SURF Vendor Compliance
Gezamenlijk uitvoeren van overkoepelende privacy- en security- risicoanalyses op leveranciers
Voordelen
Gezamenlijk optrekken
Gebundelde expertise
Ondersteuning en keuzevrijheid
Heb je een vraag over SURF Vendor Compliance? Neem dan contact op.
Wat houdt SURF Vendor Compliance in?
Instellingen hebben de wettelijke verplichting om bij leveranciers te toetsen hoe zij persoonsgegevens verwerken. Naast het toetsen moeten ook duidelijke afspraken met de leverancier worden gemaakt over de verwerkingen, zoals in verwerkersovereenkomsten of andere afspraken. Het niet getoetst en op orde hebben van afspraken en inzicht in verwerkingen door leveranciers brengt risico’s op boetes, reputatieschade en aansprakelijkheid met zich mee.
Instellingen voeren dit compliance-werk nu vaak individueel uit: hetzelfde werk voor dezelfde applicaties, terwijl de expertise schaars en kostbaar is. Door het bundelen van kennis en expertise ondersteunen we instellingen bij dit werk en hebben we een sterkere positie namens de gehele onderwijs- en onderzoekssector naar de leveranciers. Met de acht overkoepelende compliance-trajecten die SURF jaarlijks gaat uitvoeren bieden we instellingen de bouwstenen die zij nodig hebben om zelf tot een goede afweging en risicoanalyse te komen voor het gebruik van de (cloud)applicatie.
Bouwstenen voor een eigen afweging
Als we een risicoanalyse hebben uitgevoerd op een leverancier/applicatie gaan we met de leverancier in gesprek over de maatregelen om eventueel gevonden risico’s zoveel mogelijk op te lossen. Veel van deze afspraken worden vastgelegd in bijvoorbeeld een standaard verwerkersovereenkomst. Ook worden er instructies gemaakt waarin staat hoe instellingen op een zo privacy en security vriendelijke manier gebruik kunnen maken van de applicatie.
Instelling bepalen zelf in hoeverre de overkoepelende resultaten toepasbaar zijn op de eigen organisatie. Op basis van de bouwstenen die wij je aanleveren kan jouw instelling gefundeerd een keuze maken over het veilig gebruik van de (cloud)software. De opgeleverde resultaten kunnen door iedereen worden gebruikt, maar moeten altijd worden uitgelegd naar de eigen situatie, processen en omgeving.
Gebruik de technische, organisatorische en juridische afspraken die wij hebben geregeld voor de uitvoering van een eigen risico-analyse of besluit, afhankelijk van het eigen inkoopbeleid, of je iets wel/niet inkoopt. Ook als je instelling rechtstreeks (cloud)software afneemt bij een leverancier kun je gebruik maken van onze privacy- en securityrisicoanalyses en hou je altijd zelf contact met de leverancier.
SURF zorgt (in samenwerking met partners) voor:
- de uitvoering van risico-analyses (waaronder DPIA’s en DTIA’s);
- de uitvoering van security- en compliance-checks, inclusief data-transfers buiten de EER, met juridische en technische onderzoeken;
- het opstellen, leveren en toepassen van toetsingskaders waar leveranciers op getoetst worden;
- het maken van afspraken met leveranciers, zoals verwerkersovereenkomsten, waarin privacyrisico’s worden gemitigeerd en afspraken worden gemaakt over securitymaatregelen;
- het leveren van informatie en ondersteuning over hoe instellingen zo veilig mogelijk gebruik kunnen maken van de beoordeelde applicaties/(cloud-) software;
- toezicht houden op de naleving van gemaakte afspraken door leveranciers.
Lees meer over de lopende en afgeronde compliance-trajecten op onze expertisepagina.
Heb je vragen? Neem contact op of bekijk de veelgestelde vragen (pdf).