Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

B.07.6 FG en Verwerkersovereenkomsten

Inleiding

Er zijn veel verschillende modellen vovk's. In deze bijlage vindt u een checklist m.b.t. de onderdelen die in deze overeenkomst moeten komen. De checklist is verdeeld in 3 blokken:

  1. Het eerst blok bevat alle eisen die vanuit de AVG bepaald zijn
  2. Het tweede blok bevat eisen die niet expliciet in de AVG staan, hoogstens impliciet, maar die volgens Check-Privacy belangrijk zijn om op te nemen in de vovk. 
  3. Het derde blok bevat standaard contractuele eisen, dit zijn "normale" artikelen die thuis horen in een contract. Een goed voorbeeld is de boeteclausules:  de AVG gaat niet over de hoogte van schadevergoedingen i.g.v. een datalek o.i.d. Het is wel wenselijk om dit in een contract vast te leggen. 

Eén en ander kan voorkomen in een vovk, maar er zijn andere situaties denkbaar:

  1. Er is een aanvulling op de bestaande overeenkomst tussen de vv en v gemaakt.  U moet hierbij denken aan een uitbreiding van de verkoopovereenkomst en/of de SLA.  In deze situatie moeten de div. artikelen van deze checklisten worden gecontroleerd in de verkoopovereenkomst, algemene voorwaarden en/of SLA's. 
  2. Met grote software leveranciers kan vaak geen vovk worden overeengekomen.  In dit geval moeten de privacy voorwaarden op de site van deze leveranciers getoetst worden .
  3. Er zijn ook leveranciers die een zgn. gedragscode hebben afgesproken. In dit geval moet de checklist gebruikt worden om de gedragscode te beoordelen.  Maar het is goed om de volgende uitleg in dit kader nog even te bestuderen: Klik hier voor soorten vovk's 
CP/AVG Verwijst naar het artikel in de Model vovk zoals Check-Privacy deze heeft opgesteld, klik hier om deze door te nemen
IBPDOC18 Verwijst naar de Model vovk van Sambo, voor organisaties niet aangesloten bij het Privacy Convenant, klik hier om deze door te nemen.
IBPD0C7 Verwijst naar het toetsingskader van Sambo-ICT, klik hier om deze door te nemen

 

Blok 1 Eisen vanuit de AVG

CP/AVG Sambo Te toetsen onderdeel / opmerkingen / uitleg AVG ISO27001 IBPD0C7

 Con. * 

3.1 *

2.1

 

 

 

 

Is in de vovk vastgelegd wie de vv en v  zijn?


  1. Bij CP (Con.*) worden de vv en v dit benoemd bij de Contractpartijen, de overige contacten zijn te vinden in de registers
  2. Idem bij Sambo, maar Sambo heeft dit in artikel 3.1 expliciet opgenomen
  3. * A.15: ISO artikel wat gaat over alle leveranciers relaties, m.b.t. een vovk in het kader van de AVG moet dit artikel beperkt blijven tot alle systemen waarin persoonsgegevens voorkomen

28.3

30.1a

A.15 *

A.15.1.1

 

 

 

 

 P.10

 2.1 - 2.2

 2.3 Is het onderwerp en duur van de vovk vastgelegd?

 28.3

   
 Reg. *  

Is de aard en doel van de verwerking vastgelegd?


Reg. *

CP heeft een register gedefinieerd die voor beide partijen (vv en v) identiek is. 

In dit register staan alle verplichte artikelen die moet voorkomen. CP adviseert dat de registers in de bijlage van de vovk over te nemen om te borgen dat de register kloppen.

28.3

30.1b

   
 Reg *   Is het soort Persoonsgegevens vastgelegd?

28.3

30.1c

   
 Reg *   Zijn de categorieën van betrokkenen vastgelegd?

28.3

30.1.c

   
    Zijn de rechten en plichten van de vv omschreven?   28.3    
3.1 2.2

Heeft de v duidelijke schriftelijke instructies ontvangen van de vv

Is de volgende eis opgenomen in de vovk? : De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is.

28.3.a

29

 

 

   
   

Is er een geheimhoudingsverklaring getekend door alle betrokken medewerkers?

28.3.b     
 

 

 Wordt door de v Pseudonimisering toegepast?

(28.3.c) 

32.1.a

   
    Wordt door de v de continuiteit en betrouwbaarheid gegarandeerd?

(28.3.c)

32.1.b

32.1.c

   
    Wordt door de v procedureel de doeltreffendheid van de applicaties getest? Lees: Beoordelen en verbeteren van de technische en organisatorische beveiligings-maatregelen

(28.3.c)

32.1.d 

   
 4.1   Is bij de technische passende maatregelen rekening gehouden met de verwerkingsrisico's?

(28.3c)

32.2

   
    Is de v aangesloten bij de goedgekeurde gedragscode?

(28.3.c)

32.3

40

   
     Heeft de v een goedgekeurde certificering m.n. ISO 27001?

(28.3.c)

32.4

42

   
 3.3   Licht de v de vv in als er nieuwe personeel  wordt aangesteld? Mag de vv hiertegen bezwaar maken? 

(28.3.d)

28.2

   
 3.3  

Dezelfde vragen als hiervoor m.b.t. subverwerkers. 

(28.3d)

28.4

   
 3.4  

Helpt de v mee indien de vv vragen van betrokkenen ontvangt?

(28.3.e)

12 t/m

         23

   
   

Helpt de v mee indien:

  1. 32  de beveiliging onvoldoende is
  2. 33 er een melding  datalek aan de AP gedaan moet worden
  3. 34 de betrokkene op de hoogte moet worden gesteld m.b.t. een datalek
  4. 35 er een DPIA gemaakt moet worden
  5. 36 vooraf de AP geraadpleegd moet worden

(28.3.f)

32 t/m

         36

   
Reg.*

3.1

3.2

3.3

3.4

3.5

Heeft de v een register aangelegd?

  1. 30.2.a:  de naw van de v, de vv en de FG
  2. 30.2.b:  de categorieen van verwerking
  3. 30.2.c:  doorgifte van persoonsgegevens buiten EU of internationale organisaties
  4. 30.2.d:  Heeft de v passende technische maatregelen doorgevoerd (en beschreven)?

Bijlage 1:

In het CP/AVG model is een register ontwikkeld voor zowel de vv alswel de v. In de vovk zal dit register in bijlage 1 worden opgenomen. Het register bevat alle AVG eisen vanuit 30.2 en 30.1.

 

(28.3.c)

30.2

32

 A.15.1.2  
    Worden de persoonsgegevens vernietigt dan wel teruggegeven aan de vv na beeindiging van de verwerking?

28.3.g

 

   
 3.5  

Geeft de v openheid m.b.t. de resultaten van audit's :

  1. Worden de passende technische maatregelen periodiek gecontroleerd?
  2. Mag de vv zelf zaken (laten) controleren?
  3. Houd de vv een periodieke audit bij de v?
  4. Houd de v zelf audit;'s uitgevoerd door andere organisaties?
28.3.h  A.15.2.1  

 

Blok 2 Eisen die impliciet in de AVG staan en Check-Privacy belangrijk vind

CP/AVG Sambo Te toetsen onderdeel / opmerkingen / uitleg AVG ISO27001 IBPD0C7
    Een vovk bevat buiten juridische aspecten ook belangrijke ICT aspecten. Het is van belang dat de mensen die "echt verstand" hebben van de details van een specifieke applicatie ook een check doen op de vovk.  De FG dient te controleren of deze inhoudelijke check uitgevoerd is.       
    Brengt de v de vv op de hoogte indien de v niet meer kan voldoen aan de verplichtingen uit de vovk?      
    Worden wijzigingen in de passende technische maatregelen goed beheerd en wordt dit gecommuniceerd met de vv?   A.15.2.2  
    Geldt vorige check ook voor e.v. subverwerkers?   A.15.1.3  
   

Er moet gecontroleerd worden of de v een FG moet hebben:

  1. zo ja, dan wordt dit in de vovk vastgesteld
  2. zo nee, dan wordt opgenomen dat er geen FG nodig is

37

38

39

   
   

De vv moet het (informatie en privacy) beleid beschreven hebben. Dit geldt in principe ook voor de v. De FG moet controleren of de v dit beleid heeft beschreven. 

     

 

Blok 3 Algemene eisen die in een contract horen

CP/AVG Sambo Te toetsen onderdeel / opmerkingen / uitleg AVG ISO27001 IBPD0C7
    Zijn de aansprakelijkheden vastgelegd?      
    Zijn de boete bepalingen vastgelegd?      
   

Is de vovk consistent met samenhangende contracten oa.: 

  1. de verkoopovereenkomst
  2. de inkoopovereenkomst
  3. de algemene voorwaarden (zowel m.b.t. inkoop als wel verkoop)
  4. de e.v. Service Level Agreement (SLA)
     
           

Vorige pagina           Volgende pagina

Afdrukken