Waar dient de verwerkersovereenkomst ook alweer voor?

In een verwerkersovereenkomst moet worden omschreven wat de exacte afspraken over de verwerking van persoonsgegevens zijn. Een verwerkingsverantwoordelijke is altijd zelf verantwoordelijk voor de bescherming van “zijn” persoonsgegevens. De werkzaamheden worden wel uitbesteed, maar de bijbehorende verantwoordelijkheid voor AVG-compliance niet. Bij een incident kan de verwerker wel aansprakelijk worden gesteld, maar dat kan natuurlijk beter worden voorkomen. Krantenkoppen en boetes komen namelijk wel altijd eerst op het conto van de verantwoordelijke partij.

Een verwerkersovereenkomst moet beschrijven welke gegevens worden verwerkt door een leverancier en met welk doel, maar moet ook beschrijven op welke manier de beveiliging van de gegevens is gewaarborgd. Hierin ligt de grootste uitdaging. Hoe weet u hoe het is gesteld met de ICT Security bij een verwerker aan wie u uw data toevertrouwt? Hoe wordt u hierover geïnformeerd? En hoe weet u of u die informatie kunt vertrouwen?

(Niet) aantoonbare beveiliging

Als een verwerker niet kan aantonen dat de beveiliging van gegevens is gewaarborgd, wil je dan überhaupt wel met deze samenwerken? Vaak is het antwoord toch nog ja. In goed vertrouwen…
Maar met welke gevolgen als het toch mis gaat? Naast de kans op een boete in ieder geval een flinke deuk in de reputatie van de opdrachtgever en mogelijk de verwerker. Maar ook schade aan het vertrouwen van andere zakelijke relaties, iets wat vaak minder goed meetbaar is.

Maar hoe moet het dan wel?

Naar ons idee moet het initiatief komen vanuit, of desnoods worden neergelegd bij de verwerkers omdat:

  • verwerkers zich verantwoordelijk moeten voelen voor de eigen informatiebeveiliging;
  • verwerkers geen reputatieschade willen oplopen als het mis gaat;
  • verwerkers geen klanten willen kwijtraken, doordat ze niet kunnen aantonen dat er met een gerust hart zaken gedaan kan worden met hen;
  • verwerkers het al druk genoeg hebben om ook nog eens in opdracht van hun klanten een grote hoeveelheid vragenlijsten te moeten invullen of een diversiteit aan verschillende audits te moeten doorlopen over de status van hun informatiebeveiliging.

Genoeg redenen voor verwerkers om met hun ICT Security aan de slag te gaan.

Adviesaanpak voor verwerkers

We willen niet zeggen dat verwerkers direct ISO-gecertificeerd moeten worden. Wel moeten ze kunnen aantonen dat er sprake is van een afdoende security-regime, met een bij de organisatie passend informatiebeveiligingsbeleid met een juiste balans tussen investeringen en risico’s:

  • Neem afdoende beheersmaatregelen, gebaseerd op een beschreven informatiebeveiligingsbeleid. Hiermee wordt gezorgd dat het risico op incidenten acceptabel wordt en kan zowel aan de interne organisatie als aan opdrachtgevers getoond worden hoe er over ICT Security wordt nagedacht;
  • Controleer continue of de aanwezige beheersmaatregelen effectief genoeg zijn, of ze aangescherpt moeten worden of dat er nog maatregelen bij moeten komen. Door dit proces en de resultaten van interne controles vast te leggen, kan een verwerker laten zien dat hij ‘in control’ is en daarom grip heeft op zijn informatiebeveiliging;
  • Laat een externe audit uitvoeren. Niet een audit in opdracht van een klant, maar op eigen initiatief. Door een derde partij, die onafhankelijk verslag legt over hoe het ervoor staat en met een onafhankelijke verklaring (een Third Party Memorandum) het bewijs levert aan opdrachtgevers en andere belanghebbenden zoals de Autoriteit Persoonsgegevens, dat de ICT Security als compliant is beoordeeld.

Veilig en vertrouwd samenwerken

Door een verwerker naar het informatiebeveiligingsbeleid en een Third Party Memorandum te vragen en deze als bijlage te voegen bij de verwerkersovereenkomst, heeft een dataverantwoordelijke aantoonbaar bewijs dat de beveiliging van zijn gegevens gewaarborgd is. Dat is een stuk zekerder en prettiger zaken doen!

Auteur: Michael Bijtenhoorn, directeur-eigenaar van The Trusted Third Party (TT3P)