Situatie
In een verwerkersovereenkomst maak je de afspraken over de periodieke controle (audit) van de beschermingsmaatregelen die de verwerker/leverancier heeft getroffen voor bescherming van persoonsgegevens. In de auditverklaring wordt een oordeel over deze maatregelen gegeven.
Antwoord
Je kunt met de leverancier overeenkomen dat deze de bedoelde auditverklaring verstrekt in de vorm van een Third Party Memorandum (TPM). De TPM is een verklaring van een onafhankelijke externe deskundige, waarin deze een oordeel geeft over de resultaten van het onderzoek naar de maatregelen die een verwerker heeft getroffen voor de verwerking.
Tips voor je interne proces
Je hoeft niet voor iedere verwerking jaarlijks een audit uit te voeren. Bepaal aan de hand van een classificatie van persoonsgegevens hoe gevoelig de verwerking is. Is het allemaal niet zo spannend, dan kun je er als organisatie voor kiezen om geen audit uit te voeren. Voor gevoelige verwerkingen kun je dat bijvoorbeeld jaarlijks doen.
Een voorbeeld ter inspiratie:
| Classificatie | Gevoeligheid van de verwerking | Periodieke controle |
| Laag | Persoonsgegevens waarvan algemeen aanvaard is dat ze bij het bedoelde gebruik weinig tot geen risico opleveren voor de betrokkene. Denk aan gegevens die publiekelijk toegankelijk zijn, of bijvoorbeeld aan zakelijk e-mailadres of een beroep. | Geen verplichting |
| Midden | Persoonsgegevens die bij een datalek de belangen, rechten of vrijheden van de betrokkene niet in aanzienlijke mate treffen, maar die wel degelijk van belang zijn voor de betrokkene. Het gaat om persoonsgegevens die niet vallen onder de risicoklasse ‘laag’ of onder de categorie ‘bij- zondere persoonsgegevens’. | Minimaal eens per twee jaar |
| Hoog | Gevoelige persoonsgegevens waaronder die uit de categorie 'bijzondere persoonsgegevens' (bijvoorbeeld rapporten over de psychologische gesteld- heid of medische gegevens). | Minimaal jaarlijks |
Zie 'Vertrouwelijkheidslabels' voor meer informatie over het identificeren en inschakelen(classificeren) van risico's.