GDPR (16) Risicobeheersing van onderaannemers & verwerkersovereenkomst

12 december 2017

Zoals we in de vorige afleveringen hebben gezien is één van de domeinen waarin risico’s kunnen ontstaan en waar dus beveiligingsmaatregelen genomen moeten worden, het inschakelen van onderaannemers. De GDPR is hierin heel duidelijk. Een onderaanemer is zelf aansprakelijk en heeft een aantal verplichtingen, maar de opdrachtgever die hem als verwerker inschakelt, behoudt altijd de verantwoordelijkheid. Hij moet zijn onderaannemer goed kiezen en staat in voor de legale uitvoering. Hij moet de opdracht duidelijk formuleren en kaderen. En hij moet de correcte navolging van de instructies en van de wetgeving, in het bijzonder de beveiliging, controleren.

De voorbije jaren is bij specialisten in informatiebeveiliging het besef alsmaar toegenomen dat onderaannemers altijd een risico vormen. Het is dan ook niet verwonderlijk dat de GDPR hieraan veel aandacht besteedt. In de verschillende stadia van de samenwerking moeten stappen gezet worden.

Bij het selecteren van leveranciers mag het aspect data privacy en informatiebeveiliging nooit ontbreken. De verantwoordelijke moet zich ervan vergewissen dat een onderaannemer die hij wil inschakelen zijn verplichtingen kent en er op een adequate manier aan voldoet. Een certificatie dat een bedrijf ‘GDPR compliant’ is, bestaat niet en voor zover ik weet zijn er momenteel geen concrete plannen om dit in te voeren. De officiële instanties sporen wel de beroepsverenigingen aan om gedragscodes op te stellen, waarmee de ondertekenaars dan kunnen aantonen dat ze de regels kennen en willen volgen. Er duiken ook steeds meer vragenlijsten op, die gebruikt worden bij selectieprocedures en in aanbestedingsdossiers. Specifiek rond informatiebeveiliging zijn er natuurlijk wel certificaten, maar die zijn sterk toegespitst op grote organisaties en niet voor iedere firma of organisatie een haalbare kaart. Stel je toekomstige leverancier altijd vragen over zijn beleid rond informatiebeveiliging en over de maatregelen die van toepassing zijn. Laat dit bij de selectiecriteria meespelen. Vergeet ook niet de verzamelde documentatie bij te houden.

Wanneer een opdracht wordt toegewezen, is het belangrijk de nodige contractuele afspraken te maken rond data privacy. De aangewezen vorm hiervoor is een Verwerkersovereenkomst. Dit kan een bijlage zijn bij een contract of een samenwerkingsovereenkomst. De afspraken kunnen uiteraard ook verwerkt worden in algemene voorwaarden. Als je al langer met een onderaannemer samenwerkt, moet je er evengoed voor zorgen dat de GDPR wordt nageleefd. Omdat de wetgeving vroeger verschilde en minder klemtoon legde op de verplichtingen voor de verwerker, is het aangewezen een aangepaste versie op te stellen.

In dergelijke verwerkersovereenkomst moeten altijd de volgende clausules opgenomen zijn:

  • De rollen van verantwoordelijke en verwerker worden toegewezen aan respectievelijk de opdrachtgever en de uitvoerder/leverancier/onderaannemer
  • De verwerker mag de gegevens enkel gebruiken conform de formele instructies (best geschreven) van de verantwoordelijke
  • De verwerker respecteert de vertrouwelijkheid van de data en legt deze verplichting ook op aan al zijn tijdelijke of vaste medewerkers
  • De verwerker moet een adequate beveiliging van de data opzetten en ervoor zorgen dat ze beschikbaar zijn en blijven voor de opdracht (via backups en maatregelen voor continuiteit)
  • In geval van een datalek moet de verantwoordelijke onmiddellijk verwittigd worden en er moet een procedure zijn om de impact van het lek in te perken. De verwerker mag nooit zelf de privacycommissie of betrokkenen inlichten
  • De verwerker moet de data na het verstrijken van de opdracht (of de overeengekomen bewaartijd) permanent verwijderen en dit kunnen aantonen. Indien van toepassing moet hij ze ook aan de opdrachtgever terugbezorgen.
  • Data mogen enkel doorgegeven worden aan derden met toestemming van de opdrachtgever. Als de verwerker mits akkoord een onderaannemer inschakelt, moet hij afdwingen dat deze dezelfde verplichtingen op zich neemt als vermeld in deze overeenkomst
  • De verwerker staat de opdrachtgever toe controle uit te oefenen op de correcte uitvoering door assessments of audits.

Als kleinere organisatie kan je wellicht mee profiteren van het werk van je grotere leveranciers, die zelf vermoedelijk al een standaard verwerkersovereenkomst hebben opgesteld en deze aan hun klanten voorleggen. Binnen onze eigen firma hebben wij er in elk geval voor gezorgd dat onze klanten niet allemaal zelf de inspanning moeten leveren om uit te zoeken wat de rechten en plichten zijn van opdrachtgever en verwerker. Wij hebben getracht een evenwichtige overeenkomst op te stellen en bieden die tijdig aan onze klanten aan. Op dit ogenblik is deze actie reeds gestart en engageren wij ons als verwerker om de GDPR al ten volle toe te passen, ook al is het nog niet 25 mei 2018.

Tenslotte is de verantwoordelijke ook verplicht na te gaan of de overeenkomst door de verwerker correct wordt uitgevoerd. Bij een langer lopende overeenkomst zal hij op regelmatige basis moeten controleren of dit het geval is. Daartoe is het belangrijk dat hij het recht op audit in de contractuele afspraken opneemt. Dit wil natuurlijk nog niet zeggen dat een verantwoordelijke elke onderaannemer elk jaar daadwerkelijk zelf moet gaan auditen. Grote organisaties doen dit – vaak tot ongenoegen van hun leveranciers – bij de verwerkers die volgens hen een hoog risico lopen om inbreuken te veroorzaken of bij wie een inbreuk grote impact zou hebben. In veel gevallen kan het ook volstaan te controleren of de certificatie die de leverancier behaald heeft, jaarlijks hernieuwd wordt. Of je kan de leverancier een vragenlijst laten invullen en ondertekenen waarin hij de genomen maatregelen opsomt.

Zoals met alle aspecten van deze wetgeving geldt ook hier dat de te nemen acties moeten afgewogen worden tegenover de kans dat zich een incident voordoet en de impact die dit dan zou hebben.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

Gerelateerd nieuws
LOADING