voor Bewerkers

Wie is een bewerker: “Een bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen (artikel 1, sub e, Wbp). Van verwerking door een bewerker is bijvoorbeeld sprake bij het verwerken van persoonsgegevens in de cloud of bij externe hosting van een website waar persoonsgegevens worden verwerkt.”

De verantwoordelijke moet er echter op toezien dat U (de bewerker) “voldoende waarborgen biedt” ten aanzien van de naleving van de Meldplicht Datalekken. De verantwoordelijke moet ervoor zorgen dat de bewerker de maatregelen treft die nodig zijn, zodat de verantwoordelijke aan de Meldplicht Datalekken kan voldoen (artikel 14, derde lid, sub c, Wbp).”

U doet er dus verstandig aan als bewerker om u voor te bereiden op tenminste de volgende zaken:

– Hoe ontdekt u een datalek?

– Wanneer informeert u als bewerker de verantwoordelijke?

– Welke informatie kan u de verantwoordelijke dan verstrekken?

– Wanneer doet u als bewerker zelf een melding aan Autoriteit Persoonsgegevens?

– Hoe houdt u als bewerker de verantwoordelijke op de hoogte van de maatregelen die u treft om de gevolgen van het incident te beperken en herhaling te voorkomen?

Kortom: kunt u als bewerker zeker stellen dat u de verantwoordelijke daadwerkelijk op de hoogte stelt van alle relevante incidenten en dat de informatie die u verstrekt klopt?

ISSP helpt u eenmalige aandacht en investeringen te voorkomen, en implementeert een continu proces.

Er wordt tenslotte van u als bewerker verlangd, dat u een proces inricht dat constant meebeweegt met de dreiging en dat u kunt aantonen dat u passende technische en organisatorische maatregelen had genomen ten tijde van het datalek.

De ISSP Datalek Monitor: bewaart bewijzen dat u maatregelen heeft/had genomen, ontdekt datalekken en informeert de bewerker en verantwoordelijke middels begrijpelijke rapportages.

——

Uniform beveiligingsbeleid in gehele keten voorkomt onenigheid in de keten

Het is van groot belang dat de verantwoordelijke en bewerkers (en sub-bewerkers) hetzelfde beveiligingsbeleid hanteren om persoonsgegevens te beschermen en dat er continu gecontroleerd wordt op de effectieve werking van het beleid, zowel bij verantwoordelijke als bewerker(s).

De ISSP aanpak controleert ACTIEF of er sprake is van een uniform beveiligingsbeleid in de gehele KETEN en zorgt ervoor dat ketenpartners elkaar begrijpen.

De inzet van de ISSP Datalek Monitor in de keten maakt dat ketenpartners dezelfde terminologie en rapportages gebruiken. Dit verkleint de ruimte voor interpretatieverschillen en misverstanden en stimuleert het optimaliseren van escalatie processen.