Leveranciersaudit

Houden uw leveranciers zich aan wet- en regelgeving? De DMCC Leveranciersaudit geeft u inzicht in naleving van wet- en regelgeving door deze leveranciers.

Organisaties leggen hun wettelijke verplichtingen op aan de door hen ingeschakelde leveranciers. Wij controleren de naleving van toepasselijke wet- en regelgeving door die leveranciers. Onze auditors controleren compliance in bedrijfsprocessen die gericht zijn op commercieel datagebruik. Denk daarbij aan CRM en databasemanagement, fulfilment en de inzet van marketingkanalen voor het benaderen van potentiële en bestaande klanten. Bent u benieuwd of een leveranciersaudit geschikt is voor u?

Wat is een leveranciersaudit?

Een leveranciersaudit geeft u inzicht in de naleving van wet- en regelgeving door de door u ingeschakelde leveranciers. Met deze onafhankelijke audit geven onze klanten invulling aan het begrip ketenaansprakelijkheid en kunnen ze waarborgen dat de verwerking in overeenstemming met toepasselijke wet- en regelgeving wordt uitgevoerd.

Geïnteresseerd in een audit?

Bespreek de mogelijkheden met onze experts tijdens een vrijblijvend consult

Vraag consult aan

Toelichting

Is een leveranciersaudit verplicht?

Op grond van Artikel 24 van de Algemene Verordening Gegevensbescherming (AVG) is een organisatie verplicht tot het nemen van passende maatregelen om te waarborgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met toepasselijke wet- en regelgeving wordt uitgevoerd. Een leveranciersaudit is een manier om invulling te geven aan deze verplichting.

Voor welke organisaties is een leveranciersaudit handig?

Een leveranciersaudit is een must voor iedere organisatie die leveranciers inschakelt voor bepaalde bedrijfsprocessen waar persoonsgegevens verwerkt worden. Want hoewel de leverancier niet onder direct gezag staat van de opdrachtgever, blijft de opdrachtgever wel verantwoordelijk voor de naleving van wet- en regelgeving. Ketenaansprakelijkheid heet dat. Om te controleren of leveranciers zich houden aan afspraken, bijvoorbeeld uit een opdracht- of een verwerkersovereenkomst, is een leveranciersaudit het middel.

Hoe wordt een leveranciersaudit uitgevoerd door DMCC?

DMCC onderzoekt naleving van wet- en regelgeving in de bedrijfsprocessen die gericht zijn op commercieel datagebruik door het uitvoeren van compliance audits. Met een audit op locatie bij de leveranciers en door het analyseren van de aangeleverde documentatie wordt onderzocht:

Of een leverancier aantoonbaar beheersmaatregelen heeft getroffen om compliance onderdeel te laten uitmaken van de bedrijfsprocessen (good governance); en
Of en hoe de concrete dienst voldoet aan de toepasselijke wet- en regelgeving en contractuele afspraken (compliance).

Tijdens de audit zullen bijvoorbeeld de volgende onderwerpen aan de orde komen:

Configuratie processen: zijn de configuratieprocessen voor de specifieke dienstverlening aanwezig en aantoonbaar?
Compliance beleid: is binnen de organisatie duidelijk welke regels van toepassing zijn op het gebied van privacy en consumentenrechten? Is dit omschreven in een compliance of privacybeleid?
Is er sprake van adequaat incidentenmanagement en een escalatieprocedure?
Governance: is compliance binnen de organisatie belegd? Zijn alle procedures beschreven en worden er interne controles uitgevoerd?
Informatiebeveiliging: voldoet de beveiliging van persoonsgegevens aan de eisen die de toezichthouder stelt?
Privacy: worden gegevens integer en vertrouwelijk behandeld binnen de organisatie?
Vertrouwen, geheimhouding en integriteit: is er een geheimhoudingsplicht voor medewerkers ten aanzien van vertrouwelijke informatie van de opdrachtgever en zijn er afspraken over integer handelen?

Ik heb de uitkomsten van de leveranciersaudit ontvangen, wat nu?

Aan de hand van de gerapporteerde verbeterpunten, adviseert DMCC dat een organisatie prioriteiten aanbrengt in de voorgestelde verbeterpunten. De onderverdeling in aard van de controles helpen hierbij. De verbeteringen moeten zowel in kwantiteit als in tijd haalbaar zijn. Kies bijvoorbeeld vijf kritische punten en geef aan binnen hoeveel maanden u verbetering wilt. Kijk eveneens of er sprake is van zogenaamde ‘quick wins’: verbeteringen die vrij eenvoudig door te voeren zijn.

Mag ik klanten na een online aankoop automatisch aanmelden voor de nieuwsbrief?

Ja dat kan, maar u moet wel voldoen aan een aantal voorwaarden.

Mag ik sms-donaties nabellen?

Indien er sprake is van een klantrelatie wel, u dient zich wel aan bepaalde regels te houden.