Beide beoordelingen zijn gericht op het evalueren van gegevensbeschermingsmaatregelen in landen buiten de Europese Economische Ruimte (EER) of het Verenigd Koninkrijk, maar verschillen in hun benadering. Het is belangrijk dat organisaties die internationale gegevensoverdracht uitvoeren, het verschil tussen TIA’s en TRA’s begrijpen, inclusief hun methodologieën, wanneer ze moeten worden uitgevoerd en hun juridische betekenis.

In deze blog geeft Katrina Leach, ervaren Data Protection Officer en Head of Data Protection Operations bij The DPO Centre, uitleg over TIA’s en TRA’s, wanneer ze nodig zijn en hoe bedrijven risico’s effectief kunnen beheren tijdens internationale gegevensoverdrachten.

Wat is een Transfer Impact Assessment?

Een Transfer Impact Assessment (TIA) wordt gebruikt voor het evalueren van de overdracht van persoonlijke gegevens naar landen buiten de Europese Economische Ruimte (EER). Het beoordeelt het wettelijke kader van het land van bestemming om ervoor te zorgen dat er voldoende gegevensbescherming is in overeenstemming met de AVG (Algemene verordening gegevensbescherming) van de EU.

Gegevensexporteurs die gebruikmaken van een artikel 46-overdrachtsmechanisme, zoals EU Standard Contractual Clauses (SCC’s) of Binding Corporate Rules (BCR’s), moeten een TIA doen wanneer ze persoonsgegevens doorgeven aan niet-EER-landen waarvoor geen besluit is genomen over een passend beschermingsniveau.

Wat is een Transfer Risk Assessment?

Een Transfer Risk Assessment (TRA) is de Britse versie van een TIA. Het zorgt ervoor dat landen buiten het Verenigd Koninkrijk een adequaat niveau van gegevensbescherming bieden in overeenstemming met de Britse wetgeving inzake gegevensbescherming. Een TRA richt zich specifiek op de risico’s voor de rechten en vrijheden van individuen als gevolg van de gegevensoverdracht.

Organisaties moeten een TRA doen wanneer ze gegevens buiten het VK overdragen met behulp van een International Data Transfer Agreement (IDTA), EU Standard Contractual Clauses (SCC’s) met UK Addendum, of Binding Corporate Rules (BCR’s).

Moet een organisatie een TIA of TRA doen als ze al gebruikmaakt van SCC’s of IDTA?

Ja! Overdrachtsmechanismen zoals Standard Contractual Clauses (SCC’s) worden gebruikt om een veilige internationale overdracht van gegevens makkelijker te maken, maar TIA’s en TRA’s beoordelen of deze mechanismen voldoende bescherming bieden voor persoonsgegevens tijdens de overdracht.

Volgens de EU Standard Contractual Clauses (SCC’s), Binding Corporate Rules (BCR’s), en de UK International Data Transfer Agreement (IDTA) en UK Addendum, moeten exporteurs en importeurs van gegevens een TIA (EU) of TRA (VK) uitvoeren. Door deze overdrachtsmechanismen in hun overeenkomsten op te nemen, verplichten organisaties zich er contractueel toe om deze beoordelingen uit te voeren.

Moeten bedrijven die gegevens overdragen naar landen buiten de EU en het VK beide beoordelingen uitvoeren?

Nee, bedrijven hoeven niet zowel een TIA als een TRA te doen. De specifieke beoordeling die nodig is, hangt af van het overdrachtsmechanisme dat wordt gebruikt.

• Bij overdracht vanuit het VK: De Information Commissioner’s Office (ICO) vereist dat organisaties een TRA doen om het risico van de overdracht te beoordelen als ze gebruik maken van de Britse IDTA of BCR’s. Als de organisatie echter gebruik maakt van SCC’s uit de EU met UK Addendum, staat de ICO het gebruik van een TIA toe. Dat maakt het voor organisaties die persoonsgegevens uit het VK internationaal overdragen makkelijker om aan de eisen te voldoen.
• Bij overdracht vanuit de EER: Organisaties moeten een TIA uitvoeren om te beoordelen of het gekozen overdrachtsmechanisme, zoals een SCC, voldoende bescherming biedt in het land van bestemming.

Het is belangrijk om te weten dat een TRA die wordt uitgevoerd onder de regelgeving van het Verenigd Koninkrijk door de EU-autoriteiten niet wordt beschouwd als een gelijkwaardige vervanging voor een TIA.

Kunnen er juridische gevolgen zijn voor organisaties als ze geen TIA of TRA uitvoeren?

Organisaties kunnen juridische gevolgen ondervinden als ze internationale gegevensoverdrachten niet goed beschermen. Hoewel het onder de AVG niet verplicht is TIA’s en TRA’s te doen, worden ze algemeen erkend als essentiële hulpmiddelen om aan te tonen dat er voldoende bescherming is bij internationale gegevensoverdrachten. Als de risico’s bij deze overdrachten niet goed worden beoordeeld en aangepakt, kan dit leiden tot niet-naleving, wat mogelijk zorgt voor boetes of handhavingsacties door toezichthouders.

Hoe vaak moeten bedrijven TIA’s en TRA’s voor lopende contracten opnieuw beoordelen?

De ICO en de European Data Protection Board (EDPB) specificeren niet hoe vaak TIA’s of TRA’s opnieuw moeten worden beoordeeld, maar beide benadrukken het belang van regelmatige beoordelingen om ervoor te zorgen dat de regelgeving rondom gegevensbescherming wordt nageleefd.

De ICO van het VK benadrukt de noodzaak om TRA’s opnieuw te beoordelen als er belangrijke veranderingen zijn, zoals updates van wetten voor gegevensbescherming, veranderingen in de aard van gegevensoverdrachten of wijzigingen in contractuele relaties.

De EDPB van de EU beveelt aan dat gegevensexporteurs, in samenwerking met importeurs, op de hoogte blijven van de ontwikkelingen in het ontvangende land, waaronder wijzigingen in het wettelijke kader of praktijken die gevolgen hebben voor de effectiviteit van overdrachtsinstrumenten en aanvullende maatregelen.

Deze regelmatige controles zorgen voor voortdurende naleving en helpen nieuwe risico’s aan te pakken die gepaard gaan met internationale gegevensoverdracht.

Wat kunnen organisaties doen om te zorgen voor effectieve TIA’s en TRA’s?

Om ervoor te zorgen dat TIA’s en TRA’s alle noodzakelijke aspecten van gegevensbescherming afdekken, moeten organisaties de methodologie van de toezichthouders aanhouden:

• De Aanbevelingen 01/2020 van de EDPB bevat een 6-stappen aanpak voor het uitvoeren van Transfer Impact Assessments
• De Transfer Risk Assessment Tool van de ICO

Slotopmerkingen over TIA’s en TRA’s

Transfer Impact Assessments (TIA’s) en Transfer Risk Assessments (TRA’s) zijn waardevolle hulpmiddelen om te evalueren of er voldoende gegevensbeschermingsmaatregelen zijn getroffen voor internationale overdrachten, en helpen organisaties om potentiële risico’s te vinden en aan te pakken.

Beide beoordelingen evalueren of het land van bestemming een niveau van gegevensbescherming biedt dat gelijkwaardig is aan het niveau dat vereist is onder de AVG. Deze beoordelingen vormen een aanvulling op overdrachtsmechanismen, zoals Standard Contractual Clauses (SCC’s) of Binding Corporate Rules (BCR’s), door eventuele risico’s voor gegevensbescherming bij internationale overdrachten te vinden en aan te pakken.

Als deze beoordelingen niet worden uitgevoerd, bestaat het risico dat persoonlijke gegevens onvoldoende worden beschermd in landen van bestemming, wat mogelijk een schending is van de AVG. Het uitvoeren van TIA’s en TRA’s is essentieel voor het vinden en aanpakken van risico’s, het zorgen voor de juiste waarborgen, en het handhaven van individuele rechten op het gebied van gegevensbescherming. Regelmatige herbeoordeling laat verantwoording zien, behoudt het vertrouwen van de klant en zorgt voor naleving van de wetten en regels rondom internationale gegevensoverdracht.

Misschien gemist… 

• Due diligence van de bank: checklist gegevensbescherming voor dienstverleners
• GDPR DPO-Vereisten: Wat kwalificeert als grootschalige verwerking?
• Live Gezichtsherkenning en naleving van gegevensbescherming

Mis de laatste updates over gegevensbescherming niet – blijf op de hoogte met onze tweewekelijkse nieuwsbrief, De DPIA

The post Omgaan met internationale gegevensoverdracht: TIA’s vs TRA’s appeared first on DPO Centre.

The post Wat is een DPA en waarom hebt u er een nodig?  appeared first on DPO Centre.

Beide opties bieden nuttige expertise en ondersteuning, elk met eigen unieke voordelen. Hoe beslist u wat de beste externe optie voor uw bedrijf is?

In deze blog gaan we dieper in op de verschillen tussen een advocatenkantoor dat is gespecialiseerd in gegevensbescherming en een uitbestede FG-dienstverlener. We kijken naar de overeenkomsten en verschillen tussen deze twee mogelijkheden, waarbij we de belangrijkste factoren bespreken waar bedrijven bij hun keuze rekening mee moeten houden.

Het is belangrijk te benadrukken dat FG-dienstverleners en advocatenkantoren ook vaak samenwerken voor gezamenlijke klanten om een volledige dekking van kwesties met betrekking tot gegevensbescherming te garanderen.

Vergeet niet dat het voor het vinden van de meest geschikte begeleiding en ondersteuning voor uw bedrijf op het gebied van gegevensbescherming, essentieel is om uw unieke eisen en prioriteiten te begrijpen, gebaseerd op uw wettelijke verplichtingen en specifieke regelgevingen in de bedrijfstak.

Advocatenkantoor versus uitbestede FG-diensten

De belangrijkste overeenkomst tussen een gespecialiseerd advocatenkantoor en een uitbestede FG-dienstverlener is dat ze allebei toegang bieden tot professionals met expertise op het gebied van gegevensbescherming en de privacywet- en regelgeving.

• Advocatenkantoren beschikken vaak over een team van afzonderlijke experts die kwesties met betrekking tot gegevensbeveiliging kunnen behandelen en advies kunnen geven als onderdeel van een breder wettelijk risicobeheer.
• Uitbestede FG-diensten leveren ervaren Functionarissen Gegevensbescherming (FG’s) die zich uitsluitend bezighouden met de wettelijke vereisten voor gegevensbescherming en werken als een officieel aanspreekpunt voor regelgevende instanties.

Beiden richten zich op het garanderen van de naleving van de wetten inzake gegevensbescherming, zoals als de Algemene Verordening Gegevensbescherming (AVG), enbeiden bieden begeleiding en advies op het gebied van beste praktijken.

Dit is een vereenvoudigd overzicht en natuurlijk hebben afzonderlijke advocatenkantoren en uitbestede FG-dienstverleners elk hun eigen unieke dienstverlening, specialisten, benaderingen en methodologieën.

Laten we daarom de verschillen tussen de twee diensten nader bekijken, met een focus op gegevensbeschermingsdiensten en leveringsstructuren.

Gegevensbeschermingsdiensten

Dit zijn de belangrijkste gegevensbeschermingsdiensten die gespecialiseerde advocatenkantoren en FG-dienstverleners over het algemeen aanbieden:

Advocatenkantoor

• Juridisch advies en adviesdiensten: Advocatenkantoren hebben een breed aanbod aan deskundig juridisch advies, waaronder gegevensbescherming en naleving, maar ze fungeren meestal niet als het officiële aanspreekpunt voor regelgevende instanties in een FG-rol
• Procesvoering en geschillenbeslechting: Advocatenkantoren bieden raadsvertegenwoordiging in rechtszaken, waaronder DSAR-geschillen, toezichthoudende onderzoeken en handhavingsacties
• Commerciële contracten en transacties: Advocatenkantoren kunnen helpen met veel van de contracten en onderhandelingen die gekoppeld zijn aan gegevensbescherming, inclusief fusies en overnames
• Beleidsontwikkeling: Advocatenkantoren kunnen helpen met veel documentatie, inclusief privacymededelingen en beleid inzake datalekken

Uitbestede FG-dienstverleners

• Gerichte expertise: Een uitbestede FG-dienstverlening biedt gespecialiseerde experts met veel gespecialiseerd advies en begeleiding op het gebied van gegevensbescherming/privacy-naleving
• FG-rol: Een uitbestede FG is het officiële aanspreekpunt voor betrokkenen en toezichthoudende autoriteiten en levert praktische ondersteuning en advies voor het ontwikkelen van gegevensbeschermingsbeleid en -procedures
• AVG-vertegenwoordiger: Lokale vertegenwoordiging voor bedrijven die de persoonsgegevens van personen in het VK en de EU verwerken zonder fysieke kantoren in deze rechtsgebieden
• Training en opleiding: Op maat gemaakte cursussen voor gegevensbescherming voor personeelsbewustzijn en nalevingsvereisten
• DSAR-reactie: Gespecialiseerde diensten voor het afhandelen van eenmalige ingewikkelde, of lopende toegangsverzoeken van betrokkenen, vaak op basis van pay-as-you-go

Structuur van de dienstverlening

Als we denken aan een leveringsstructuur, kijken we naar de manier waarop diensten worden geleverd, wat belangrijk is om te kunnen beslissen wat de beste optie is voor uw behoeften.

U kunt bijvoorbeeld doorlopende ondersteuning voor de naleving van de gegevensbescherming of een gespecialiseerde FG nodig hebben om de druk op interne werknemers te verlichten. Of u hebt misschien alleen specifiek juridisch advies op korte termijn nodig over een verwerkersovereenkomst (DPA) met een derde.

Het kennen van de leveringsstructuur kan u helpen te beslissen welke diensten het beste zijn. Hieronder ziet u waarom:

Advocatenkantoor

• Adviezen: Advocatenkantoren bieden extern advies en juridisch advies en bedrijven gaan meestal per incident of per individuele kwestie met hen in gesprek
• Op projectbasis: Advies en ondersteuning is gericht op specifieke juridische projecten of incidenten

Uitbestede FG-dienstverleners

• Voortdurende relatie: Uitbestede FG’s onderhouden meestal een voortdurende relatie met bedrijven, waardoor consistent advies en naleving met betrekking tot gegevensbeveiliging wordt gegarandeerd, op maat gemaakt voor hun specifieke zakelijke activiteiten
• Schaalbare hulpbron: Extra advies voor gegevensbescherming en ondersteuning voor nieuwe projecten of initiatieven is gemakkelijk te regelen

Andere factoren waar rekening mee moet worden gehouden

Kosten

Advocatenkantoren werken zelden op provisiebasis of op een doorlopende manier. Advies is op project- en incidentenbasis in plaats van op doorlopende basis.

Uitbestede FG-diensten worden meestal toegepast op basis van een doorlopend contract, waarbij doorlopend advies en ondersteuning worden geboden.

Expertise

Advocatenkantoren zijn ideaal voor bedrijven die juridische expertise nodig hebben waarbij ook kwesties met betrekking tot gegevensbescherming meespelen, zoals personele geschillen, fusies en overnames en internationale onderzoeken.

Uitbestede FG-diensten zijn ideaal voor bedrijven die een gespecialiseerde professional nodig hebben voor het behandelen van kwesties met betrekking tot gegevensbescherming en privacy, inclusief gegevensoverdrachten en advies over beste praktijkprocessen, en zijn actief als een officieel aanspreekpunt voor betrokkenen en toezichthoudende autoriteiten.

Samenvatting

Zoals we al eerder aan hebben gegeven, is het bij het kiezen van externe diensten voor gegevensbescherming belangrijk om een weloverwogen beslissing te nemen op basis van de specifieke behoeften en prioriteiten van uw bedrijf.

U moet het soort expertise overwegen, de manier waarop de dienst wordt geleverd en de vereiste kosten en flexibiliteit.

Hier ziet u een handig overzicht van de belangrijkste verschillen tussen een advocatenkantoor en uitbestede FG-diensten:

The DPO Centre levert een breed assortiment aan uitbestede diensten voor gegevensbescherming, inclusief Functionarissen Gegevensbescherming (FG’s), AVG-vertegenwoordigers voor de EU en het VK.

Onze ervaren FG’s werken met organisaties in alle industriële sectoren om de beste praktijken te implementeren en naleving van de wetgeving inzake gegevensbescherming te garanderen.

Voor meer nieuws en inzichten over gegevensbescherming kunt u het FG-centrum volgen op LinkedIn

The post Naleving gegevensbescherming: advocatenkantoor versus uitbestede FG-diensten appeared first on DPO Centre.

Volgens een rapport van Infiniti Research zal de wereldwijde outsourcingmarkt tussen 2023 en 2027 naar verwachting met 75 – 89 miljard dollar toenemen, met een samengesteld jaarlijks groeipercentage van 6,5%.

Door uitbesteding van bepaalde processen of zelfs hele bedrijfsfuncties kunnen bedrijven zich richten op hun specialisme, wat de efficiëntie en productiviteit ten goede komt. Het is echter wel van belang om inzicht te hebben in de gevolgen en verantwoordelijkheden bij de inzet van een leverancier, met name wanneer deze toegang heeft tot persoonlijke gegevens.

Met leveranciers wordt doorgaans bedrijven bedoeld die goederen of diensten verkopen, doch in de context van de Algemene Verordening Gegevensbescherming (AVG) zijn leveranciers partners, providers en derden met toegang tot persoonlijke gegevens.

Door wetgeving op het gebied van gegevensbescherming zijn organisaties verplicht om de veiligheid van alle persoonlijke gegevens die worden verwerkt te waarborgen, waarbij niet-naleving ervan kan leiden tot reputatieschade en boetes. Het is daarom van groot belang om ervoor te zorgen dat leveranciers die worden ingezet ook voldoen aan de noodzakelijke regelgeving voor gegevensbescherming.

In deze blog leggen we het verschil uit tussen de rol van de verwerkingsverantwoordelijke en die van de verwerker en gaan we dieper in op het due diligence-proces van de leverancier, waarbij we u de benodigde stappen aanreiken voor naleving van de AVG.

Naleving AVG: verwerkingsverantwoordelijken en verwerkers

Bij het bepalen van de verschillende rollen en verantwoordelijkheidsniveaus in de omgang met persoonsgegevens maakt de AVG onderscheid tussen de termen ‘verwerkingsverantwoordelijke’ en ‘verwerker’:

• Een ‘verwerkingsverantwoordelijke’ is een persoon of organisatie die beslist hoe en waarom persoonlijke gegevens worden verzameld en gebruikt (d.w.z. een verwerkingsverantwoordelijke bepaalt de middelen en het doel van de verwerking)
• Een ’verwerker‘ is een persoon of organisatie die persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke.

De verwerkingsverantwoordelijke heeft de algehele controle over de persoonlijke gegevens die worden verwerkt en draagt daarom het hoogste niveau van verantwoordelijkheid voor naleving.

De verwerker heeft minder algehele controle over de persoonsgegevens, maar is er wel verantwoordelijk voor dat de gegevensverwerking in overeenstemming is met de instructies van de verwerkingsverantwoordelijke. Er zijn ook een aantal directe wettelijke verplichtingen voor verwerkers, waaronder het melden van een datalek aan de verwerkingsverantwoordelijke, ervoor zorgen dat passende gegevensbeveiligingsmaatregelen in werking worden gesteld en het bijhouden van een register van gegevensverwerkingsactiviteiten.

Het volgende scenario laat zien wat dit in de praktijk inhoudt:

Een zorgonderneming (de verwerkingsverantwoordelijke) verzamelt persoonsgegevens van Europese patiënten om medische diensten te verlenen. De gegevens worden opgeslagen en beheerd op een cloudopslagplatform van een derde (de verwerker) en bevatten informatie zoals namen, adressen en medische voorgeschiedenis.

In het bovenstaande voorbeeld moet de zorgonderneming ervoor zorgdragen dat alle verzamelde persoonlijke gegevens strikt overeenkomstig de AVG worden behandeld. Dit omvat de verstrekking van duidelijke privacyverklaringen, ervoor zorgen dat persoonlijke gegevens worden verwerkt op basis van een passende rechtsgrondslag en het waarborgen van de beveiliging van de gegevens, met inbegrip van eventuele verdere doorgifte van persoonlijke gegevens buiten de EU.

Voordat de zorgonderneming in zee gaat met het externe cloudopslagbedrijf, dient het de praktijken inzake gegevensbescherming van het cloudopslagbedrijf beoordelen en eventuele risico’s vast te stellen. Deze risico’s moeten worden verlaagd of beperkt voordat het cloudopslagbedrijf toegang krijgt tot persoonlijke gegevens.

Zodra de overeenkomsten zijn ondertekend, dient het cloudopslagbedrijf de instructies van de zorgonderneming op te volgen en te zorgen voor solide waarborgen. Naast andere verantwoordelijkheden moet het cloudopslagbedrijf in het ongelukkige geval van een datalek de zorgonderneming onmiddellijk op de hoogte stellen, liefst binnen een zodanig tijdsbestek dat de verwerkingsverantwoordelijke in staat wordt gesteld om eventuele risico’s voor de betrokkenen te beperken. In contractsbepalingen kom je vaak “binnen 48 uur na het bekend worden van de inbreuk” tegen, doch dit dient per geval te worden beoordeeld.

Het is van belang op te merken dat de AVG verwerkingsverantwoordelijken slechts maximaal 72 uur na het bekend worden van een inbreuk in verband met persoonsgegevens de tijd geeft om de inbreuk te melden aan de betreffende regelgevende instantie. Indien de inbreuk waarschijnlijk leidt tot een hoog risico op negatieve gevolgen voor de rechten en vrijheden van personen, dient de verwerkingsverantwoordelijke deze personen tevens te informeren.

Vendor due diligence is van essentieel belang voor verwerkingsverantwoordelijken

Op grond van artikel 28, lid 1 van de AVG zijn verwerkingsverantwoordelijken verplicht om ervoor te zorgen dat verwerkers voldoende waarborgen bieden dat hun gegevensverwerking voldoet aan de vereisten van de AVG en de rechten van betrokkenen waarborgt.

Dit betekent dat je als verwerkingsverantwoordelijke de verantwoordelijkheid draagt om de gegevens van je klant te beschermen tegen extra risico’s wanneer je in zee gaat met een specifieke leverancier. Het is daarom van cruciaal belang om te beoordelen of de leverancier betrouwbaar is bij het beheer van de gegevens en de wetgeving inzake gegevensbescherming strikt naleeft.

Daarnaast moet je er zeker van zijn dat een leverancier je eigen systemen en gegevens niet in gevaar brengt, met name in situaties waar sprake is van integratie met of koppeling van systemen.

Een effectief due diligence-proces dient een beoordeling te omvatten van het beleid en het procedurele kader, de operationele infrastructuur en de gegevensbeveiligingsmaatregelen van de leverancier. Risico’s kunnen worden vastgesteld en beperkt zodat persoonsgegevens worden verwerkt overeenkomstig de normen van de verwerkingsverantwoordelijke en de AVG-vereisten.

Een due diligence-proces wordt doorgaans gestart met het opstellen van een vragenlijst en dient de volgende 5 stappen te omvatten:

Stap 1: Zorg ervoor dat u op de hoogte bent van de werkwijzen inzake gegevensverwerking

Een due diligence-vragenlijst dient een verzoek te bevatten om documentatie van het privacybeleid van de leverancier en eventuele vrijwillige of verplichte risicobeoordelingsdocumenten, zoals Data Protection Impact Assessments (DPIA’s) die zijn uitgevoerd voor de diensten die zij u zullen aanbieden.

De volgende belangrijke gegevens dienen te worden nagegaan:

• Hoe worden de persoonlijke gegevens verzameld?
• Waar worden de gegevens opgeslagen?
• Wie heeft toegang tot de gegevens?
• Zijn er subverwerkers en zo ja, hoe gaan zij met de gegevens om? Subverwerkers zijn door de verwerker ingehuurde derden die mogelijk toegang hebben tot de persoonsgegevens.
• Hoe lang worden de gegevens bewaard? De AVG verplicht organisaties gegevens niet langer te bewaren dan nodig is voor de doeleinden waarvoor ze worden bewaard.
• Zijn certificeringen voor handen, zoals Cyber Essentials Plus, ISO9001 of ISO27001/701? Hiermee wordt aangegeven dat ze zich inzetten om de juiste werkwijze in de hele organisatie in te voeren.

Stap 2: Beoordeel het beleid en de procedures

De volgende belangrijke stap is het beoordelen van het beleid en de procedures voor gegevensbescherming van de leverancier om er zeker van te zijn dat deze in de basis gelijkwaardig zijn aan uw normen.

Deze moeten ten minste omvatten:

• Privacybeleid en privacyverklaring
• Reactieprocedure datalekken
• DSAR-procedure (Data Subject Access Request)
• Procedures voor het delen van gegevens
• Trainingsprogramma’s voor gegevensbescherming voor werknemers

De leverancier moet aantonen dat er geschikte controlemaatregelen in werking zijn gesteld in verband met de gegevensverwerking, ook voor eventuele subverwerkers. Hij dient ook aan te tonen dat hij zich inzet om deze controlemaatregelen te handhaven door middel van regelmatige audits en beoordelingen.

Stap 3: Beoordeel de technische beveiligingsmaatregelen

Het is belangrijk om ervoor te zorgen dat er technische waarborgen voor handen zijn om persoonlijke gegevens te beschermen tegen ongeoorloofde toegang, wijziging, openbaarmaking of vernietiging.

Deze beveiligingsmaatregelen kunnen maatregelen omvatten zoals:

• Versleuteling: Een methode om gegevens om te zetten in een code om ongeoorloofde toegang te voorkomen.
• Toegangscontrole: Beveiligingsmaatregelen waarmee gebruikers worden geïdentificeerd en hun toegang tot gegevens en bronnen worden gecontroleerd
• Firewalls: Netwerkbeveiligingssystemen voor het bewaken en regelen van inkomend en uitgaand netwerkverkeer op basis van vooraf bepaalde beveiligingsregels
• Inbraakdetectiesystemen (IDS): apparaten of softwaretoepassingen die schadelijke activiteiten detecteren
• SIEM-systemen (Security Incident and Event Management): Een tool die real-timeanalyse biedt van beveiligingswaarschuwingen die worden gegenereerd door applicaties en netwerkhardware
• Regelmatige beveiligingsaudits: Systemische evaluaties van IT-systemen om te meten op welk niveau ze voldoen aan een reeks vastgestelde criteria.

Stap 4: Onderzoek de controlemaatregelen en processen voor internationale doorgifte van gegevens

Als persoonsgegevens buiten de EER en/of het VK worden bewaard, dient de verwerker aan te tonen dat er een geschikt internationaal overdrachtssysteem beschikbaar is.

In de praktijk betekent dit dat de overeenkomst de verwerker verplicht om passende doorgifteovereenkomsten in te voeren voor hun eigen doorgifte en eventuele verdere doorgifte door hun subverwerkers.

In veel gevallen kan het nodig zijn om Standaard Contractsbepalingen (Standard Contractual Clauses) of een van de andere geschikte methoden ingevolge de AVG in te voeren.

Ook hier geldt dat als de gegevens zijn aangemerkt als gegevens met een hoog risico, het bewijs van een DPIA dient te worden bijgevoegd.

Lees: Standaard Contractsbepalingen (Standard Contractual Clauses – SCC’s) voor doorgifte van gegevens

Stap 5: Beperk risico’s  en stel een gegevensverwerkersovereenkomst (DPA (Data Processor Agreement)) op

In het geval er tijdens het beoordelingsproces risico’s zijn vastgesteld, dient de leverancier deze aan te pakken voordat er verder wordt gegaan.

Als het netwerk van de leverancier bijvoorbeeld niet voorziet in waarschuwingen  voor verdachte activiteiten of inbraken, dan kunnen systeemwaarschuwingen worden ingesteld en naar u worden teruggekoppeld.

De laatste stap is het opstellen van een Data Processor Agreement (DPA), die deze belangrijke gegevens dient te bevatten:

• Algemene informatie – de aard van de gegevensverwerking, de duur, de categorie persoonsgegevens en de AVG-verplichtingen en verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker
• Beveiligingsmaatregelen – de beveiligingsprocessen en -controlemaatregelen die van de verwerker worden verwacht
• Subverwerkers – de bepaling of subverwerkers al dan niet zijn toegestaan en zo ja, onder welke voorwaarden.
• Kennisgeving van inbreuken – de vermelding dat de verwerker in geval van een inbreuk op de gegevens de verwerkingsverantwoordelijke daarvan onverwijld op de hoogte moet stellen.
• Audits en inspecties – de verwerkingsverantwoordelijke dient zich te verzekeren van het recht om audits en inspecties uit te voeren teneinde voortdurende naleving van de AVG te waarborgen.
• Bepalingen inzake einde overeenkomst – in de overeenkomst dient te worden vermeld wat er met de persoonsgegevens gebeurt aan het einde van de overeenkomst. De gegevens kunnen bijvoorbeeld worden verwijderd of teruggegeven aan de verwerkingsverantwoordelijke.
• Aansprakelijkheid en schadeloosstelling – verwerkingsverantwoordelijken dienen hun positie te beschermen door van verwerkers te verlangen dat ze worden gevrijwaard van alle kosten, vorderingen, schade en uitgaven die ze door hun handelingen oplopen. Het is van belang op te merken dat verwerkingsverantwoordelijken een onbeperkte aansprakelijkheid wensen, terwijl verwerkers moeten vasthouden aan beperking van aansprakelijkheid.

Download onze AVG Policy Toolkit voor een DPA-sjabloon

Samenvatting

De uitvoering van due diligence op leveranciers is van essentieel belang voor het beoordelen en beperken van risico’s en het waarborgen van naleving van de AVG. Door deze procedure ontstaat een grondige beoordeling van de operationele procedures en gegevensbeschermingswaarborgen van een leverancier voordat een overeenkomst op contractbasis wordt aangegaan.

Een uitgebreide due diligence-procedure dient een vragenlijst te omvatten met de vijf belangrijkste stappen voor de beoordeling van de gegevensverwerkingspraktijken, het beleid en de procedures van een leverancier, technische beveiligingsmaatregelen en eventuele internationale controles en processen voor de doorgifte van gegevens. De laatste stap is het beperken van eventuele risico’s voordat er een gegevensverwerkingsovereenkomst (DPA) wordt opgesteld.

Deze stappen kunnen ook worden gevolgd voor bestaande leveranciers of uitbestede diensten, hoewel het raadzaam is om een prekwalificatie-risicobeoordeling uit te voeren. De meeste organisaties hebben veel leveranciers en het zou te veel tijd kosten om ze allemaal te beoordelen. In dat geval is een voorafgaande beoordeling nuttig om te bepalen welke leveranciers verder moeten worden onderzocht op basis van bepaalde criteria, zoals AVG-relevantie, risiconiveau en de aard van de gegevens die worden verwerkt.

Als u hulp nodig heeft bij de AVG-compliance of overweegt om diensten voor gegevensbescherming uit te besteden, neem dan contact op door onderstaand formulier in te vullen.

The post Vendor due diligence en AVG-compliance: 5 praktische stappen appeared first on DPO Centre.