Risico’s
Is er geen verwerkersovereenkomst gesloten, dan loopt het verwerkingsverantwoordelijke bedrijf de volgende risico’s:
- Reputatieschade (‘de onderneming die zijn zaakjes niet voor elkaar heeft’)
- Een boete van de Autoriteit Persoonsgegevens
- Claims van medewerkers of klanten (als het bedrijf niet kan aangeven door welke verwerker de persoonsgegevens zijn verwerkt)
Nu praktisch
Hoe weet een organisatie dat de ingeschakelde verwerkers inderdaad passende technische en organisatorische maatregelen treffen? En dat zij daarmee tijdig over een eventueel datalek informeren? Of dat zij voldoen aan de overige wettelijke vereisten die aan gesloten verwerkersovereenkomsten gesteld worden? Een verwerkersovereenkomst is snel opgesteld (vaak standaard) en getekend, maar welke zekerheid heeft een organisatie dat het goed zit?
Periodieke toetsing
Als een verwerker kan voorzien in de hiervoor genoemde schriftelijke verklaringen en waarborgen, dan kan een organisatie er in beginsel vanuit gaan dat de verwerking van persoonsgegevens bij hem in goede handen is. Daarom is het opnemen van het recht tot periodieke toetsing (max eens per jaar) dé manier om er zeker van te zijn dat een verwerker de AVG serieus neemt.
ISO of NEN gecertificeerd
In het geval de organisatie werkt met een ISO of NEN gecertificeerde partij, dan is het van belang dat de scope van het certificaat in lijn is met de eisen die deze organisatie aan de verwerker stelt. Eens per jaar de verlenging van dit certificaat opvragen aan de verwerker, voorkomt dat een bedrijf werkt met een verwerker die niet langer gecertificeerd is.
Privacy due diligence
Om die reden dient een organisatie in de verwerkersovereenkomst op te nemen dat het verliezen van het certificaat grondslag is voor ontbinding van het contract. Als een verwerker geen certificaten kan tonen of niet in staat is de waarborgen op papier te zetten, kan een extern onderzoek, of privacy due diligence, uitkomst bieden.
Ondersteuning nodig?
Neem vrijblijvend contact op voor toetsing van verwerkers en de met hen gesloten verwerkersovereenkomsten door middel van een privacy due diligence. Of voor hulp bij het opstellen van verwerkersovereenkomsten. Heb je een ander privacyvraagstuk? Onze privacy professionals denken graag mee over de beste oplossing voor jouw bedrijf.