De verwerkersovereenkomst – een veilig idee?
of is er meer??
De wet AVG – privacy
Van organisaties wordt verwacht dat zij op 25 mei 2018 hun bedrijfsvoering in overeenstemming hebben gebracht met de vernieuwde Europese privacywet de AVG (Algemene Verordening Gegevensbescherming). De AVG is de Nederlandse vertaling van de GDPR (General Data Protection Regulation), de Europese richtlijn m.b.t. Privacy.
Achterliggend bij deze nieuwe regeling is dat de burger meer mogelijkheid krijgt om voor zichzelf op te komen bij de verwerking van hun persoonsgegevens. Ten opzichte van de huidige WbP verandert er inhoudelijk niet erg veel. De grootste wijziging voor bedrijven/organisaties is dat de maatregelen omtrent de verwerking en beveiliging van de persoonsgegevens vastgelegd moeten worden en aantoonbaar zijn.
Bedrijven moeten zich aantoonbaar aan de wet houden en riskeren anders een boete. Het handhavingsbeleid is in Nederland belegd bij de Autoriteit Persoonsgegevens (AP), voor heen het College Bescherming Persoonsgegeven. De AP is de organisatie waar ook al enige tijd datalekken direct moeten worden gemeld.
In een 10-stappenplan beschrijft de AP hoe organisaties zich goed op de AVG kunnen voorbereiden. Voor Axis into ICT, als databasebeheerpartij, is daarvan o.a. de Verwerkersovereenkomst van belang. Immers, voor een groot aantal organisaties voeren wij het technisch database beheer uit en kunnen daardoor als Verwerker worden beschouwd.
De Verwerkers Overeenkomst
Door de implementatie van de AVG vragen opdrachtgevers van Axis into ICT ons momenteel om een Verwerkersovereenkomst met ze af te sluiten. In een Verwerkersovereenkomst leggen wij de onderlinge afspraken vast rondom de verwerking van persoonsgegevens. Denk hierbij aan:
– het verwerken in opdracht,
– het melden van datalekken,
– het meewerken aan security audits
– en de geheimhoudingsplicht.
Daarnaast wordt er in vastgelegd dat van de verwerker wordt verwacht dat deze passende technische en organisatorische beveiligingsmaatregelen treft.
Axis into ICT juicht de ontwikkelingen op het gebied van de Privacywetgeving toe. Het is voor het eerst dat de overheid zich op dit gebied actief opstelt om personen (de burgers) te beschermen op hun privacy.
Wat wij ook merken is dat het ondertekenen van de Verwerkersovereenkomst door sommige organisaties een ‘must’ is. Het is een doel om te komen tot een (standaard) verwerkersovereenkomst. In het geval van het beheer van de database is het zinnig om goed stil te staan bij de afspraken die we met elkaar maken. Wat doen we nu en doen we straks niet meer? Het is goed om dat duidelijk te hebben en op deze manier in samenspraak te komen tot de juiste afspraken.
Waar kan Axis into ICT uw organisatie op technisch gebied ondersteunen?
Als databasebeheerder beschermen we o.a. de beschikbaarheid en continuïteit van de databases van onze klanten. Naast monitoring en implementatie van een goede back-up en uitwijkstrategie is beveiliging van de data daarbij voor de DBA een steeds belangrijker aandachtspunt.
Bij de uitvoering van Remote Beheer door Axis into ICT zorgen wij voor een beveiligde verbinding naar de database omgeving van de klant.
Om de databases zelf tegen toegang door onbevoegden te beschermen, adviseert Axis into ICT haar klanten over een patchbeleid en bewaakt zelf actief de uitvoering daar van. Zodanig dat u voldoet aan het gestelde in de wet AVG.
Ook pseudonimisering en versleuteling van persoonsgegevens komen ter sprake. Wij adviseren klanten over deze aspecten op ons vakgebied van de databas
Op aanvraag kunnen wij een in-depth securityscan uitvoeren. Vanuit de database onderzoeken wij uw omgeving op meer dan 600 relevante items. Denk hierbij aan:
- Gebruik van standaard en eenvoudige/veelgebruikte wachtwoorden
- Check op gevoelige pl/sql code
- Check op de uitgifte van vaak misbruikte rechten
- Check van de database security parameters
Wij helpen u graag alsof wij uw eigen DBA zijn. We stellen samen met u een Verwerkersovereenkomst op. Hiervoor hebben wij een eigen standaardovereenkomst die we als uitgangspunt kunnen nemen. Een veilig idee om deze te hebben.
Maar zoals gesteld is het nog veiliger om samen met u te kijken wat de implicatie is voor de DBA als de Wet AVG van toepassing wordt.