GDPR

AFLEVERING 9: Hoe een risicoanalyse maken van uw leveranciers voor dataverwerking

14 mei 2018

GDPR onderscheidt twee partijen die beiden verantwoording moeten afleggen bij het verwerken de persoonsgegevens: de verwerkingsverantwoordelijke en de verwerkers.

  • De verwerkingsverantwoordelijke bepaalt het doel en de middelen om persoonsgegevens te verwerken.
  • De verwerker gaat aan de slag met persoonsgegevens in opdracht van de verwerkingsverantwoordelijke.  

Wat betreft de verantwoordelijkheden van deze twee partijen
geeft GDPR de volgende richtlijnen: 

  • De verwerkingsverantwoordelijke treft “passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de Algemene Verordening Gegevensbescherming wordt uitgevoerd”.
  • De administratieve geldboeten zullen worden opgelegd rekening houdende met
    “de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd”. 

Bisnode’s risicobeoordelingsprocedure voor nieuwe datapartners 

Om nieuwe datapartners te screenen ontwikkelde Bisnode een procedure met 2 fases.
Eerst evalueren we elke kandidaat-partner via een risicoanalyse met diverse aandachtspunten:

  • Algemene risico-issues en het soort data die zullen verwerkt worden.
  • Alle betrokken partijen, bijvoorbeeld onderaannemers van de kandidaat-partner.
  • Technische en organisatorische maatregelen betreffende:
    • Gegevensuitwisseling
    • Toegangsbeheer en authentificatie
    • Opslag en verwerking van data
    • Veiligheidsbeleid en organizatorische maatregelen
    • Traceerbaarheid van de verwerking
    • Retentiebeleid
    • Controle en incidentenbeheersprocessen 

Deze risicobeoordeling kan eventueel aanleiding geven tot een actieplan om zaken bij te sturen, vooraleer de leverancier wordt erkend.

In de tweede fase sluiten we met de erkende leverancier een Dataverwerkingsakkoord af, dat we samen ondertekenen. 

Een 360° risicobeoordeling van verwerkingsverantwoordelijken en verwerkers 

Ook voor onze bestaande (onder)aannemers passen we deze risicoanalyse toe bij Bisnode. We doen dit enerzijds om mogelijke hiaten op te sporen. En anderzijds als bewijs van een correcte werkwijze. Uiteraard kregen wij zelf risicodoorlichtingen van diverse klanten voor wie Bisnode persoonsgegevens verwerkt.

Hoe Bisnode zijn hele portfolio dataoplossingen een mooie make-over gaf ? Het is het onderwerp van aflevering 10