Handreiking Auditverplichting verwerkers

In control

Volgens de AVG moet een verwerkingsverantwoordelijke op ieder willekeurig moment kunnen aantonen dat de wet wordt nageleefd. Dat geldt ook als een verwerking van persoonsgegevens is uitbesteed aan een derde partij, de zogenaamde ‘verwerker’. Met de verwerker worden afspraken gemaakt over de bescherming van deze verwerking (meestal via een verwerkersovereenkomst).

Risicogestuurde auditfrequentie

De bij SURF aangesloten instellingen maken gebruik van verschillende leveranciers. Leveranciers verschillen sterk in grootte, aard en bestaanshistorie van de organisatie. Ook verschilt de aard van geleverde diensten en de gevoeligheid van de verwerkte gegevens. Een one-size-fits-all-oplossing is daarom niet haalbaar. De diversiteit maakt het noodzakelijk om te kunnen variëren in de aanpak van de auditverplichting. Deze handreiking geeft daar handvatten voor.

Het doel van dit document is een handreiking te bieden voor de praktische, risicogestuurde omgang met de auditverplichting volgens artikel 28 van de AVG bij verwerkers (leveranciers).

Download

Handreiking Auditverplichting verwerkers - SW.01

Download
pdf 372.35KB

Lifecycle status

Up to date
SURF Developed
Productiedatum 10/02/2026
Laatste update op 10/02/2026

Vragen of suggesties?

Neem contact op via onderstaande button.

contact met het PEC