Controle van gegevensverwerkers door derden

Wat is Controle van gegevensverwerkers door derden?

Beoordeling van derde gegevensverwerkers is het due diligence-proces dat vereist wordt door AVG-artikel 28, dat voorschrijft dat verwerkingsverantwoordelijken uitsluitend verwerkers gebruiken die 'voldoende garanties' bieden voor passende technische en organisatorische maatregelen voor gegevensbescherming. U bent rechtstreeks aansprakelijk voor compliancefouten van uw verwerkers, dus beoordeling is geen formaliteit. Deze oefening simuleert het evalueren van een SaaS-leverancier waarmee uw organisatie klantgegevens wil laten verwerken. U beoordeelt hun beveiligingscertificeringen, gegevensverwerkingspraktijken, subverwerkerregelingen en dataleknotificatieprocedures. Het scenario bevat een realistische verwerkersovereenkomst met clausules die u moet beoordelen, waaronder enkele die niet voldoen aan de AVG-vereisten. U identificeert hiaten zoals ontbrekende subverwerkernotificatieverplichtingen, vage toezeggingen over gegevensverwijdering en ontoereikende auditrechten. De oefening behandelt ook de kwestie van internationale gegevensoverdrachten: als uw verwerker infrastructuur buiten de EER gebruikt, moet u verifiëren dat adequate waarborgen aanwezig zijn onder Hoofdstuk V. Echte handhavingsvoorbeelden illustreren de inzet. Toezichthouders hebben verwerkingsverantwoordelijken aansprakelijk gehouden voor fouten van verwerkers, waaronder gevallen waarin de verwerker een datalek had dat de verwerkingsverantwoordelijke had kunnen voorkomen door betere due diligence. U bouwt een leveranciersbeoordelingskader dat uw inkoopteam kan hergebruiken, waardoor een eenmalige complianceoefening wordt omgezet in een herhaalbare organisatorische capaciteit.

Wat je leert in Controle van gegevensverwerkers door derden

• Beoordelen of een verwerker voldoende garanties biedt onder AVG-artikel 28 door middel van gedocumenteerde bewijsbeoordeling
• Verwerkersovereenkomsten controleren op vereiste clausules, waaronder subverwerkercontroles, auditrechten en verwijderingsverplichtingen
• De internationale gegevensoverdrachtsmechanismen van een leverancier evalueren wanneer de infrastructuur zich buiten de EER bevindt
• Veelvoorkomende tekortkomingen in verwerkersovereenkomsten identificeren die compliancegaten creëren, en correcties onderhandelen voor ondertekening
• Een herbruikbaar leveranciersbeoordelingskader opbouwen dat AVG due diligence integreert in inkoopworkflows

Controle van gegevensverwerkers door derden — Trainingsstappen

1. Introductie

   Vandaag heeft het marketingteam een verzoek ingediend om een nieuwe leverancier voor e-mailanalyse te introduceren, genaamd DataPulse Analytics. Voordat een contract kan worden ondertekend, moet u hun gegevensverwerkingsovereenkomst (DPA) controleren op naleving van de AVG.

2. Uw verantwoordelijkheid begrijpen

   Op grond van artikel 28 van de AVG zijn organisaties die gebruik maken van externe verwerkers er verantwoordelijk voor dat deze verwerkers correct omgaan met persoonsgegevens. Dit betekent: Een schriftelijke gegevensverwerkingsovereenkomst is wettelijk vereist De DPA moet specifieke verplichte clausules bevatten U bent aansprakelijk als uw verwerker de AVG schendt Due diligence moet plaatsvinden VOORDAT u een contract tekent Het is uw taak om TechForward te beschermen tegen nalevingsrisico's door problemen op te sporen voordat deze wettelijke aansprakelijkheden worden.

3. Toegang tot het inkoopportaal

   U ontvangt een melding dat een nieuw leveranciersverzoek in afwachting is van uw beoordeling. Het marketingteam wil graag DataPulse Analytics gaan gebruiken voor het volgen van campagnes in het eerste kwartaal. Laten we inloggen op het inkoopportaal om het verzoek en de door de leverancier voorgestelde DPA te bekijken.

4. Het beoordelen van de leveranciersaanvraag

   U ziet het openstaande verzoek van het marketingteam. DataPulse Analytics biedt analyse van e-mailcampagnes, waarbij het openpercentage, de klikfrequentie en de betrokkenheid van abonnees worden bijgehouden. Dit betekent dat ze persoonlijke gegevens zullen verwerken, waaronder e-mailadressen, gedragsgegevens en mogelijk apparaatinformatie van klanten van TechForward. De leverancier heeft zijn standaard DPA bijgevoegd. Laten we het zorgvuldig bekijken.

5. Eerste rode vlag: vage veiligheidsmaatregelen

   Als u de DPA doorneemt, springt het eerste probleem meteen naar voren. Onder het gedeelte Veiligheidsmaatregelen vermeldt de overeenkomst eenvoudigweg: 'DataPulse Analytics hanteert industriestandaard beveiligingsmaatregelen om persoonlijke gegevens te beschermen.' Dit is veel te vaag. AVG Artikel 32 vereist specifieke, passende technische en organisatorische maatregelen – geen generieke beloften.

6. Tweede waarschuwingssignaal: geen subverwerkerclausule

   Terwijl u uw beoordeling voortzet, zoekt u naar de bepalingen voor subverwerkers. Dit is van cruciaal belang omdat DataPulse waarschijnlijk cloudinfrastructuurproviders, e-mailbezorgdiensten of andere leveranciers gebruikt om hun platform te exploiteren. Je vindt... niets. De AP maakt helemaal geen melding van subverwerkers. Op grond van de AVG moeten verwerkers toestemming verkrijgen voordat ze subverwerkers inschakelen, en alle subverwerkers moeten aan dezelfde verplichtingen op het gebied van gegevensbescherming gebonden zijn.

7. Derde rode vlag: geen auditrechten

   U zoekt naar audit- en inspectiebepalingen - een ander verplicht element onder artikel 28. Als gegevensbeheerder heeft TechForward het recht om te verifiëren dat verwerkers daadwerkelijk aan hun verplichtingen voldoen. De DPA bevat geen enkele bepaling voor audits. Zonder auditrechten kunt u de nalevingsclaims van DataPulse niet verifiëren. Je zou ze blind vertrouwen.

8. Vierde rode vlag: problemen met internationale transfers

   De DPA vermeldt dat gegevens worden verwerkt op servers in de Verenigde Staten. Er wordt echter geen melding gemaakt van standaardcontractbepalingen (SCC's), adequaatheidsbesluiten of enig ander overdrachtsmechanisme. Voor de overdracht van persoonsgegevens buiten de EER zijn specifieke wettelijke waarborgen vereist. Zonder hen zou deze overdracht onwettig zijn op grond van AVG Hoofdstuk V.

9. Vijfde rode vlag: geen tijdlijn voor het verwijderen van gegevens

   Tenslotte controleer je wat er met de gegevens van TechForward gebeurt als het contract eindigt. De DPA stelt: 'Bij beëindiging zal DataPulse Analytics op verzoek van de verwerkingsverantwoordelijke gegevens verwijderen of retourneren.' Dit klinkt in eerste instantie redelijk, maar er is geen specifieke tijdlijn. Zonder deadline zouden gegevens voor onbepaalde tijd op hun systemen kunnen blijven staan. De AVG vereist dat gegevens onmiddellijk na het einde van de verwerking worden verwijderd of geretourneerd.

10. Het documenteren van uw beoordeling

    U heeft vijf kritieke problemen met de DPA van DataPulse geïdentificeerd: 1. Vage beveiligingsmaatregelen (geen specifieke technische controles) 2. Geen kennisgeving aan de subverwerker of autorisatievereisten 3. Geen audit- of inspectierechten voor TechForward 4. Internationale overdrachten zonder SCC's of waarborgen 5. Geen tijdlijn voor het verwijderen van gegevens nadat het contract is afgelopen Nu moet u deze bevindingen documenteren in het leveranciersbeoordelingsformulier en de vereiste wijzigingen specificeren voordat het contract kan doorgaan.