In onze praktijk beoordelen we veel verwerkingsovereenkomsten. Daarbij merken we nogal eens dat als “afsluiten verwerkersovereenkomst” is afgevinkt, men denkt dat de privacy goed geregeld is. Maar: Met de verwerkingsovereenkomst begint het pas. Dat blijkt ook uit het datalek bij Blauw dat afgelopen maart de pers haalde.
De Verwerkersovereenkomst in het kort
De AVG eist dat er een zogenaamde verwerkingsovereenkomst wordt afgesloten (art. 28 lid 3 AVG). Dit is een verantwoordelijkheid van zowel de Verwerkingsverantwoordelijke als de Verwerker. Als een Verwerker een andere verwerker inschakelt, regelt art. 28 lid 4 dat deze zogenaamde sub-verwerker met een sub-verwerkingsovereenkomst dezelfde verplichtingen worden opgelegd als de Verwerker.
Art. 28 geeft ook aan wat er in de verwerkingsovereenkomst geregeld moet worden. Op onze website hebben we een handig model beschikbaar dat voldoet aan deze eisen.
Het is dus noodzakelijk om te volgen waar jouw data allemaal naartoe gaan om te zorgen dat de benodigde verwerkings- en subverwerkingsovereenkomsten worden afgesloten. Maar: met de verwerkingsovereenkomst begint het pas. Om echt in controle te zijn over de data die bij andere partijen van jouw organisatie ontvangen is meer nodig.
Les uit het datalek bij Blauw
Het datalek bij Blauw leert dat een verwerkingsovereenkomst niet voldoende is om onder andere reputatieschade te voorkomen.
De verwerkingsovereenkomst hielp Blauw wel bij het kort geding dat zij aanspande om meer informatie te krijgen van haar leverancier, het ICT-bedrijf waar het datalek had plaats gevonden. De Rechtbank Rotterdam oordeelde dat op basis van de afgesloten verwerkingsovereenkomst Blauw recht heeft op meer informatie.
Terzijde: in de uitspraak wordt gesproken over een verwerkingsovereenkomst en niet over een subverwerkingsovereenkomst. Blijkbaar zag Blauw zich voor de gegevens die gelekt zijn als Verwerkingsverantwoordelijke. Dat verbaasde mij toen ik de uitspraak las. Blauw voert marktonderzoek uit in opdracht van derde partijen. De opdrachtgever lijkt mij degene die doel en omvang bepaald en daarmee verwerkingsverantwoordelijke. Blauw is, zou ik verwachten, als opdrachtnemer Verwerker en het bureau dat de software aan Blauw levert is sub-verwerker. Daarmee zou ik verwachten dat tussen de software leverancier en Blauw een sub-verwerkingsovereenkomst afgesloten zou zijn. Wellicht dat naar analogie van de Bluetrace case Blauw dermate veel zelfstandigheid had bij de verwerking van de gegevens uit het marktonderzoek (welke soort, hoe lang, beheer hebben etc.) en alleen bedrijfseconomische data aan haar klant leverde. Dit zou haar dan tot verwerkingsverantwoordelijke kunnen maken.
Maar goed: de verwerkingsovereenkomst hielp Blauw in de rechtszaak, maar heeft het datalek niet kunnen reputatieschade voor Blauw niet kunnen voorkomen. Met de verwerkingsovereenkomst begint het pas.
Er leek nogal wat te mankeren aan de software leverancier van Blauw
Techzine heeft kort na het datalek in een artikel de software leverancier van Blauw, Nebu tegen het licht gehouden. Als ik af ga op hun bevindingen dan bleek er nogal wat mis te zijn met de software van Nebu.
Allereerst: Blauw zelf was goed beveiligd. De SecurityScorecard van Blauw ziet er goed uit. Dat maakt het incident nog extra zuur voor het bureau.
Nebu was weliswaar ISO 27001 gecertificeerd, maar de SecurityScorecard bij Nebu liet een slechte cybersecurity zien. De software van Nebu kende veel problemen en ook bij de ISO-certificering bleek een en ander loos. De grootste vraag die daar bij speelt is waarom Nebu voor de Hongaarse Certificerende Instantie Certop koos.
Kortom, ondanks de verwerkingsovereenkomst met naar ik aanneem, technische maatregelen en de ISO-certificering 27001 ging het toch mis.
Op papier leek alles in orde
Vanaf een afstandje leek op papier alles in orde. Maar deze case maakt duidelijk: met de verwerkingsovereenkomst begint het pas. Alleen het “papierwerk” regelen is dus niet voldoende.
Om in controle te zijn over de hele software supply chain waarin persoonsgegevens worden verwerkt is meer nodig. De verwerkersovereenkomst is het vertrekpunt, dat gevolgd moet worden door concrete acties en maatregelen om zicht te krijgen op de mogelijke risico’s die de persoonsgegevens lopen in de keten.
Welke maatregelen passend zijn zal per casus verschillen. Maar acties kunnen bijvoorbeeld de volgende zijn.
- Volg de data in de keten: wie schakelen jouw verwerkers eventueel in en wie schakelen zij op hun beurt weer. Breng dus de hele dataketen in kaart.
- Controleer de in de verwerkingsovereenkomst opgenomen maatregelen
- Voer gesprekken met de (sub-) verwerker om risico’s boven tafel te krijgen
- Voer audits in de keten uit
- Als er sprake is van een certificering check deze (wie is de certificerende instantie, wat was de scope van de audit etc)
Door hier werk van te maken kan het risico op een datalek in jouw keten met alle reputatieschade flink gereduceerd worden.
Kortom: Met de verwerkingsovereenkomst begint het pas.
Disclaimer: alle informatie over het datalek van Blauw is verkregen uit openbare bronnen. Er zijn geen gesprekken gevoerd met de organisatie om deze informatie te verifieren.
Hulp nodig bij het bij het verkleinen van de risico’s in jouw data keten? Neem gerust contact met ons op.
