG zijn verwerkingsverantwoordelijken verplicht om ervoor te zorgen dat verwerkers voldoende waarborgen bieden dat hun gegevensverwerking voldoet aan de vereisten van de AVG en de rechten van betrokkenen waarborgt.
Dit betekent dat je als verwerkingsverantwoordelijke de verantwoordelijkheid draagt om de gegevens van je klant te beschermen tegen extra risico’s wanneer je in zee gaat met een specifieke leverancier. Het is daarom van cruciaal belang om te beoordelen of de leverancier betrouwbaar is bij het beheer van de gegevens en de wetgeving inzake gegevensbescherming strikt naleeft.
Daarnaast moet je er zeker van zijn dat een leverancier je eigen systemen en gegevens niet in gevaar brengt, met name in situaties waar sprake is van integratie met of koppeling van systemen.
Een effectief due diligence-proces dient een beoordeling te omvatten van het beleid en het procedurele kader, de operationele infrastructuur en de gegevensbeveiligingsmaatregelen van de leverancier. Risico’s kunnen worden vastgesteld en beperkt zodat persoonsgegevens worden verwerkt overeenkomstig de normen van de verwerkingsverantwoordelijke en de AVG-vereisten.
Een due diligence-proces wordt doorgaans gestart met het opstellen van een vragenlijst en dient de volgende 5 stappen te omvatten:
Stap 1: Zorg ervoor dat u op de hoogte bent van de werkwijzen inzake gegevensverwerking
Een due diligence-vragenlijst dient een verzoek te bevatten om documentatie van het privacybeleid van de leverancier en eventuele vrijwillige of verplichte risicobeoordelingsdocumenten, zoals Data Protection Impact Assessments (DPIA’s) die zijn uitgevoerd voor de diensten die zij u zullen aanbieden.
De volgende belangrijke gegevens dienen te worden nagegaan:
- Hoe worden de persoonlijke gegevens verzameld?
- Waar worden de gegevens opgeslagen?
- Wie heeft toegang tot de gegevens?
- Zijn er subverwerkers en zo ja, hoe gaan zij met de gegevens om? Subverwerkers zijn door de verwerker ingehuurde derden die mogelijk toegang hebben tot de persoonsgegevens.
- Hoe lang worden de gegevens bewaard? De AVG verplicht organisaties gegevens niet langer te bewaren dan nodig is voor de doeleinden waarvoor ze worden bewaard.
- Zijn certificeringen voor handen, zoals Cyber Essentials Plus, ISO9001 of ISO27001/701? Hiermee wordt aangegeven dat ze zich inzetten om de juiste werkwijze in de hele organisatie in te voeren.
Stap 2: Beoordeel het beleid en de procedures
De volgende belangrijke stap is het beoordelen van het beleid en de procedures voor gegevensbescherming van de leverancier om er zeker van te zijn dat deze in de basis gelijkwaardig zijn aan uw normen.
Deze moeten ten minste omvatten:
- Privacybeleid en privacyverklaring
- Reactieprocedure datalekken
- DSAR-procedure (Data Subject Access Request)
- Procedures voor het delen van gegevens
- Trainingsprogramma’s voor gegevensbescherming voor werknemers
De leverancier moet aantonen dat er geschikte controlemaatregelen in werking zijn gesteld in verband met de gegevensverwerking, ook voor eventuele subverwerkers. Hij dient ook aan te tonen dat hij zich inzet om deze controlemaatregelen te handhaven door middel van regelmatige audits en beoordelingen.
Stap 3: Beoordeel de technische beveiligingsmaatregelen
Het is belangrijk om ervoor te zorgen dat er technische waarborgen voor handen zijn om persoonlijke gegevens te beschermen tegen ongeoorloofde toegang, wijziging, openbaarmaking of vernietiging.
Deze beveiligingsmaatregelen kunnen maatregelen omvatten zoals:
- Versleuteling: Een methode om gegevens om te zetten in een code om ongeoorloofde toegang te voorkomen.
- Toegangscontrole: Beveiligingsmaatregelen waarmee gebruikers worden geïdentificeerd en hun toegang tot gegevens en bronnen worden gecontroleerd
- Firewalls: Netwerkbeveiligingssystemen voor het bewaken en regelen van inkomend en uitgaand netwerkverkeer op basis van vooraf bepaalde beveiligingsregels
- Inbraakdetectiesystemen (IDS): apparaten of softwaretoepassingen die schadelijke activiteiten detecteren
- SIEM-systemen (Security Incident and Event Management): Een tool die real-timeanalyse biedt van beveiligingswaarschuwingen die worden gegenereerd door applicaties en netwerkhardware
- Regelmatige beveiligingsaudits: Systemische evaluaties van IT-systemen om te meten op welk niveau ze voldoen aan een reeks vastgestelde criteria.
Stap 4: Onderzoek de controlemaatregelen en processen voor internationale doorgifte van gegevens
Als persoonsgegevens buiten de EER en/of het VK worden bewaard, dient de verwerker aan te tonen dat er een geschikt internationaal overdrachtssysteem beschikbaar is.
In de praktijk betekent dit dat de overeenkomst de verwerker verplicht om passende doorgifteovereenkomsten in te voeren voor hun eigen doorgifte en eventuele verdere doorgifte door hun subverwerkers.
In veel gevallen kan het nodig zijn om Standaard Contractsbepalingen (Standard Contractual Clauses) of een van de andere geschikte methoden ingevolge de AVG in te voeren.
Ook hier geldt dat als de gegevens zijn aangemerkt als gegevens met een hoog risico, het bewijs van een DPIA dient te worden bijgevoegd.
Lees: Standaard Contractsbepalingen (Standard Contractual Clauses – SCC’s) voor doorgifte van gegevens
Stap 5: Beperk risico’s en stel een gegevensverwerkersovereenkomst (DPA (Data Processor Agreement)) op
In het geval er tijdens het beoordelingsproces risico’s zijn vastgesteld, dient de leverancier deze aan te pakken voordat er verder wordt gegaan.
Als het netwerk van de leverancier bijvoorbeeld niet voorziet in waarschuwingen voor verdachte activiteiten of inbraken, dan kunnen systeemwaarschuwingen worden ingesteld en naar u worden teruggekoppeld.
De laatste stap is het opstellen van een Data Processor Agreement (DPA), die deze belangrijke gegevens dient te bevatten:
- Algemene informatie – de aard van de gegevensverwerking, de duur, de categorie persoonsgegevens en de AVG-verplichtingen en verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker
- Beveiligingsmaatregelen – de beveiligingsprocessen en -controlemaatregelen die van de verwerker worden verwacht
- Subverwerkers – de bepaling of subverwerkers al dan niet zijn toegestaan en zo ja, onder welke voorwaarden.
- Kennisgeving van inbreuken – de vermelding dat de verwerker in geval van een inbreuk op de gegevens de verwerkingsverantwoordelijke daarvan onverwijld op de hoogte moet stellen.
- Audits en inspecties – de verwerkingsverantwoordelijke dient zich te verzekeren van het recht om audits en inspecties uit te voeren teneinde voortdurende naleving van de AVG te waarborgen.
- Bepalingen inzake einde overeenkomst – in de overeenkomst dient te worden vermeld wat er met de persoonsgegevens gebeurt aan het einde van de overeenkomst. De gegevens kunnen bijvoorbeeld worden verwijderd of teruggegeven aan de verwerkingsverantwoordelijke.
- Aansprakelijkheid en schadeloosstelling – verwerkingsverantwoordelijken dienen hun positie te beschermen door van verwerkers te verlangen dat ze worden gevrijwaard van alle kosten, vorderingen, schade en uitgaven die ze door hun handelingen oplopen. Het is van belang op te merken dat verwerkingsverantwoordelijken een onbeperkte aansprakelijkheid wensen, terwijl verwerkers moeten vasthouden aan beperking van aansprakelijkheid.
Download onze AVG Policy Toolkit voor een DPA-sjabloon
Samenvatting
De uitvoering van due diligence op leveranciers is van essentieel belang voor het beoordelen en beperken van risico’s en het waarborgen van naleving van de AVG. Door deze procedure ontstaat een grondige beoordeling van de operationele procedures en gegevensbeschermingswaarborgen van een leverancier voordat een overeenkomst op contractbasis wordt aangegaan.
Een uitgebreide due diligence-procedure dient een vragenlijst te omvatten met de vijf belangrijkste stappen voor de beoordeling van de gegevensverwerkingspraktijken, het beleid en de procedures van een leverancier, technische beveiligingsmaatregelen en eventuele internationale controles en processen voor de doorgifte van gegevens. De laatste stap is het beperken van eventuele risico’s voordat er een gegevensverwerkingsovereenkomst (DPA) wordt opgesteld.
Deze stappen kunnen ook worden gevolgd voor bestaande leveranciers of uitbestede diensten, hoewel het raadzaam is om een prekwalificatie-risicobeoordeling uit te voeren. De meeste organisaties hebben veel leveranciers en het zou te veel tijd kosten om ze allemaal te beoordelen. In dat geval is een voorafgaande beoordeling nuttig om te bepalen welke leveranciers verder moeten worden onderzocht op basis van bepaalde criteria, zoals AVG-relevantie, risiconiveau en de aard van de gegevens die worden verwerkt.
Als u hulp nodig heeft bij de AVG-compliance of overweegt om diensten voor gegevensbescherming uit te besteden, neem dan contact op door onderstaand formulier in te vullen.
