Houden uw leveranciers zich aan wet- en regelgeving?

De DMCC Leveranciersaudit geeft u inzicht in naleving van wet- en regelgeving door deze leveranciers

Organisaties leggen hun wettelijke verplichtingen op aan de door hen ingeschakelde leveranciers. Wij controleren de naleving van toepasselijke wet- en regelgeving door die leveranciers. Onze auditors controleren compliance in bedrijfsprocessen die gericht zijn op commercieel datagebruik. Denk daarbij aan CRM en databasemanagement, fulfilment en de inzet van marketingkanalen voor het benaderen van potentiële en bestaande klanten. Bent u benieuwd of een leveranciersaudit geschikt is voor u?

Neem contact met ons op.

Wat is een leveranciersaudit?

Een leveranciersaudit geeft u inzicht in de naleving van wet- en regelgeving door de door u ingeschakelde leveranciers. Met deze onafhankelijke audit geven onze klanten invulling aan het begrip ketenaansprakelijkheid en kunnen ze waarborgen dat de verwerking in overeenstemming met toepasselijke wet- en regelgeving wordt uitgevoerd.

Hoe wordt een leveranciersaudit uitgevoerd door DMCC?

DMCC onderzoekt naleving van wet- en regelgeving in de bedrijfsprocessen die gericht zijn op commercieel datagebruik door het uitvoeren van compliance audits. Met een audit op locatie bij de leveranciers en door het analyseren van de aangeleverde documentatie wordt onderzocht:

  • Of een leverancier aantoonbaar beheersmaatregelen heeft getroffen om compliance onderdeel te laten uitmaken van de bedrijfsprocessen (good governance); en
  • Of en hoe de concrete dienst voldoet aan de toepasselijke wet- en regelgeving en contractuele afspraken (compliance).

Tijdens de audit zullen bijvoorbeeld de volgende onderwerpen aan de orde komen:

  • Configuratie processen: zijn de configuratieprocessen voor de specifieke dienstverlening aanwezig en aantoonbaar?
  • Compliance beleid: is binnen de organisatie duidelijk welke regels van toepassing zijn op het gebied van privacy en consumentenrechten? Is dit omschreven in een compliance of privacybeleid?
  • Is er sprake van adequaat incidentenmanagement en een escalatieprocedure?
  • Governance: is compliance binnen de organisatie belegd? Zijn alle procedures beschreven en worden er interne controles uitgevoerd?
  • Informatiebeveiliging: voldoet de beveiliging van persoonsgegevens aan de eisen die de toezichthouder stelt?
  • Privacy: worden gegevens integer en vertrouwelijk behandeld binnen de organisatie?
  • Vertrouwen, geheimhouding en integriteit: is er een geheimhoudingsplicht voor medewerkers ten aanzien van vertrouwelijke informatie van de opdrachtgever en zijn er afspraken over integer handelen?

 

Is een leveranciersaudit verplicht?

Op grond van Artikel 24 van de Algemene Verordening Gegevensbescherming (AVG) is een organisatie verplicht tot het nemen van passende maatregelen om te waarborgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met toepasselijke wet- en regelgeving wordt uitgevoerd. Een leveranciersaudit is een manier om invulling te geven aan deze verplichting.

Voor welke organisaties is een leveranciersaudit handig?

Een leveranciersaudit is een must voor iedere organisatie die leveranciers inschakelt voor bepaalde bedrijfsprocessen waar persoonsgegevens verwerkt worden. Want hoewel de leverancier niet onder direct gezag staat van de opdrachtgever, blijft de opdrachtgever wel verantwoordelijk voor de naleving van wet- en regelgeving. Ketenaansprakelijkheid heet dat. Om te controleren of leveranciers zich houden aan afspraken, bijvoorbeeld uit een opdracht- of een verwerkersovereenkomst, is een leveranciersaudit het middel.

 

Ik heb de uitkomsten van de leveranciersaudit ontvangen, wat nu?

Aan de hand van de gerapporteerde verbeterpunten, adviseert DMCC dat een organisatie prioriteiten aanbrengt in de voorgestelde verbeterpunten. De onderverdeling in aard van de controles helpen hierbij. De verbeteringen moeten zowel in kwantiteit als in tijd haalbaar zijn. Kies bijvoorbeeld vijf kritische punten en geef aan binnen hoeveel maanden u verbetering wilt. Kijk eveneens of er sprake is van zogenaamde ‘quick wins’: verbeteringen die vrij eenvoudig door te voeren zijn.

 

Benieuwd of uw leveranciers wet- en regelgeving voldoende naleven?

Wilt u ook weten hoe het staat met de naleving van wet- en regelgeving bij uw leveranciers? Dan nodigen wij u uit voor een kennismakingsgesprek om de mogelijkheden bij ons door te nemen. Vul ons contactformulier in of vraag een gratis consult aan. 

Wij werken o.a. voor:

DMCC snapt privacy en marketing. Ze weten wat niet mag, en kijken naar wat er wél kan. Met onze DPO kunnen we flexibel gebruik maken van deze expertise.

Decathlon Nederland
Plaatje of logo voor Decathlon Nederland
Ik werk al bijna 10 jaar met DMCC samen. DMCC heeft ons in deze periode zeer bruikbare handvatten gegeven om onze compliance processen naar een hoger plan te tillen. Dit is en blijft een continu proces. DMCC laat zich in dit proces zien als een echte partner waar je bijna letterlijk 24 uur per dag terecht kan voor raad of voor het beantwoorden van vragen.

Goede Doelen Loterijen
Plaatje of logo voor Goede Doelen Loterijen
Onze DMCC Remote Privacy Officer is echt betrokken bij onze organisatie en helpt ons met het vinden van praktische en haalbare oplossingen voor privacy vraagstukken.

Vogelbescherming Nederland
Plaatje of logo voor Vogelbescherming Nederland
Wij zijn erg blij met de deskundige ondersteuning van DMCC op het gebied van diverse privacy vraagstukken, het kennisniveau is hoog en de aanpak pragmatisch. De intensieve samenwerking met een van de privacy officers - onder andere bij het opstellen van een Data Protection Impact Assessment - hebben wij als deskundig, proactief en geïnteresseerd ervaren. Ook werden de vaak abstracte regels in business taal uitgelegd. Een aanrader!

Independer
Plaatje of logo voor Independer
Hele prettige samenwerking waarin veel ruimte is voor onze specifieke wensen, zoals reports en inzichten. Een ervaren sparringpartner die meedenkt om de next step te maken en ons proactief informeert over veranderingen in wet- en regelgeving. En altijd bereid en bereikbaar voor inhoudelijke vragen. Grote passie voor het vak, de branche en de klant.

Vattenfall
Plaatje of logo voor Vattenfall
DMCC weet privacy leuk te maken. Door met veel enthousiasme en praktijkvoorbeelden de materie in normale mensentaal uit te leggen. Leontien en haar collega’s komen altijd hun afspraken na en doen dit op een persoonlijke en doortastende wijze

Nationaal Jeugdfonds Jantje Beton
Plaatje of logo voor Nationaal Jeugdfonds Jantje Beton

Meer weten over dit onderwerp?

Dit schreven wij over Houden uw leveranciers zich aan wet- en regelgeving?

Bekijk alle berichten

Wilt u dit nieuws maandelijks in uw postvak?